Messages

Hi Lochkartenknipser,

den Squid produktiv einzusetzen ist ein schwieriges Thema. Wir setzen mehrere OPNsense mit Squid ein in der Konfiguration:
- Transparent
- SSL inspection
- filterung MIME-Types
- Virenscanner Schnittstelle ICAP
- UT1 Blocklisten
- Alias Ausnahmen
- SARG
Aber mit jedem Update der OPNsense ist fraglich ob der Proxy noch komplett funktioniert. Meistens gibt es Probleme. Fragen zu dem Thema werden meist nicht beantwortet.
(...)

O.K., irgendwie hatte ich das befürchtet :-/. Besten Dank für die Info!

Gibt es ansonsten brauchbare Alternativen für einen Proxy unter OPNsense? Vielleicht ist das von mir überbewertet, aber ein Proxy ist aus meiner Sicht schon auch ein wesentlicher Bestandteil der Absicherung mit Reputationskontrolle, Virenscan usw.. Ich bin gerade dabei von einer Sophos UTM auf OPNsense zu wechseln und da geht sowas seit Jahren - das auch recht ordentlich für meinen Geschmack.

Hhhmmmm...

Just saw this topic as I already opened a quite similar ones. Same issue for me without any solution yet.

Hi,

I was not able to identify a way, how to apply policy based routing to any web requests throught the SQUID Proxy. I've multiple WAN and would like to route web requests fto some servers throught a dedicated WAN. Any idea, how to solve that?

Thanx,
Armin

Hi,

ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)

Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.

Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.

Gibt es eine Musterlösung dazu? Welche Optionen hätte man?

Hi,

irgendwie werden mir zu geladenen ACLs im SQUID keinerlei Kategorien angezeigt. Im Internet findet man dazu zwar endlos viele Beiträge und das eigentlich auch schon seit vielen Monaten, aber irgendwie keine vernüftige Lösung, außer über das CLI irgendein Index neu aufzubauen. Ich hätte da meine Sorge, dass man das dann nach jedem Update der Listen neu machen darf. Es wird auch von anderen Lösungen berichtet, die aber nicht funktionieren (z.B. SQUID oder gleich die OS neu starten). Man könne auch die einzelnen Listen (bei UT 1 z.B.) kategoriebezogen runterladen und dann hätte man es ja!?!?

Mich wundert etwas, dass dieses Problem schon länger zu bestehen scheint, aber dennoch keinerlei nachhaltige Lösung existiert. Meine Version ist die 25.10.1).

Mache ich hier irgendwas banales falsch oder ist das jetzt wirklich so? D.h. die Kategorien scheinen komplett nicht nutzbar zu sein. Auch hab ich noch nicht herausgefunden, wo ich die Kategorien nachher dann individuell für einzelne Clients aktivieren kann, wenn sie denn dann funktionieren täten.