OPNsense Forum

International Forums => German - Deutsch => Topic started by: lKDGELOE7Py8EeyG on February 25, 2018, 06:15:11 pm

Title: Ziel-Ausnahmeliste für WebProxy?
Post by: lKDGELOE7Py8EeyG on February 25, 2018, 06:15:11 pm

Hallo Zusammen,

ich habe die letzten 12h meine erste OpnSense-Installation aufgesetzt; komme ursprünglich aus der Sophos-Ecke. Wollte mal etwas "schlankes" nutzen... ;)

Okay, ich habe ein kleines Problem mit dem WebProxy. Konkret geht es darum, dass ich versuche, einen Client in einem entfernten Netz, das via OpenVPN-SSL und eine zweite OpnSense angebunden ist, via HTTP über den Browser anzusprechen.

An dieser Stelle funkt mir der WebProxy irgendwie dazwischen - ich kann alle Clients im entfernten Netz anpingen, auch HTTPS-Seiten (ich brösle kein HTTPS mit dem Proxy auf) bzw. Webseiten auf nicht-80-Ports lassen sich problemlos öffnen.

Ich vermute, dass es mit einer der FW-Regeln zu tun hat, die ich im Zuge der WebProxy-Einrichtung gemäß HowTo eingerichtet habe. Kriegs dummerweise nicht selbst hin -.-
Gibt's ggf. eine Option für den WebProxy, alla "Ausgeschlossene Netze für Proxy"?

Ich glaube nicht, dass ihr Details zur Umgebung braucht - trotzdem kurz ein Ausflug:
Beide Standorte nutzen als Router eine Fritzbox mit der OpnSense als VM dahinter. Im ersten Standort regulär (nutze hier das Fritzbox-Netz als Transfernetz zwischen FB und OpnSense, die Clients sind in einem eigenen Netz hinter der OpnSense), im zweiten Standort gefrickelt (d.h. Im Netz der Fritzbox sitzt die OpnSense, diese hat zwei LAN-Schnittstellen, die BEIDE im lokalen Netz mit je einer 192.168.3.0/24er IP landen).
Ich nutze die OpnSense im 2. Standort lediglich als VPN-Einsprungspunkt, keine weiteren Dienste.
Im Anhang eine sehr schnelle Paint-Zeichnung ;-)

Vielen Dank!

Title: Re: Ziel-Ausnahmeliste für WebProxy?
Post by: gmu on February 25, 2018, 06:30:15 pm

Hallo,

OPNsense WAN und LAN im selben Netz - wahrscheinlich noch mit 24er-Subnet?
In meinen Augen ein Designfehler - ggf. Konzept überdenken.

Hast Du einen Transparenten Proxy mit NAT-Regeln erstellt?

Was ist wenn Du am Browser eine Proxy-Ausnahme für den Webserver (192.168.3.10) machst?

Title: Re: Ziel-Ausnahmeliste für WebProxy?
Post by: lKDGELOE7Py8EeyG on February 25, 2018, 07:00:13 pm

Hallo,

das ist kein Designfehler - ich nutze das lediglich, "weil es mit wenig Aufwand funktioniert". Dass das in einem halbwegs ordentlichen Netz keinen Platz hat, ist mir klar. Ursprünglich wollte ich ein VPN von OpnSense zur Fritzbox aufmachen - da scheitere ich schlicht daran, dass mir die aktuelle Fritzbox-Firmware die erstellte Konfigurationsdatei nicht frisst. Habe 1h gegoogelt und ein paar Vorschläge ohne Erfolg versucht und mich dann schlicht wieder dieser 2-Bein-im-gleichen-Netz-Geschichte zugewandt, weil Sie mit einer ehem. Sophos UTM monatelang ohne Probleme funktioniert hat.

Ja, ich habe einen transparenten Proxy mit NAT-Regel erstellt. Die Ausnahme im Browser kann ich nicht setzen, bzw., das macht glaube ich keinen Sinn:
Meine Browser stehen auf Auto-Proxy-Config in Verbindung mit dem transp. Proxy der OpnSense. Selbst wenn ich in den Internetoptionen den Proxy händisch eintrage und eine Ausnahme für 192.168.3.10 setze, würde der transparente Proxy doch trotzdem wieder greifen?

 

Title: Re: Ziel-Ausnahmeliste für WebProxy?
Post by: gmu on February 25, 2018, 07:14:12 pm

Hallo,

wenn Du einen Transparenten Proxy hast, dann muss der Proxy auch auf den Webserver kommen.

Prüfe das mal auf der OPNsense mit dem WebProxy unter Interfaces > Diagnostics > Ping

Lass bei dem Ping die Source Address auf Default.

Wenn der Ping nicht geht, dann musst Du eine Route eintragen.
Die Route konnte ich nur per Putty/SSH eintragen, da vermutlich ein Bug existiert, wenn man selbst ein Gateway und eine Route anlegt.

Ich denke das müsste dann bei der auf de Skizze linken OPNsense eingetragen werden:

Code: [Select]

route add 192.168.3.0/24 192.168.178.2
Dann testen, ob der Ping von der WebProxy-OPNsense auf den Webserver geht.

Title: Re: Ziel-Ausnahmeliste für WebProxy?
Post by: lKDGELOE7Py8EeyG on February 25, 2018, 07:27:54 pm

Hey,

der Ping von "meiner" OpnSense an 192.168.3.10 geht tatsächlich nicht durch.
Beim Versuch die Route auf der Console hinzuzufügen erhalte ich die Meldung: "route already in table".

In der Routingtabelle ist eingetragen:
ipv4   192.168.3.0/24   10.10.0.2   UGS   8   1500   ovpns1

10.10.0.0/24 ist hierbei das VPN-Transfernetz zwischen den beiden OpnSence.
Müsste die .3.0er-Route auf die Ziel-OpnSence-IP innerhalb des VPN-Transfernetzes gehen, oder an die interne IP der Remote-OpnSence (d.h. 192.168.3.3?)?

Title: Re: Ziel-Ausnahmeliste für WebProxy?
Post by: gmu on February 25, 2018, 07:36:28 pm

Bei mir war das Probem, dass ich über das Webfrontend der OPNsense ein Gateway angelegt habe und dann die Route.
Das klappte beim speichern der Route bei laufendem Ping etwa 2 Sekunden. Dann ging der Ping nicht mehr.
Ich musste die Route und das Gateway an der OPNsense wieder löschen und dann mit dem Putty wie beschrieben anlegen.
Und schon konnte die OPNsense auf die Gegenseite zugreifen.

Du könntest auch bei deinen NAT-Regeln für den Transparenten Proxy versuchen mit
aktiviertem Destination/Invert und dann als Destination das Netz oder den Webserver angeben.
Das könnte ggf. auch funktionieren.

Nachtrag:
Wegen der 192.168.3.0/24 Route. Die müsste an die Schnittstelle gebunden werden, über die das VPN-Tunnel aufgebaut wird. Der Ping über die OPNsense sollte z.B. dann funktionieren, wenn Du als Source Address die jeweilige Schnittstelle auswählst. Dessen IP-Adresse ist dann in der Route als Gateway zu verwenden.