OPNsense Forum

International Forums => Russian - Русский => Topic started by: Chai on February 29, 2020, 03:07:53 pm

Title: Прокси-сервер с одним интерфейсом
Post by: Chai on February 29, 2020, 03:07:53 pm

Приветствую!
 В организации есть пограничный маршрутизатор (микротик RB1100), и хотя в нем есть некое подобие web-proxy , это решение очень ограниченное и работает только по http. Понятно, что основной трафик сейчас идет шифрованный TLS/SSL. Я сторонник распределения функций, и для ведения логов серфинга пользователей (это требование руководства, как минимум), а также ограничения доступа необходимо внедрить отдельный прокси, плюс антивирус.

Пока остановился на готовом решении в виде opensense. Так как он не реализует функцию межсетевого экрана и от него мне требуется только web proxy squid, оставил у него только один интерфейс.

Сначала располагался в той же подсети. Режим работы - с аутентификацией (т.е. не транспарентный). После указания в браузере прокси, внутренний клиент из LAN не лезет в инет.

Сделал на роутере еще один интерфейс 192.168.10.1 , а у opensense указал адрес 192.168.10.71, дефолтный адрес - 192.168.10.1

Схема включения такая

(http://www.k-max.name/wp-content/uploads/2012/12/Squid-auth.png)

Настройки web proxy Вкладка Forwars Proxy Proxy interfaces - LAN Proxy port 3128 SSL Proxy port 3129 [в доке написано: A Proxy which is used by a client to connect to the internet. It is usually used in companies to scan traffic for malware., по-умолчанию здесь 3128]. У клиентов в браузере оставил 80

Вкладка Proxy Auto-config - не заполнял, а потом заполнил: Proxies -> HTTP Proxy   192.168.10.1, все одно, без разницы

В итоге в браузере при запросе страницы по протоколу http получаю

Quote

A potential DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname.

по https

Quote

Не удается открыть эту страницу

Причем по всей видимости разрешение адресов производится - на хосте, хосте, который настроен на проксю:

Quote

nslookup ya.ru ╤хЁтхЁ: UnKnown Address: 192.168.10.1

Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 87.250.250.242

Т.е. адрес-то разрешается, но есть какой-то запрет в браузерах.

Title: Re: Прокси-сервер с одним интерфейсом
Post by: Chai on February 29, 2020, 04:08:19 pm

Может, надо назначить сети с прокси какой-нибудь адрес не из частного диапазона? Но это же костыль!?

Title: Re: Прокси-сервер с одним интерфейсом
Post by: maxim_al on March 04, 2020, 06:19:52 am

1. ставить OPNSense лучше на проходе, а не сбоку микротика. А Микротик выкинуть  ;) - зачем 2 железки с одним функционалом?
2. адресация в схеме в теории верна, единственное, почему в адресе клиента HTTP Proxy   192.168.10.1? Когда ему выдан "у opensense указал адрес 192.168.10.71"?

PS какую роль будет выполнять прокси? - Учёт кто куда ходит и сколько качает?