Hallo!
Ich muss gleich vorwegsagen, ich bin Anfänger mit der Opnsense und stoße seit 3 Wochen auf meine Probleme.
Meine Frage ist, ich möchte einen Transparent Proxy, aber ich benötige eine 1 IP-Adresse die ausgenommen wird.
Grund:
Ich baue mir eine private Firewall für meine Familie.
Ich möchte unbedingt den ClamAV mit c-icap. Meine Kinder klicken gedankenlos auf alles möglich und ich möchte geschützt sein.
Dazu benötigt man ein internes Zertifikat und den transparent Proxy.
So mein Problem ist das, wenn ich den transparent Proxy aktiviere meine Fire TV Stick nicht mehr funktioniert (alles andere funktioniert, wenn ich das Zertifikat installiere). Ich habe schon herausgefunden, dass es am Zertifikat liegt und am Fire TV Stick keine Zertifikate installieren kann. Einen neuen Stick möchte ich mir nicht kaufen, wo man es installieren kann (Android TV alle außer Fire TV). Jetzt ist die Idee eine Ausnahme für den Stick zu machen, dass diese nicht über den Proxy läuft.
Es gibt im Untermenüpunkt ZUGANGSKONTROLLE
Dort habe ich die IP-Adresse eingetragen (siehe Screenshot). Trotzdem wird für diese IP-Adresse keine Ausnahme gemacht und verursacht genau dasselbe Problem. Es kommt sogar eine melden: kid1|ERROR: failure while accepting a TLS connection on conn (siehe Screenshot)
Was mache ich falsch, dass ich eine ausnehme für die Adresse möchte?
Oder gehe ich das Problem generell falsch an?
Du hast doch eine Firewall-Regel auf LAN, die alles zum Proxy schiebt, was auf Port 80 oder 443 ist?
Duplizier diese Regel und änder bei Source "LAN net" oder "any" in die IP Adresse deines Fire TV. Dann noch statt alles zum Proxy zu schieben ein einfaches "allow". Wenn diese neue Regel vor der für alle anderen Geräte im LAN steht, dann geht das Gerät am Proxy vorbei.
Ah Danke für die Antwort
Ist das so richtig?
Also es gibt 2 Bereiche wo sich der transparent Proxy eingetragen hat
- Firewall: Rules: LAN
- Firewall: NAT: Port Forward
Ich schätze mal du meinst
Firewall: NAT: Port Forward
Dort bei Source"LAN net" ändern auf
"Single host or Network"dort trage ich vom Fire TV die IP Adresse ein
Redirect TargetPort
"3128" oder
"3129" bleibt unverändert
Dann bei Filter rule associationvon
"Rule redirect traffic to proxy" ändern auf
"Pass"Passt das so?
Noch eine Option:
Port Forward Regel:
1.
No RDR (NOT): Anhaken
Interfaces: Alle VLANs die eine Webproxy Regel haben
Source: Alias Gruppe mit allen Geräten die nicht zum Proxy sollen.
Destination Port: HTTP
Redirection IP: 127.0.0.1
Redirection Port: 3128
2.
No RDR (NOT): Anhaken
Interfaces: Alle VLANs die eine Webproxy Regel haben
Source: Alias Gruppe mit allen Geräten die nicht zum Proxy sollen.
Destination Port: HTTPS
Redirection IP: 127.0.0.1
Redirection Port: 3129
Diese Regeln müssen vor der Webproxy Regel sein. Dadurch werden Anfragen /nicht/ genattet und /nicht/ durch den Webproxy geleitet. (nennt sich NAT Ausnahme)
Quote from: Monviech on December 13, 2023, 06:57:32 PM
No RDR (NOT): Anhaken
Zur Info wenn man
"No RDR" angehackt
verschwindet die Auswahlmöglichkeit
Redirection IP: 127.0.0.1
Redirection Port: 3128
Filter rule association
Danke für deine Hilfe Funktioniert
Transparent Proxy Ausnahme / Umgehungseinstellung
Firewall: NAT: Port Forwardredirect traffic to proxy HTTP 3128 KOPIERENNo RFR (NOT) Angehackt
Interface LAN
Source: Single host IP Adresse / Network / Aliase mit mehreren IP Adressen
Soure port range: from: any to: any
Destination: any
Destination port range: from: http to: http
redirect traffic to proxy HTTPS 3129 KOPIERENNo RFR (NOT) Angehackt
Interface LAN
Source: Single host IP Adresse / Network / Aliase mit mehreren IP Adressen
Soure port range: from: any to: any
Destination: any
Destination port range: from: https to: https
Ich habe diese neue Regel
VOR den "redirect traffic to proxy" Regeln geschoben.
Aber
NICHT vor den Anti-Aussperregeln