Migration - Ipfire -> opnSense

[CoolTux]

Sprich eine generelle Funktion des transparent Proxy ist gegeben? Also wenn Du keine Proxydaten im Browser hinterlegst kannst Du dennoch Seiten aufrufen?
Klappen denn HTTP Seiten schnell und zuverlässig? Wenn ja, was ist das für eine Kiste die Du da hast, man brauch ja auch bisschen Power oder Hardware acceleration.

[lenny]

Aufrufen ja, es erscheint jedoch bei HTTPS immer eine Warn oder Fehlermeldung. Je nach Ziel lässt sich diese im Firefox umgehen oder er sagt, es ist ein man in the middle.
Intelligenz von FF?
Bei der Masse an HTTPS Seiten wird diese jedoch wie im screenshot nicht korrekt wiedergegeben.

Läuft derzeit als Test noch auf einer Oracle VM Box auf einem i7 System

[CoolTux]

Power denke ich sollte reichen. Zeig mal bitte die Warnung vom Firefox als Screen.

[lenny]

hier die beiden verschiedenen Fehlermeldung, trotz gleicher Einstellung.

Übrigens, wenn der Haken bei SNI eingeschaltet ist, dann funktioniert es. Dann wird jedoch auch das reguläre Zertifikat verwendet.
Eine Untersuchung auf Viren etc. ist dann nicht möglich

[CoolTux]

Ah das hattest du glaube nur erwähnt das Du die Packet auf Viren untersuchen willst 
Aber schon mal gut zu wissen daß es mit Haken geht.

Leider habe ich dann auch keine Idee weiter.

[lenny]

Kann eigentlich nur der ca geschuldet sein, oder?
Ich probiere Mal weiter.
Aber dir vielen Dank für deine Unterstützung, bin dadurch schon deutlich weiter gekommen.

[CoolTux]

Bitte hab ich gerne gemacht. Berichte dann mal bitte vom Ergebnis.

[fabian]

Du musst das CA-Zertifikat in Firefox importieren. Dann sollte es gehen.

[CoolTux]

OK, ich bin davon ausgegangen daß dies Standard ist. So habe ich nun nicht gedacht.
Aber jetzt wo Du es sagst würde das ein Sinn ergeben. Das rootCA muss unter Vertrauensstellen oder so hinzu gefügt werden.

[fabian]

Ja genau. AFAIK "Vertrauenswürdige Stammzertifizierungsstellen" unter Windows. OpenSSL store in Linux, I'm eigenen Store von Firefox, Java und was halt sonst noch so nen CA Store hat.

[lenny]

echt, ist dies ein MUSS? ich habe gedacht (ok mein Fehler  ) dass man dies, wie bei üblichen selbstsignierten Zerts mit einer Warnung bestätigen kann und dennoch zugreift.
Hier jedoch schein FF so intelligent zu sein, dass es einen vermeintlichen man-in-the-middle Angriff erkennt.

Wäre das Problem umgehbar, wenn man z.B. Lets Encrypt Zertifikate verwendet? Sofern dies überhaupt möglich ist.

[edit]
scheint ein ähnliches Fehlerbild gehabt zu haben:
https://forum.opnsense.org/index.php?topic=11008.0

[mimugmail]

Das größte Problem ist certificate pinning wo das Zertifikat z.B. in einer App gespeichert wird, dann geht die Seite grundsätzlich nicht. ZB Twitter oder Facebook, aber auch Spiegel und Süddeutsche Apps laden gar nicht, auch wenn du CA im Store hast. Das kann bei Firefox theoretisch auch irgendwann passieren, da er einen eigenen Store hat.

[lenny]

Puh, das wird ja richtig kompliziert.
Scheint also gar nicht so erstrebsam zu sein, den SSL Verkehr zu durchsuchen, weil die Hälfte am Ende nicht mehr funktioniert?!

[mimugmail]

Genau, deswegen machen die Kommerziellen jetzt auf encrypted traffic analyses .. also den ssl stream zu untersuchen. Da gibts auf im open source Umfeld aber nix ...