OPNsense Forum
International Forums => German - Deutsch => Topic started by: tsom on January 04, 2017, 12:46:57 pm
-
Hi, versuche mich zum ersten mal am OPNsense.
Die Installation verlief reibungslos und hatte auch sofort Zugang zum Internet.
Wan -> Fritzbox (DHCP) -> OPNsense (DHCP) -> Client.
Jetzt wollte ich einen transparenten Proxy einrichten und hier scheitere ich kläglich.
Ich bin nach folgender Anleitung vorgegangen: https://docs.opnsense.org/manual/how-tos/proxytransparent.html (https://docs.opnsense.org/manual/how-tos/proxytransparent.html).
Bloß was soll ich jetzt mit Zertifikaten für den Browser und ssl?
Mir geht es doch nur um eine einfache Proxy weiterleitung.
NAT: Port Forward
Lan - TCP - * * Lan address 443 / 80 * * ==> Anti-Lockout Rule ?
Lan - TCP - Lan net * * 80(Http) 127.0.0.1 3128 ==> redirect traffic to proxy
Irgendwie stehe ich voll auf dem Schlauch und habe den vollen Überblicksverlust.
Ich leite alles von Prot 80 auf Port 3128 weiter und jetzt?
Kann mir jemand den Weg ins Licht zeigen?
-
Das passt ja - im Proxy muss noch der transparente Modus aktiv sein. Zertifikate brauchst du für HTTP nicht - die werden nur für HTTPS-Intercept benötigt.
Wenn du HTTPS intercepten willst, brauchst du eine CA, welche du dann allen Clients in den Speicher vertrauenswürdiger CAs importieren musst. Außerdem musst du einen 2. Port auch umleiten und den Port in der Konfiguration des Proxy aktivieren.
-
Hi fabian,
vielen Dank für deine schnelle Antwort.
Wenn ich den transparenten Modus einschalte kann ich bloß keine http Seiten mehr aufrufen.
Der Browser rödelt dann ewig aber baut keine Seite auf.
Würde dir gern logs schicken, aber leider blicke ich noch nicht ganz durch welche bzw. von wo.
Https ist als nächstes dran wenn Http funktioniert. Sonst wirds schwierig mit der Kommunikation :)
Gruß Peter
-
Bei dem Fehler würde ich von einem TCP-Problem ausgehen - Vermutlich ist der Port nicht offen. Hast du die Proxykonfiguration gespeichert und geladen?
-
Konfiguration habe ich gespeichert!
Was heißt denn geladen? Aus alter Installation ? Nein, habe ich nicht. System ist neu aufgesetzt.
-
kannst du mal auf der shell "squid -k parse" ausführen und das ergebins posten?
-
Sorry ssh daemon läuft nicht oder muss ich den nach installiern oder ist der Port für ssh ein anderer?
-
Hi, versuche mich zum ersten mal am OPNsense.
Die Installation verlief reibungslos und hatte auch sofort Zugang zum Internet.
Wan -> Fritzbox (DHCP) -> OPNsense (DHCP) -> Client.
Hmm,
das mag ich nicht so ganz glauben! Ohne die entsprechenden FW-Regeln für die LAN-Schnittstelle dürftest Du mit der OPNSense nicht ins Internet kommen.
Zumindest für die Ports 53, 80 und 443 (DNS, HTTP und HTTPS) muss eine Regel vorhanden sein, damit Du aus dem LAN ins Internet kommst. Oder aber es ist eine ANY-Regel aktiviert!
Poste doch mal dein komplettes Regelwerk auf der LAN-Schnittstelle.
Gruß
Dirk
-
Hallo Dirk,
Ich hoffe das ist was du meinst
Firewall Rules:
* * * LAN Address 443
80 * Anti-Lockout Rule
IPv4 * LAN net * * * * Default allow LAN to any rule
IPv6 * LAN net * * * * Default allow LAN IPv6 to any rule
IPv4 TCP LAN net * 127.0.0.1 3128 * NAT redirect traffic to proxy
-
Und noch für Fabian die squid Ausgabe:
squid -k parse
2017/01/04 15:15:09| Startup: Initializing Authentication Schemes ...
2017/01/04 15:15:09| Startup: Initialized Authentication Scheme 'basic'
2017/01/04 15:15:09| Startup: Initialized Authentication Scheme 'digest'
2017/01/04 15:15:09| Startup: Initialized Authentication Scheme 'negotiate'
2017/01/04 15:15:09| Startup: Initialized Authentication Scheme 'ntlm'
2017/01/04 15:15:09| Startup: Initialized Authentication.
2017/01/04 15:15:09| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2017/01/04 15:15:09| Processing: http_port 127.0.0.1:3128 intercept
2017/01/04 15:15:09| Starting Authentication on port 127.0.0.1:3128
2017/01/04 15:15:09| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
2017/01/04 15:15:09| Processing: http_port [::1]:3128 intercept
2017/01/04 15:15:09| Starting Authentication on port [::1]:3128
2017/01/04 15:15:09| Disabling Authentication on port [::1]:3128 (interception enabled)
2017/01/04 15:15:09| Processing: http_port 192.168.1.1:3128
2017/01/04 15:15:09| Processing: acl ftp proto FTP
2017/01/04 15:15:09| Processing: http_access allow ftp
2017/01/04 15:15:09| Processing: acl localnet src 192.168.1.0/24 # Possible internal network
2017/01/04 15:15:09| Processing: acl localnet src fc00::/7 # RFC 4193 local private network range
2017/01/04 15:15:09| Processing: acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
2017/01/04 15:15:09| Processing: acl SSL_ports port 443 # https
2017/01/04 15:15:09| Processing: acl Safe_ports port 80 # http
2017/01/04 15:15:09| Processing: acl Safe_ports port 21 # ftp
2017/01/04 15:15:09| Processing: acl Safe_ports port 443 # https
2017/01/04 15:15:09| Processing: acl Safe_ports port 70 # gopher
2017/01/04 15:15:09| Processing: acl Safe_ports port 210 # wais
2017/01/04 15:15:09| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2017/01/04 15:15:09| Processing: acl Safe_ports port 280 # http-mgmt
2017/01/04 15:15:09| Processing: acl Safe_ports port 488 # gss-http
2017/01/04 15:15:09| Processing: acl Safe_ports port 591 # filemaker
2017/01/04 15:15:09| Processing: acl Safe_ports port 777 # multiling http
2017/01/04 15:15:09| Processing: acl CONNECT method CONNECT
2017/01/04 15:15:09| Processing: icap_enable off
2017/01/04 15:15:09| Processing: http_access deny !Safe_ports
2017/01/04 15:15:09| Processing: http_access deny CONNECT !SSL_ports
2017/01/04 15:15:09| Processing: http_access allow localhost manager
2017/01/04 15:15:09| Processing: http_access deny manager
2017/01/04 15:15:09| Processing: http_access deny to_localhost
2017/01/04 15:15:09| Processing: http_access allow localnet
2017/01/04 15:15:09| Processing: http_access allow localhost
2017/01/04 15:15:09| Processing: http_access deny all
2017/01/04 15:15:09| Processing: cache_mem 256 MB
2017/01/04 15:15:09| Processing: coredump_dir /var/squid/cache
2017/01/04 15:15:09| Processing: refresh_pattern ^ftp: 1440 20% 10080
2017/01/04 15:15:09| Processing: refresh_pattern ^gopher: 1440 0% 1440
2017/01/04 15:15:09| Processing: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
2017/01/04 15:15:09| Processing: refresh_pattern . 0 20% 4320
2017/01/04 15:15:09| Processing: access_log /var/log/squid/access.log squid
2017/01/04 15:15:09| Processing: cache_store_log /var/log/squid/store.log
2017/01/04 15:15:09| Processing: uri_whitespace strip
2017/01/04 15:15:09| Processing: forwarded_for on
2017/01/04 15:15:09| Processing: logfile_rotate 0
2017/01/04 15:15:09| Processing: visible_hostname localhost
2017/01/04 15:15:09| Processing: cache_mgr admin@localhost.local
2017/01/04 15:15:09| Initializing https proxy context
-
@tsom
Ok,
damit ist es schon klar.
Du hast eine ANY-Regel sowohl für IPv4 als auch IPv6.
Die Firewall arbeitet die Regeln von Oben nach unten ab! Da die ANY-Regel bereits alle Ports beinhaltet, werden alle Regeln die nach der ANY-Regel kommen nicht verarbeitet bzw. sind obsolet! Der Port 80 wird daher nie an den Proxy umgeleitet!
Deaktiviere mal die beiden ANY-Regeln!
Richte mal folgende Regeln ein:
IPv4 UDP LAN net * * 53 (DNS) * DNS -> any
IPv4 TCP LAN net * * 443 (HTTPS) * HTTPS -> any
Wenn Du IPv6 nutzt müssen die Regeln natürlich für IPv6 eingerichtet werden!
Damit sollte es eigentlich mit dem Proxy (HTTP) klappen.
PS: Eine ANY-Regel auf der Firewall ist nix gut! Immer nur die Dienste (Ports) freischalten, die wirklich benötigt werden. Ich poste nachher mal meine FW Grundkonfiguration mit transp. Proxy.
-
Squid-Konfiguration müsste funktionieren. Ich würde aber den X-Forwarded-For-Header deaktivieren.
-
So sieht es jetzt bei mir aus:
* * * LAN Address 443
80
222 * Anti-Lockout Rule
Deaktiviert => IPv4 * LAN net * * * * Default allow LAN to any rule
IPv4 UDP LAN net * * 53 (DNS) * DNS -> any
IPv4 TCP LAN net * * 443 (HTTPS) * HTTPS -> any
Deaktieviert => IPv6 * LAN net * * * * Default allow LAN IPv6 to any rule
IPv4 TCP LAN net * 127.0.0.1 3128 * NAT redirect traffic to proxy
Gut soweit aber die any Regeln habe ich nicht angelegt. Zumindest nicht händisch.
Auf HTTP Seiten kann ich derzeit ob Proxy an oder aus nicht zugreifen
-
Default LAN sollte nicht ausgestellt werden, zumindest ist es hier nicht notwendig. Der Proxy sollte sofort laufen, es sei denn er hat Schwierigkeiten selbst ins Internet zu kommen (z.B. DNS).
Welche Version läuft? Funktioniert ein Firmware-Update? Behebt es vielleicht sogar das Problem?
Grüsse
Franco
-
Die Firewall arbeitet die Regeln von Oben nach unten ab! Da die ANY-Regel bereits alle Ports beinhaltet, werden alle Regeln die nach der ANY-Regel kommen nicht verarbeitet bzw. sind obsolet! Der Port 80 wird daher nie an den Proxy umgeleitet!
Achtung: PF arbeitet auf Last-Match-Basis. Im GUI wird bei den Schnittstellen immer die Eigenschaft "quick" gesetzt, wodurch sich die Regeln der Schnittstellen wie First-Match verhalten.
NAT passiert übrigens vor den pass- und block-Regeln. Die pass any:any-Regel ist also nicht das Problem. Möglicherweise kann hier ein packet capture helfen.
-
Squid-Konfiguration müsste funktionieren. Ich würde aber den X-Forwarded-For-Header deaktivieren.
Langsam wer wie wo was.
Überfordere mich nicht. Versuche was ich kann aber wo ist das denn?
Default LAN sollte nicht ausgestellt werden, zumindest ist es hier nicht notwendig. Der Proxy sollte sofort laufen, es sei denn er hat Schwierigkeiten selbst ins Internet zu kommen (z.B. DNS).
Welche Version läuft? Funktioniert ein Firmware-Update? Behebt es vielleicht sogar das Problem?
Grüsse
Franco
Menno, ich denke ich sollte die any Regeln ausschalten ???
@tsom
Deaktiviere mal die beiden ANY-Regeln!
Richte mal folgende Regeln ein:
IPv4 UDP LAN net * * 53 (DNS) * DNS -> any
IPv4 TCP LAN net * * 443 (HTTPS) * HTTPS -> any
-
Es läuft aktuell:
OPNsense 16.7.12-i386
FreeBSD 10.3-RELEASE-p14
OpenSSL 1.0.2j 26 Sep 2016
aber:
***GOT REQUEST TO AUDIT***
vulnxml file up-to-date
curl-7.51.0_5 is vulnerable:
cURL -- buffer overflow
CVE: CVE-2016-9586
WWW: https://vuxml.FreeBSD.org/freebsd/42880202-c81c-11e6-a9a5-b499baebfeaf.html
squid-3.5.22 is vulnerable:
squid -- multiple vulnerabilities
CVE: CVE-2016-10003
CVE: CVE-2016-10002
WWW: https://vuxml.FreeBSD.org/freebsd/41f8af15-c8b9-11e6-ae1b-002590263bf5.html
2 problem(s) in the installed packages found.
***DONE***
-
Squid-Konfiguration müsste funktionieren. Ich würde aber den X-Forwarded-For-Header deaktivieren.
Langsam wer wie wo was.
Überfordere mich nicht. Versuche was ich kann aber wo ist das denn?
Proxy-Konfiguration - wenn das an ist, sendet er deine interne IP mit.
Default LAN sollte nicht ausgestellt werden, zumindest ist es hier nicht notwendig. Der Proxy sollte sofort laufen, es sei denn er hat Schwierigkeiten selbst ins Internet zu kommen (z.B. DNS).
Welche Version läuft? Funktioniert ein Firmware-Update? Behebt es vielleicht sogar das Problem?
Grüsse
Franco
Menno, ich denke ich sollte die any Regeln ausschalten ???
@tsom
Deaktiviere mal die beiden ANY-Regeln!
Richte mal folgende Regeln ein:
IPv4 UDP LAN net * * 53 (DNS) * DNS -> any
IPv4 TCP LAN net * * 443 (HTTPS) * HTTPS -> any
Nein, weil das keine Auswirkung auf die Nutzung des Proxy-Servers hat. Das macht dann Sinn, wenn du nur noch zugelassene Ports nach außen erlauben willst.
PS: DNS braucht man normalerweise auch nur bis zur Firewall erlauben.
-
Nicht für ungut.
Aber jetzt bin ich ganz verwirrt :'(
Dann waren die Regeln so wie sie waren erst mal gut. Oder doch nicht?
X-Forwarded-For-Header gut zu wissen aber da es nicht funktioniert kümmere ich mich später drum!
Was ist denn jetzt Sache?
Fakt ist ich kann nicht über den Proxy auf HTTP Seiten zugreifen und habe keinen Plan woran es liegt :'(
-
@tsom
So,
hier mal meine Basisregeln für meine OPNSense 16.7.12 mit transp. Proxy ohne SSL-Interception.
Läuft so bei mir seit einigen Wochen vollkommen problemlos.
Im Proxy ist die Shalla-List aktiv (Sperrliste).
Proto Source Port Destination Port Gateway Schedule Description
IPv4 TCP/UDP LAN_WLAN_Bridge net * LAN_WLAN_Bridge address 53 (DNS) * DNS nur im internen Netz
IPv4 UDP LAN_WLAN_Bridge net * LAN_WLAN_Bridge address 123 (NTP) * NTP nur im internen Netz
IPv4 TCP LAN_WLAN_Bridge net * * 443 (HTTPS) * HTTPS -> any
IPv4 TCP LAN_WLAN_Bridge net * * 995 (POP3/S) * POP3 SSL -> any
IPv4 TCP LAN_WLAN_Bridge net * * 993 (IMAP/S) * IMAP SSL -> any
IPv4 TCP LAN_WLAN_Bridge net * * SMTPSSL * SMTP SSL -> any
IPv4 TCP LAN_WLAN_Bridge net * 127.0.0.1 3128 * NAT redirect traffic to proxy
IPv4 TCP LAN_WLAN_Bridge net * This Firewall 22 (SSH) * SSH -> Firewall
-
@monstermania
Und das hilft mir jetzt in wie fern weiter?
-
An alle: Bitte freundlich bleiben und Verwirrung vermeiden. Die Lösung kann nicht schwierig sein.
-
kommt was an wenn der proxy deaktiviert ist und netcat (nc) auf 127.0.0.1:3128 hört? Man sollte was sehen, was mit "GET /" anfagen sollte.
-
@fabian
Könntest du mir bitte zu erst sagen was für Firewall Rules ich in Lan einstellen muss oder sollte damit ich mir nicht noch mehr Fehler einbaue als anscheind ja sowieso schon sind.
franko und monstermania sind sich anscheinend nicht einig und haben mich jetzt total verwirrt.
Wäre mir lieb wenn wir das Schritt für Schritt vergleichen dann findet sich ja eventuell der Fehler.
* * * LAN Address 443 80 222 * Anti-Lockout Rule
IPv4 * LAN net * * * * Default allow LAN to any rule
Deaktiviert => IPv4 UDP LAN net * * 53 (DNS) * DNS -> any
Deaktiviert => IPv4 TCP LAN net * * 443 (HTTPS) * HTTPS -> any
IPv6 * LAN net * * * * Default allow LAN IPv6 to any rule
IPv4 TCP LAN net * 127.0.0.1 3128 * NAT redirect traffic to proxy
-
die Filterregel ist ok.
nat muss wie folgt aussehen (und tut es vermutlich auch):
from lan_net:any to any:80 nat-to 127.0.0.1:3128
In der NAT-Ansicht kannst du eine Zugehörige Filterregel erstellen lassen (die letzte Regel bei dir), damit du eine Regel hast, die funktioniert.
Da du vorher aber sowieso aus lan_net alles erlaubst (any:any) müsste es auch ohne diese Regel funktionieren. Ich würde sie aber lieber drin lassen, falls du die any:any-Regel mal abdrehen solltest.
-
Danke Fabian :)
Firewall: NAT: Port Forward
LAN TCP * * LAN address 443 80 222 * * Anti-Lockout Rule
LAN TCP LAN net * * 80 (HTTP) 127.0.0.1 3128 redirect traffic to proxy
Ich denke das ist gut so.
-
Danke Fabian :)
Firewall: NAT: Port Forward
LAN TCP * * LAN address 443 80 222 * * Anti-Lockout Rule
LAN TCP LAN net * * 80 (HTTP) 127.0.0.1 3128 redirect traffic to proxy
Ich denke das ist gut so.
Ja, ist es ;)
-
Das ist super nochmals Danke für deine Hilfe!
Aber ... habe Proxy angestellt und auf Transparent gespeichert und http Seiten gehen immer noch nicht.
Da muß doch irgendwo was ganz blöde laufen.
-
Das einzige was mir einfallen würde, ist eben dass der Proxy nicht läuft.
Deaktiviere mal den Proxy ohne die Regel zu entfernen und führe dann das hier auf der Shell aus:
nc -l -p 3128
Wenn beim Aufruf einer HTTP-Webseite was auf der Shell zur Anzeige kommt, funktionieren die Firewallregeln.
Wenn das geht, solltest du den Proxy wieder einschalten. Wenn es dann nicht geht, ist vielleicht dein squid-Binary defekt.
-
Hallo Fabian
nc -l -p 3128
usage: nc [-46DdEFhklNnrStUuvz] [-e policy] [-I length] [-i interval] [-O length]
[-P proxy_username] [-p source_port] [-s source] [-T ToS]
[-V rtable] [-w timeout] [-X proxy_protocol]
[-x proxy_address[:port]] [destination] [port]
Nach wildem rumprobieren mit den Optionen da Googlen nicht möglich ist und die Installation ja nahezu Orginal ist werde ich einfach mal neu installieren.
Habe so langsam die Faxen dicke.
Die Lösung kann nicht schwierig sein.
Na dann ...
-
Ein voller Screenshot der Proxy-Einstellungs-Seite wäre hilfreich. Oder aber auf der Kommandozeile die folgende Ausgabe prüfen.
# pgrep squid
Die "Proxy läuft nicht" Theorie von Fabian passt jedenfalls zum beschriebenen Fehlerbild.
-
Generell würde ich sagen, dass der transparente Proxy funktioniert, zumindest tut er bei mir brav seinen Dienst. Daher vermute ich du hast einen Fehler in deiner Config. Also bitte Screenshots posten, dann findet man den Fehler vielleicht gemeinsam.
-
Hallo @all.
So ich habe das System jetzt neu installiert FritzBox (DHCP) -> OPNsense (DHCP) -> Client
Komme auch sofort ins Internet.
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9<RXCSUM,VLAN_MTU>
ether 00:09:6b:35:33:9f
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
inet6 fe80::1:1%fxp0 prefixlen 64 scopeid 0x1
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80008<VLAN_MTU,LINKSTATE>
ether 00:50:bf:a6:82:b2
inet6 fe80::250:bfff:fea6:82b2%dc0 prefixlen 64 scopeid 0x2
inet 192.168.178.25 netmask 0xffffff00 broadcast 192.168.178.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pflog0: flags=100<PROMISC> metric 0 mtu 33184
pfsync0: flags=0<> metric 0 mtu 1500
syncpeer: 0.0.0.0 maxupd: 128 defer: off
enc0: flags=0<> metric 0 mtu 1536
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
Update gemacht:
OPNsense 16.7-i386
FreeBSD 10.3-RELEASE-p5
OpenSSL 1.0.2h 3 May 2016
Nix konfiguriert außer SSH aktiviert.
Firewall Regeln sehen wie folgt aus:
* * * LAN Address 443 80 222 * Anti-Aussperrregel
IPv4 * LAN Netzwerk * * * * Default allow LAN to any rule
IPv6 * LAN Netzwerk * * * * Default allow LAN IPv6 to any rule
Firewall: NAT: Portweiterleitung
LAN TCP * * LAN Adresse 443 80 222 * * Anti-Aussperrregel
Bevor ich jetzt irgendetwas mache denke ich das es sinnvoll ist das ich das mit euch abgleiche und Schritt für Schritt durch gehe. Irgendwo muss ja der Fehler liegen. Screenshots gibt's dann auch wenn gewünscht.
Hoffe auf Hilfe
Gruß Peter
-
Hi Peter,
ich habe hier mal ein paar Screenshots gemacht, wie du den Proxy konfigurieren musst und wie die Firewallregeln aussehen müssen, damit es geht.
Vielleicht hift dir das weiter. Screenshot 4 ist die resultierende Regel aus der NAT-Regel - diese wird automatisch angelegt.
MfG
Fabian
-
Hallo Fabian, ich muss echt sagen: " Du bist verdammt hilfsbereit!" Danke Dir dafür.
Hier jetzt mal meine Screenshots:
Leider wie gehabt zum Glück kann ich https Seiten aufrufen aber http geht nicht.
nc -l -p 3128
usage: nc [-46DdEFhklNnrStUuvz] [-e policy] [-I length] [-i interval] [-O length]
[-P proxy_username] [-p source_port] [-s source] [-T ToS]
[-V rtable] [-w timeout] [-X proxy_protocol]
[-x proxy_address[:port]] [destination] [port]
pgrep squid
88742
88287
-
Ja ist mir bekannt ... es ist kein Windows .. habe trotzdem mal neu gestartet.
Wie zu erwarten keine Änderung. :(
-
sorry, wenn du das mit nc noch probieren willst - hier unterscheiden sich bsd und linux ein wenig - einach das "-p" auslassen, dann gehts.
Oben im Eck der Konfiguration ist das Icon auch grün? Irgendwie ist das komisch weil scheinbar läuft squid aber die Ports gehen nicht.
Da kann man nur mehr prüfen, ob diese offen sind - müsste irgendwie mit sockstat gehen. Bei nem transpatenten Proxy musst du am Client gar nix rebooten - egal welches OS.
-
sorry, wenn du das mit nc noch probieren willst - hier unterscheiden sich bsd und linux ein wenig - einach das "-p" auslassen, dann gehts.
Die Ausgabe ist gleich null :-[
Oben im Eck der Konfiguration ist das Icon auch grün? Irgendwie ist das komisch weil scheinbar läuft squid aber die Ports gehen nicht.
Alles "Grün" auf der Proxy Seite und auf der Dashboard Seite siehe Bild
Da kann man nur mehr prüfen, ob diese offen sind - müsste irgendwie mit sockstat gehen. Bei nem transpatenten
sockstat
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
squid pinger 46216 0 udp6 ::1:10523 ::1:62423
squid pinger 46216 1 udp6 ::1:10523 ::1:62423
squid squid 44086 6 udp4 6 *:36195 *:*
squid squid 44086 8 udp4 *:63241 *:*
squid squid 44086 10 tcp4 127.0.0.1:3128 *:*
squid squid 44086 11 tcp6 ::1:3128 *:*
squid squid 44086 12 tcp4 192.168.1.1:3128 *:*
squid squid 44086 14 udp6 ::1:62423 ::1:10523
squid squid 43995 8 dgram -> /var/run/log
root sshd 84965 3 tcp4 192.168.1.1:222 192.168.1.100:49550
root ntpd 41503 3 dgram -> /var/run/logpriv
root ntpd 41503 20 udp6 *:123 *:*
root ntpd 41503 21 udp4 *:123 *:*
root ntpd 41503 22 udp4 192.168.1.1:123 *:*
root ntpd 41503 23 udp6 fe80::1:1%fxp0:123 *:*
root ntpd 41503 24 udp6 fe80::250:bfff:fea6:82b2%dc0:123 *:*
root ntpd 41503 25 udp4 192.168.178.25:123 *:*
root ntpd 41503 26 udp4 127.0.0.1:123 *:*
root ntpd 41503 27 udp6 ::1:123 *:*
root ntpd 41503 28 udp6 fe80::1%lo0:123 *:*
squid pinger 34820 0 udp6 ::1:55086 ::1:46023
squid pinger 34820 1 udp6 ::1:55086 ::1:46023
root sshlockout 91912 3 dgram -> /var/run/logpriv
root radvd 58676 3 dgram -> /var/run/logpriv
dhcpd dhcpd 57203 3 dgram -> /var/dhcpd/var/run/log
dhcpd dhcpd 57203 7 udp4 *:67 *:*
dhcpd dhcpd 57203 20 udp4 *:51524 *:*
dhcpd dhcpd 57203 21 udp6 *:13446 *:*
root php-cgi 57142 0 stream /tmp/php-fastcgi.socket-1
root php-cgi 56914 0 stream /tmp/php-fastcgi.socket-1
root php-cgi 56699 0 stream /tmp/php-fastcgi.socket-1
root php-cgi 56503 0 stream /tmp/php-fastcgi.socket-0
root php-cgi 56368 0 stream /tmp/php-fastcgi.socket-0
root php-cgi 56161 0 stream /tmp/php-fastcgi.socket-0
nobody dnsmasq 56142 4 udp4 *:53 *:*
nobody dnsmasq 56142 5 tcp4 *:53 *:*
nobody dnsmasq 56142 6 udp6 *:53 *:*
nobody dnsmasq 56142 7 tcp6 *:53 *:*
nobody dnsmasq 56142 10 dgram -> /var/run/log
root php-cgi 50767 0 stream /tmp/php-fastcgi.socket-1
root php-cgi 48074 0 stream /tmp/php-fastcgi.socket-0
root lighttpd 47838 3 dgram -> /var/run/logpriv
root lighttpd 47838 4 tcp4 *:443 *:*
root lighttpd 47838 5 tcp6 *:443 *:*
root lighttpd 47838 6 tcp4 *:80 *:*
root lighttpd 47838 7 tcp6 *:80 *:*
root lighttpd 47838 9 tcp4 192.168.1.1:443 192.168.1.100:38514
root filterlog 32419 4 dgram -> /var/run/logpriv
_dhcp dhclient 19853 3 dgram -> /var/run/logpriv
root dhclient 14214 3 dgram -> /var/run/logpriv
root sshd 9134 3 tcp6 *:222 *:*
root sshd 9134 4 tcp4 *:222 *:*
root syslogd 8401 4 dgram /var/run/log
root syslogd 8401 5 dgram /var/run/logpriv
root syslogd 8401 6 dgram /var/dhcpd/var/run/log
root syslogd 8401 7 udp6 *:514 *:*
root syslogd 8401 8 udp4 *:514 *:*
root devd 226 4 stream /var/run/devd.pipe
root devd 226 5 seqpac /var/run/devd.seqpacket.pipe
root devd 226 7 dgram -> /var/run/logpriv
root python2.7 194 5 stream /var/run/configd.socket
root python2.7 194 8 dgram -> /var/run/logpriv
? ? ? ? tcp4 192.168.1.1:443 192.168.1.100:38508
? ? ? ? tcp4 192.168.1.1:443 192.168.1.100:38498
? ? ? ? tcp4 192.168.1.1:443 192.168.1.100:38504
? ? ? ? tcp4 192.168.1.1:443 192.168.1.100:38500
? ? ? ? tcp4 192.168.1.1:443 192.168.1.100:38502
? ? ? ? tcp4 192.168.1.1:443 192.168.1.100:38506
Proxy musst du am Client gar nix rebooten - egal welches OS.
Den Client habe ich auch nicht neu gestartet sondern den OPNsense falls irgendwelche Dienste die ich nicht sehe nicht gestartet sind.
Außer von dir bin ich bis jetzt von nichts begeistert. Hoffe du verstehst meinen Frust.
-
Fazit:
Ich habe den OPNsense neu installiert und mit Fabian sauber konfiguriert.
Ich habe in zwischen den pfsense probiert gleiches Problem!
Ich habe den IPfire und den IPcop und Copfilter installiert und die laufen beide.
Liegt es eventuell an BSD an der Hardware oder an der Kombination?
-
Tut mir echt leid, dass es nicht klappen will - bei mir geht das sowohl in der VM als auch auf der APU1d4. Vielleicht kann Franco dir da weiterhelfen. Das sockstat schaut übrigens OK aus. Ich gehe dann mal davon aus, dass der transparente Proxy läuft aber die Firewall nicht geht.
Unter Umständen braucht Frano dazu die /tmp/rules.debug - vorausgesetzt er hat Zeit.
-
Das Setup sieht gut aus. Wenn auch andere Lösung das gleiche Problem haben, dann liegt es vielleicht an einer Komponente außerhalb der Box: Wenn der Proxy läuft, aber trotzdem keine Antworten ankommen, bekommt dieser keine die er weiter reichen kann. Oder der Proxy wird von den Clients aus welchen Gründen auch immer nicht angenommen. :(
-
Hallo franco,
Ich habe den IPfire und den IPcop und Copfilter installiert und die laufen beide.
Scheint aber eher ein reines BSD Problem zu sein.
-
Ok,
an dieser Stelle verabschiede ich mich dann aus dem Beitrag!
Vielen Dank Fabian für deinen Einsatz! Das war mehr als lobenswert! :)
Ich bedauere das dieses Unterfangen anscheinend nicht zum Erfolg führt.
Warum auch immer, das werde ich wohl nie erfahren.
Schade drum!