Hallo in die Runde,
ich möchte gern länderspezifische Webseiten über eigene externe SQUID-Proxys erreichen.
LAN <----> OPNSense <-----> Internet <------> Proxy BE
|
|<----------> Proxy FR
Reichen hier Ziel (Destination)-Regeln (Rules) aus?
LAN --> Destination z.B. www.amazon.fr --> Proxy FR
LAN --> Destination GeoIP BE --> Proxy BE
Möglichst IPV6 und IPV4 Unterstützung.
Für Tipps vielen Dank.
JayTee75
Hi,
wird so ohne weiteres nicht möglich sein.
Gerade große Seiten nutzen keine einfache IP4/6 mehr, sondern haben sehr häufig CDNs, Anycast/GeoIPs und sonstige Techniken am Start. Heißt es kann bei jeder DNS Abfrage sein, dass - abhängig von deinem Standort - du andere A/AAAA Antworten bekommst und demzufolge du das nicht mit einfachen Firewall Regeln machen kannst.
Abfragezeitpunkt ist hier auch ein wunder Punkt: Dein Alias mit dem FQDN von amazon.fr bspw. wird alle 300s gecheckt. Im dümmsten Fall wird alle 300s ne andere IP4/6 Kombo eingetragen. Aber: dein Client will dann drauf zugreifen und macht selbst ne DNS Abfrage und die hat dann in dem Moment wieder ne andere IP als Antwort als die, die deine Firewall noch von der letzten Alias Aktualisierung hat.
Resultat: dein Client triggert deine Regel für Proxy FR nicht und geht über die falsche Verbindung raus.
Gerade Seiten wie Youtube und Co spielen das extrem durch. Darum kann man die nur sehr schlecht wenn überhaupt mit nem Alias greifen - daher wird das nur sehr unscharf und ungenau mit Policy based Rules möglich sein - wenn überhaupt.
Cheers