OPNsense Forum
International Forums => German - Deutsch => Topic started by: bogi32b on August 31, 2016, 09:49:02 am
-
Moin,
ich habe gestern den transparenten proxy ausprobiert um auch solche Geräte wie Android Handys sowie software bei der sich ein Proxy einfach nicht einstellen lässt durch den Webfilter leiten zu können. Wie es bereits im Betreff steht, funktioniert es absolut nicht zufriedenstellend.
So lange man einen einfachen browser benutzt kann man ja das Zertifikat importieren und dann funktioniert alles, wenn auch dann immer das eigene Zertifikat angezeigt wird, aber das ist ja prinzipbedingt, wobei wenn man eh überall das Zertifikat importieren muss, kann man auch jeweils den proxy in den einstellungen eintragen, ist der gleiche Aufwand und man kann dann wenigstens sehen wer es denn Verifiziert hat.
Schlimmer ist es mit allen was kein einfacher Browser ist:
Android Handy: imap eMail, vial weboutlook, also https getunnelt, funktioniert nicht, und das ohne Fehlermeldung. Youtube mag nicht (wieso im Gottes namen müssen youtube videos ssl verschlüsselt werden???). Alles andere habe ich nicht mal mehr probiert.
Gerade bei youtube gibt es durchaus potenzial für caching, da meine Kinder sich die links hin und her schicken und vermeintlich lustige videos mehrmals ansehen usw...
Handy weggelegt und die Amazon box angeworfen: nichts funktioniert, Netzwerk nicht verfügbar, netzwerkfehler... keine Möglichkeit manuell einen proxy einzutragen.
x-box gestartet, allerdings um sky.go auszuprobieren, auch Fehlanzeige...
Resigniert das Tablet in die Hand genommen um ne Runde Solitär zu spielen, war noch ein Spiel angefangen, als das fertig war, neuen "Gewinner-Deal" aufgerufen, auch das ging nicht, wtf???
Ich mach hier opnsense bzw. squid keine Vorwurf, keinesfalls, aber wie schaffe ich es all die verschiedenen Geräte in meinem Haushalt Kindersicher zu machen???
Was ich will:
redt**e.com wird aufgerufen -> Meldung erscheint "Du bist dafür zu jung, lass es sein.", ein Eintrag im LOG des proxys das es Nutzer KleinKevin (nein, mein Sohn heisst NICHT Kevin) versuchte eine Seite aus der Kategorie "adult" aufzurufen, was ihn nicht erlaubt wurde.
Ich will im LOG alle URL´s sehen welche aufgerufen wurden, es geht mir nicht um den Inhalt, was mit wem gepostet bzw geschrieben wurde, sondern um nachweisen zu können, wer wie lange online war und auf welchen Seiten der sich so getrieben hat.
Das wird nicht möglich sein wenn ich quasi alle Geräte frei ins Internet lassen muss damit sie überhaupt funktionieren. Wenn Redt***.com auf dem PC nicht funktioniert aber auf dem Handy, dann wird der PC dafür einfach nicht benutzt, fertig...
Kommt jetzt bitte nicht mit "Du kannst deine Kinder ja nicht einsperren, du musst den vertrauen, oder, lass den doch den spass..." Als Elternteil habe ich ja die Pflicht meine Kinder zu beschützen und pornografie ist nun mal Jugendgefährdend, also DARF ich meinen Kindern gar nicht ermöglichen auf solche Seiten zu gehen.
Was kann man da machen? Hier gibt es bestimmt auch Eltern die sich solche Fragen stellen, oder? Wie löst Ihr dieses Dilemma???
-
Hi bogi,
schon mal die Suche im Forum genutzt? Du bist als verantwortungsvoller Vater nicht allein.
Gruß,
Wurmloch
-
Moin,
sicher habe ich das Forum durchsucht, aber alles dreht sich um den Proxy... ich kann URL Listen einbinden usw. was aber die umleitung jeglichen traffics durch den proxy bedarf, was eben für das normale surfen prima funktioniert, aber bei fast allen anderen scheitert.
Damit mein weboutllok basierender eMail client funktioniert kann ich ja url´s oder ganze geräte am proxy vorbei schleusen, aber die, welche ich kontrollieren will/sollte/muss, denen will ich ja nicht den Internet Zugang komplett sperren, darum geht es ja...
Gibt es keine Möglichkeit nur die url´s zu filtern ohne man-in-the-middle zu spielen, was ja wie gesagt, kaum einer mitmacht? (der einfache google aufruf klappt ja schon nicht ohne das ein Zertifikat importiert ist)
Sorry, bin da einfach frustriert und brauche anregungen in welche Richtung ich mich da einlesen sollte....
-
Bei Android solltest du in den Systemeinstellungen die Zertifikate importieren können.
Bei mir geht das unter Einstellungen -> Sicherheit -> Von Speicher installieren
-
Hallo bogi32b
Ich bin auch gerade mit dem Thema "Kindersicherung" auf der OPNsense beschäftigt. Vermutlich kommst Du nicht drumherum sowas wie verschiedene Webfilterprofile für verschiedene Geräte via squid zu konfigurieren.
Ich stelle mir das ungefähr so vor:
1. Minimale Webfilterung (Malware, Werbung) via transparenten HTTP-Proxy für alle Geräte. Konfiguration via OPNsense-GUI.
2. Weitere verschärfte Webfilterung je nach Gerät. Konfiguration via squid.conf, siehe: https://forum.opnsense.org/index.php?topic=3595.0 (https://forum.opnsense.org/index.php?topic=3595.0)
Für eine einfache Filterung von unerwünschten Webseiten wird kein transparentes SSL benötigt, behaupte ich jetzt einfach mal. Wenn SSL-Verbindungen für Virenscans und dergleichen aufgebrochen werden müssen, dann führt wohl kein Weg daran vorbei ein Zertifikat auf den entsprechenden Geräten zu installieren. "Browserlose" Geräte kann man dann ja in eine eigene Kategorie stecken.
Da ist halt schon ein wenig Fleissarbeit gefragt, z. B. squid-Regeln erstellen und MAC-Adressen zusammentragen, die eine oder andere Firewallregel mehr als sonst. Aber ich finde der Aufwand lohnt sich. Damit kann ich wesentlich mehr Dinge realisieren als mit der bisher verwendeten "Kindersicherung" der FRITZ!Box. Die hat wiederum den Vorteil, dass man das ganze via GUI in 10 Minuten zusammen geklickt hat.
LG, Stefan
-
Moin,
na ja, das Zertifikatsproblem auf den einzelnen Geräten mit den SSL-Seiten kannst Du zumindest teilweise umgehen, wenn Du ein öffentliches Zertifikat nutzt und das auf die OPNSense importierst.
Das funktioniert aber auch nicht auf allen Seiten (z.B. Banking). Hier muss man dann wieder Whitelisten für die betreffenden Seiten anlegen.
Das ist aber kein OPNSense-Problem. Das Problem haben m.W. nach auch alle kommerziellen FW-Systeme auch.
Zum Thema 'Kindersicherung' würde ich mal darüber nachdenken, ob ich mit der OPNSense überhaupt das richtige Produkt nutze. Nicht, dass man das nicht mit OPNSense mit genügend manuellem Konfigurieren hinbekommen würde... Nur wozu das Rad neu erfinden.
Gibt ja einige kommerzielle FW-Systeme die für die Privatnutzung kostenlos sind.
AdHoc fallen mir da z.B. Sophos oder Endian (Comunity) ein.
Sollte eigentlich bei beiden kein Problem sein die Webfilter über Gruppen zu steuern.
Gruß
Dirk
-
Sophos habe ich mir auch angesehen, habe eine testinstallation auch laufen und die kostenlose Lizenz würde auch reichen. Dort ist das mit Gruppen und Kategorien auch fortschrittlicher gelöst, das brauche ich aber im grunde genommen nicht. Wenn doch nud das logging besser wäre, was es bei sophos aber nicht ist. Erst durch Fastvue (ein kommerzielles 3rd party Produkt) wäre es aufgeräumter, wenn auch nicht mit der Möglichkeit genau zu sehen welche webseite/url wann aufgerufen wurde.
Eine ALternative könnte aber sein, das logfile mit einem logfileviewer zu betrachten der filter hat und "Spalten" erkennt, sowas wie kiwi log file viewer... ich glabe, ich sehe mich da mal um und berichte...