Probleme mit Squid auf der OPNSense

[MBG]

Hallo Zusammen

Ich habe jetzt seit neustem in unserem Netzwerk einen transparenten Proxy eingerichtet (HTTP 80/HTTPS 443). Der funktioniert auch soweit gut (Bisl Arbeit wegen CA aber dank Group Policy alles tip top).

Ich bin aber jetzt auf ein paar merkwürdige Probleme gestossen, wo ich nicht ganz verstehe:

- VMware vSphere Client funktioniert nicht, da der Proxy-Server nicht https://localhost.localdomain aufrufen kann (so Fehlermeldung von Squid) -> Kann man für diese Domains/IPs Regeln erstellen, dass diese nicht über den Proxy laufen?
- Diverse mobile Apps auf den Smartphones funktionieren nicht mehr (zB.: Snapchat kann sich nicht mehr aktualisieren; Facebook läuft auch mehr schlecht als recht) -> Kann man vielleicht in der Firewall Regeln konfigurieren, dass diese Geräte, bevor die NAT-Rule zum transparenten Proxy greift, direkt ihre Anfragen senden und direkt eine Antwort bekommen? Oder müssen Sie dafür in ein eigenes Netzwerk? Oder muss ich den transparenten Proxy deaktivieren und die Proxy-Einstellungen via Group Policy verteilen?

Gruss und danke für eure Hilfe!

PS: Falls mir noch mehr auffällt, poste ich es hier auch drin.

[monstermania]

Moin,
ich gehe mal davon aus, dass Du auch den SSL-Traffic aufbrichst.
Im Proxy kannst Du Adressen per Ausnahmeliste vorgeben, bei denen der SSL-Traffic nicht aufgebrochen wird (no bump sites). Dann lässt der Proxy die Informationen für diese Seiten passieren, ohne dass SSL aufgebrochen wird.
Schon mal viel Spaß beim pflegen der der Ausnahmeliste!!! 

Proxy-Verteilung per GPO nutzt Dir nichts bei mobilen Devices (iPad/iPhone/Android). Wenn Du einen nichttransparenten Proxy nutzen willst, würde ich die Verteilung per wpad-datei machen! Dann braucht es keine GPO und mobile Devices kommen i.d.R. auch damit klar.

Und ja, natürlich kannst Du in der FW auch Regeln definieren, dass z.B. Geräte die sich in einer bestimmten Alias-Gruppe befinden auch direkt ins Internet kommen.
Das sollte aber immer die letzte Option sein. Gerade wenn die Geräte wohlmöglich im gleichen Netz hängen, wie Deine anderen Geräte!
Ich nutze das bei mir zu Hause um unseren Smartphones den vollen WhatsApp Funktionsumfang zu ermöglichen.

Gruß
Dirk

[MBG]

Hallo Dirk

ich gehe mal davon aus, dass Du auch den SSL-Traffic aufbrichst.

Ja... Obwohl lieber mein Ziel wäre den SSL-Trafic über den Proxy zu leiten ohne ihn aufzubrechen... Aber dies ist wahrscheinlich nicht möglich.

Schon mal viel Spaß beim pflegen der der Ausnahmeliste!!! 

Danke! 

Proxy-Verteilung per GPO nutzt Dir nichts bei mobilen Devices (iPad/iPhone/Android). Wenn Du einen nichttransparenten Proxy nutzen willst, würde ich die Verteilung per wpad-datei machen! Dann braucht es keine GPO und mobile Devices kommen i.d.R. auch damit klar.

Mir ging es auch bei der Verteilung über die GPO auch darum, dass die mobilen Clients zum Proxy ausgeschlossen werden, damit Sachen wie Whatsapp, Facebook usw. funktionieren.
Wenn ich dies über eine WPAD-Datei mache, haben die mobilen Geräte ja auch wieder den Proxy drin...

Und ja, natürlich kannst Du in der FW auch Regeln definieren, dass z.B. Geräte die sich in einer bestimmten Alias-Gruppe befinden auch direkt ins Internet kommen.
Das sollte aber immer die letzte Option sein. Gerade wenn die Geräte wohlmöglich im gleichen Netz hängen, wie Deine anderen Geräte!
Ich nutze das bei mir zu Hause um unseren Smartphones den vollen WhatsApp Funktionsumfang zu ermöglichen.

Nur wie? Ich brauche diese Regel nur für unsere Smartphones. Ja Sie müssen im selben Netz hängen wie die Desktop-PCs, da wir Streaming-Geräte haben (z.B.: Sonos-Multi-Room-System, AppleTC, Chromecast), wo wir von PC und Handy drauf streamen und diese Geräte nicht für die Erkennung von VLANs ausgelegt sind...

Server liegen trotzdem nicht im selben Netz. Es teilen sich nur PCs, Smartphones und Multimedia-Geräte ein Netz.

Fazit:
Ich solle lieber eine GPO machen, die ich an die PCs (bzw. Userspezifisch auf die End-User) verteile, damit ich meine Smartphones und Streaming-Geräte vom Proxy ausschliessen kann, da die FW-Rule eher keine Option ist. Habe ich das richtig verstanden?

Gruss
Tony

[monstermania]

Moin,
der Proxy der OPNsense kann SSL-Domains auch filtern ohne den Traffic aufzubrechen. Diese Option heißt irgendwas mit 'log SNI only'.
Dann wird nur auf Domainebene gefiltert, aber der eigentliche Traffic geht durch ohne SSL aufzubrechen. Logischerweise funktioniert dann keine Filterung auf Inhaltsebene mehr (z.B. per ClamAV).

Das mit den Aliasgruppen für bestimmte Devices sollte recht problemlos funktionieren.
Ich habe das so realisiert, dass die betroffenen Geräte per DHCP eine feste Lease von der OPNsense bekommen. Anschließend habe ich die Geräte dann in einer Aliasgruppe zusammengefasst. In den FW-Regeln sind dann die Regeln den Aliasgruppen zugewiesen.
Ich schau heute Abend mal, dass ich Screenshots davon mache!

Da die NAT-Regeln vor den eigentlichen FW-Regeln greifen ist es wichtig, dass Du auch eine NAT-Regel(n) mit der Ausnahme für die obige Aliasgruppe für die Ports 80 und 443 erstellst!!! Im Augenblick werden durch die Proxy NAT-Regel(n) der Traffic für die Ports 80/443 auf den transparenten Proxy der OPNsense umgeleitet. 

Gruß
Dirk

[monstermania]

Moin,
anbei die Screenshots am Beispiel für WhatsApp.
Ich nutze zu Hause einen WLAN AP, der direkt ans LAN angeschlossen ist. Dadurch ist LAN/WLAN ein Netz!
Alle Devices im LAN/WLAN bekommen die IP-Adressen per DHCP. Für alle Devices die WhatsApp nutzen sollen, habe ich eine feste IP-Lease vergeben.
1. Bild 'Alias_Hosts.png'
Alle Geräte im LAN/WLAN, die WhatsApp nutzen sollen bzw. dürfen sind als Hostliste hinterlegt.

2. Bild 'Alias_Ports_tcp'
Die mir bekannten TCP-Ports, die durch WhatsApp genutzt werden sind als Portliste hinterlegt.

3. Bild 'Alias_Ports_tcp_udp'
Die mir bekannten TCP/UDP-Ports, die durch WhatsApp genutzt werden sind als Portliste hinterlegt.

4. Bild 'Alias_Ports_udp'
Die mir bekannten UDP-Ports, die durch WhatsApp genutzt werden sind als Portliste hinterlegt.

Damit sind die Aliase konfiguriert und es müssen nur noch die entsprechenden FW-Regeln erstellt werden.

[monstermania]

So,
hier nun die zugehörigen FW-Regeln auf dem LAN/WLAN-Interface.
1. Bild 'Rules_WhatsApp.png'
Die Regeln stellen sicher, dass nur die Geräte, die in der Aliasliste 'WhatsApp_Devices' per in den jeweiligen Alias-Portlisten hinterlegten WhatsApp_Ports zugreifen können.

Wenn ein neues Geräte dazukommt, dass WhatsApp nutzen soll/darf, so muss dieses dann einfach die die Geräteliste eingetragen werden.

Gruß
Dirk

PS: Natürlich kann man die durch WhatsApp genutzten tcp/udp Ports auch einfach in eine Liste packen und dann nur eine FW-Regel erstellen (tcp/udp)!