Messages

Hi Elleven,
den Squid produktiv einzusetzen ist ein schwieriges Thema. Wir setzen mehrere OPNsense mit Squid ein in der Konfiguration:
- Transparent
- SSL inspection
- filterung MIME-Types
- Virenscanner Schnittstelle ICAP
- UT1 Blocklisten
- Alias Ausnahmen
- SARG
Aber mit jedem Update der OPNsense ist fraglich ob der Proxy noch komplett funktioniert. Meistens gibt es Probleme. Fragen zu dem Thema werden meist nicht beantwortet.

Wir haben auf 5 Firewalls den Proxy aktuell deaktiviert, was ein sehr unzufriedener Zustand ist.
Mit der aktuellen Version 25.7.10 funktioniert die UT1 Liste über den Link: ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz aber die ausgewählten Kategorien werden mit "Apply" nicht übernommen. Nur ein Neustart des Squid-Services löst das Problem. Aber in der Zeit sind alle User Offline.
Aktuell setzen wir den Squid nur in unserer Testumgebung ein.

Hi,

This workaround is only half the story. In version 25.7.3_7, the blocklist is downloaded after adding it, but the changes are only applied after the Squid service is restarted. Simply "Apply" or "Download ACLs and Applay" is not sufficient. Therefore, the Squid service must be restarted every time a change is made to the "Remote Access Control Lists."

Markus

Hallo BüroMensch,

wie Patrick schon schreibt, gib mal ein paar mehr Informationen.
Denn eine 884VA kann eine Telekomversion sein oder Lancom normal. Gibt es auf der Lancom noch mehrere VPN-Tunnels? denn die Telekomversion kann nur 3 gleichzeitige IPSec-Tunnel (v1 oder v2). Ansonsten mußt Du eine Enterprice Option kaufen. Dann hast Du 5 gleichzeitige Tunnels.
Das einrichten eines IPsec-Tunnels (das ist das VPN, das die Lancom spricht) ist kein größeres Problem. Auf der Lancom den Tunnel mit den Lantools vorkonfigurieren und dann die Feinheiten anpassen. Auf der OPNsense den gegenpart konfigurieren und das wars. Firewallregeln nicht vergessen.

Grüße
Markus

Las mal auf dem Win-Server ein Wireshark mitlaufen und schaue was wirklich passiert.

Gruß
Markus

Hallo,
hat das Problem noch jemand?

Gruß
Markus

Hallo,

ich habe unsere Test OPNsense von 25.1.7 auf 25.1.12 hochgehoben. In der OPNsense läuft der Squid Proxy mit der UT1 und MIME types.
In der 25.1.7 funktionieren die MIME types. Wenn ich ein Test .docx herunterlade wird dies geblockt. Entferne ich den MIME type, wird das .docx als virus erkannt (ist korrekt so, ist ein .docx mit eingebautem Testvirus).
Wenn ich die OPNsense nun update auf 25.1.12, wird das .docx immer über die MIME typs geblockt. selbst wenn ich den Eintrag in den MIME types lösche. Die Änderungen werden erst übernommen, wenn ich den Dienst (squid proxy) neu starte oder die gesamte OPNsense.
Wenn ich dann update auf 25.7 ist das Verhalten genau das selbe. Aber zusätzlich kann ich die UT1 nicht mehr herunterladen. Die Kategorien bleiben  leer.

Gruß
Markus

Hallo zusammen,
Ich habe eine Frage zum Squid-Proxy. OPNsense Version 25.1.5_5 auf einem Protectli VP2420.
Ich nutze den Squid-Proxy im transparenten Modus mit C-ICAP und ClamAV. Die UT1-Blockliste ist ebenfalls aktiv.
Bislang funktioniert alles einwandfrei. Allerdings habe ich das Problem, dass manche Webseiten bis zu 5 Minuten zum Öffnen brauchen.
Dazu gehört zum Beispiel die OPNsense-Forum-Website. Ich erhalte dann unten im Browser eine Meldung, z. B. ,,Suche use.fontawesome.com".
Auch wenn ich die Website mehrmals neu lade, öffnet sie sich.
Liegt das an den Einstellungen von Squid? Hat jemand einen Tip für mich?

Vielen Dank,
Markus

Hello everyone,
I have a question about the Squid proxy. OPNsense version 25.1.5_5 on a Protectli VP2420.
I'm running the Squid proxy in transparent mode with C-ICAP and ClamAV. The UT1 blocklist is also active.
Everything's working fine so far. However, I'm having the problem that some websites take up to 5 minutes to open.
This includes the OPNsense forum website, for example. I then get a message at the bottom of the web browser, e.g., "Look up use.fontawesome.com."
If I reload the website several times, it opens.
Is this a setting issue in Squid?

Thank you very much
Markus

Ich bin einen Schritt weiter. Wenn ich die UT1 liste als https-downlad einhänge, kann ich diese downloaden.
Das Problem liegt am ftp-download.

Der ISP ist K-Net mit Vlan 751 DHCP. MTU-Problem würde man über einen tcpdump gut sehen. Aber im tcpdump ist wirklich nur das SYN-Packet zu sehen. Nicht mal ein SYN-ACK.

Hallo,
ich hätte da mal ein Problem:
Ich habe jetzt 4 OPNsensen erfolgreich von 24.7.12_4 auf 25.1.5_5 aktualisiert. Alle sind fast gleich konfiguriert bis auf den ISP.
- UnboundDNS
- Transparenter Squid mit UT1 Blocklisten
- ClamAV
- ISC DHCPv4
- Monit
- Ntopng
- CrowdSec
- GeoIP Blocking
- IPSec und OpenVPN
- SARG
- VnStat
- Verschiedene Blocklisten für WAN und Lan (Vlans)
- 4x Vlan für verschiedene Netze

Bei dem Letzten Updaten einer OPNsense (Protectli VP2420) ist mir irgendwie Die UT1 Liste im Squid um die Ohren geflogen. Ich kann keine Kategorien mehr auswählen in der UT1 liste (Nothing selected) und alle Kategorien sind weg. Ich habe dann mal unter /var/log in das Systemlog geschaut und siehe da:

fetchACLs.py 67250 - [meta sequenceId="1"] proxy acl: error downloading ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Ich habe dann ein tcpdump mitlaufen lassen und bekomme nur einen SYN auf die IP von der UT1 Liste (heimdall.ut-capitole.fr 193.49.48.249). Namensauflösung funktioniert.
Die OPNsense funktioniert ansonsten ganz normal. Der ClamAV funktioniert auch.

Kann mir jemand helfen, wie ich das Problem beseitigen kann?
Grüße
Markus

Hallo meyergru,

vielen Dank für die Info. Ich habe den  "X-Forwarded-For header handling" auf "do not alter forward header (transparent)" gestellt. Damit wird die öffentliche IP angezeigt.

Vielen Dank nochmal
Markus

Hallo zusammen,

ich hätte da mal ein Problem.
Ich habe auf einer OPNsense 24.7.12_4 auf Protectli VP2420 zwei Vlans auf dem Interface igc1 konfiguriert.
Einmal internes Lan und einmal Gästelan.
Wenn ich mich mit dem PC im Gästelan befinde und rufe die Webseite "iplocation.net" auf, wird die Wan-IP von Vodafone angezeigt (konfiguriert auf igc0).

Wenn ich mich mit dem PC im Internen Lan befinde und rufe die Webseite auf, wird meine Private IP von dem PC angezeigt.
Das Interne Lan läuft über einen transparenten Proxy.
Das GW ist in beiden Netzen die OPNsense.
Das interne LAN hat als DNS einen Microsoft DNS, da eine Domain konfiguriert ist.
Das GästeLan hat als DNS und DHCP die OPNsense.
Die Frage ist nun, warum wird von den internen PCs die Private IP angezeigt auf der Werbseite "iplocation.net"?
Wenn ich die IP abfrage über "wieistmeineip.de" wird in beiden Vlans die öffentliche IP angezeigt. Also alles wie es sein soll.

Vielen Dank
Markus

Hallo ralus,

willkommen im Club.
Ich habe 3 OPNsense mit Squid laufen und habe genau das selbe Problem. Bis jetzt keine Lösung.

Grüße
Markus

Hallo emmitt,

als erstes würde ich mal eine Deny Regel für DNS einrichten was von den Clients kommt. Nur die OPNsense darf DNS beantworten. Dann siehst Du schon mal was da alles aufschlägt und ob die Äpfel eigene DNS-Server abfragen möchten.

Als nächstes würde ich einen Mirror-Port auf dem Switch einrichten (wenn Du einen gemanagten Switch hast) und einen Wireshark mitlaufen lassen. Dann siehst Du genau wo die Clients hinmöchten und wie oft.

Grüße
Markus