Messages

1

German - Deutsch / Re: Transparent HTTPS Proxy ohne Zertifikate

« on: April 12, 2023, 10:57:16 pm »

Danke für die Antwort!
Ich habe es mal ohne "Enable SSL inspection" versucht, dann erscheint folgende Meldung:
When enabling "Log SNI information only", SSL inspection must also be enabled

Ich will den Traffic ja gar nicht entschlüsseln, sondern nur Domain Filtering vornehmen.

Die beiden anderen Threads deuten ja sehr stark darauf hin, dass das grundsätzlich schon so machbar ist.
Auf meiner alten Sophos UTM hatte das auch ohne Probleme geklappt.

Habe noch diesen Thread gefunden:
https://forum.opnsense.org/index.php?topic=3644.0

Die Antworten 10-12 zeigen, das das eigentlich funktioniert.
Mit der SNI-Option wird HTTPS nicht aufgebrochen und die Zertifikate bleiben unberührt.
Sprich nur Domain-Filtering möglich.
Würde mich sehr freuen falls noch jemand eine Idee zur Fehlerbhebung hat...

2

German - Deutsch / Transparent HTTPS Proxy ohne Zertifikate

« on: April 12, 2023, 07:05:52 pm »

Hallo zusammen,
ich sitze hier seit Stunden an einer aus meiner Sicht simplen Sache, bekomme es aber einfach nicht zum Laufen.

Ziel:
Transparenter Web Proxy für HTTP und HTTPS, ohne irgendwelche Zertifikate ausrollen zu müssen.
Damit sollen ausschließlich Domains gefiltert werden, keine SSL-Inspection, keine Inhalte prüfen/AV etc.
(Kann ich nicht mit FW-Regeln machen, weil ich wildcard-Einträge brauche)

Mein Versuch dazu:
Gemäß offizieller Anleitung den Transparent Web Proxy eingerichtet mit passenden NAT-Regeln und die ACLs befüllt. Ergebnis HTTP läuft wie vorgesehen.
Kompliziert und nicht nachvollziehbar wird es bei HTTPS:
Ich habe angehakt:
- Enable Transparent HTTP proxy
- Enable SSL inspection
- Log SNI information only

Laut Recherche soll insbesondere die letzte Option das tun, was ich eigentlich versuche zu tun.
Ergebnis:
Wenn ich keine CA erstellt habe, dann startet der squid-Dienst nicht mehr mit der Meldung, dass er eine CA bräuchte (was für meinen Zweck unnötig ist?).
Wenn ich eine Dummy-CA erstelle und eintrage, kommen bei den Clients Zertifkatsfehler mit Hinweis auf die Dummy-CA.
Wenn ich eine Dummy-CA erstelle und im Proxy die CA auf "none" stelle, dann bleibt das Verhalten identisch als wäre sie doch ausgewählt.

Laut folgender Quelle sollte es doch eigentlich gehen:
https://forum.opnsense.org/index.php?topic=13329.0

Evtl. hat es auch hiermit zu tun, denn was ich versuche ist ja gerade ein "splice all", wenn ich das richtig verstehe:
https://forum.opnsense.org/index.php?topic=5496.0

Hat jemand noch einen Tipp, ich hab das Gefühl ich sehe den Wald vor lauter Bäumen nicht mehr...

3

Web Proxy Filtering and Caching / Re: Access Denied when connecting to one site with transparent, remote-acl

« on: April 01, 2023, 05:56:29 pm »

Hello,
i'm currently setting up my OPNsense and network and have the same issue.
I have installed a proxmox server, and I want to block internet access for it except the update repositories.

So i configured web proxy in transparent mode and HTTP only.
There I whitelisted the necessary domains.

If I try to update, then errors occur in proxmox and the web proxy log.
Setting the proxy manually in proxmox along with a FW rule didn't help and isn't a real solution.
Bypassing the proxy by allowing direct access works normally.
Is there any way to fix this?


EDIT:
I found the solution, my whitelist item was wrong.
The hints in OPNsense displayed as "full help" are kind of confusing.
To get the expressions right i recommend this tool to learn and test them:
https://www.regextester.com/