Neuling Transparenter Proxy

franco · January 05, 2017, 02:44:20 PM

Ein voller Screenshot der Proxy-Einstellungs-Seite wäre hilfreich. Oder aber auf der Kommandozeile die folgende Ausgabe prüfen.

# pgrep squid

Die "Proxy läuft nicht" Theorie von Fabian passt jedenfalls zum beschriebenen Fehlerbild.

Micky · January 05, 2017, 04:25:05 PM

Generell würde ich sagen, dass der transparente Proxy funktioniert, zumindest tut er bei mir brav seinen Dienst. Daher vermute ich du hast einen Fehler in deiner Config. Also bitte Screenshots posten, dann findet man den Fehler vielleicht gemeinsam.

tsom · January 06, 2017, 01:07:55 PM

Hallo @all.
So ich habe das System jetzt neu installiert FritzBox (DHCP) -> OPNsense (DHCP) -> Client
Komme auch sofort ins Internet.

Code Select


fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=9<RXCSUM,VLAN_MTU>
	ether 00:09:6b:35:33:9f
	inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255 
	inet6 fe80::1:1%fxp0 prefixlen 64 scopeid 0x1 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=80008<VLAN_MTU,LINKSTATE>
	ether 00:50:bf:a6:82:b2
	inet6 fe80::250:bfff:fea6:82b2%dc0 prefixlen 64 scopeid 0x2 
	inet 192.168.178.25 netmask 0xffffff00 broadcast 192.168.178.255 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
pflog0: flags=100<PROMISC> metric 0 mtu 33184
pfsync0: flags=0<> metric 0 mtu 1500
	syncpeer: 0.0.0.0 maxupd: 128 defer: off
enc0: flags=0<> metric 0 mtu 1536
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet 127.0.0.1 netmask 0xff000000 
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Update gemacht:

Code Select


OPNsense 16.7-i386
FreeBSD 10.3-RELEASE-p5
OpenSSL 1.0.2h 3 May 2016

Nix konfiguriert außer SSH aktiviert.

Firewall Regeln sehen wie folgt aus:

Code Select


* 	* 	* 	LAN Address 	443 80 222 	* 	  	Anti-Aussperrregel 	
IPv4 * 	LAN Netzwerk 	* 	* 	* 	* 		Default allow LAN to any rule 	
IPv6 * 	LAN Netzwerk 	* 	* 	* 	* 		Default allow LAN IPv6 to any rule

Firewall: NAT: Portweiterleitung

Code Select


LAN 	TCP 	* 	* 	LAN Adresse 	443 80 222 	* 	* 	Anti-Aussperrregel

Bevor ich jetzt irgendetwas mache denke ich das es sinnvoll ist das ich das mit euch abgleiche und Schritt für Schritt durch gehe. Irgendwo muss ja der Fehler liegen. Screenshots gibt's dann auch wenn gewünscht.

Hoffe auf Hilfe
Gruß Peter

fabian · January 06, 2017, 01:43:31 PM

Hi Peter,

ich habe hier mal ein paar Screenshots gemacht, wie du den Proxy konfigurieren musst und wie die Firewallregeln aussehen müssen, damit es geht.

Vielleicht hift dir das weiter. Screenshot 4 ist die resultierende Regel aus der NAT-Regel - diese wird automatisch angelegt.

MfG

Fabian

tsom · January 06, 2017, 02:35:55 PM

Hallo Fabian, ich muss echt sagen: " Du bist verdammt hilfsbereit!" Danke Dir dafür.
Hier jetzt mal meine Screenshots:

Leider wie gehabt zum Glück kann ich https Seiten aufrufen aber http geht nicht.

Code Select


nc -l -p 3128
usage: nc [-46DdEFhklNnrStUuvz] [-e policy] [-I length] [-i interval] [-O length]
	  [-P proxy_username] [-p source_port] [-s source] [-T ToS]
	  [-V rtable] [-w timeout] [-X proxy_protocol]
	  [-x proxy_address[:port]] [destination] [port]

Code Select


pgrep squid
88742
88287

tsom · January 06, 2017, 02:50:03 PM

Ja ist mir bekannt ... es ist kein Windows .. habe trotzdem mal neu gestartet.
Wie zu erwarten keine Änderung. :(

fabian · January 06, 2017, 05:07:56 PM

sorry, wenn du das mit nc noch probieren willst - hier unterscheiden sich bsd und linux ein wenig - einach das "-p" auslassen, dann gehts.

Oben im Eck der Konfiguration ist das Icon auch grün? Irgendwie ist das komisch weil scheinbar läuft squid aber die Ports gehen nicht.
Da kann man nur mehr prüfen, ob diese offen sind - müsste irgendwie mit sockstat gehen. Bei nem transpatenten Proxy musst du am Client gar nix rebooten - egal welches OS.

tsom · January 06, 2017, 07:19:58 PM

Quote from: fabian on January 06, 2017, 05:07:56 PM
sorry, wenn du das mit nc noch probieren willst - hier unterscheiden sich bsd und linux ein wenig - einach das "-p" auslassen, dann gehts.

Die Ausgabe ist gleich null :-[

Quote from: fabian on January 06, 2017, 05:07:56 PM
Oben im Eck der Konfiguration ist das Icon auch grün? Irgendwie ist das komisch weil scheinbar läuft squid aber die Ports gehen nicht.

Alles "Grün" auf der Proxy Seite und auf der Dashboard Seite siehe Bild

Quote from: fabian on January 06, 2017, 05:07:56 PM
Da kann man nur mehr prüfen, ob diese offen sind - müsste irgendwie mit sockstat gehen. Bei nem transpatenten

Code Select


sockstat 
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
squid    pinger     46216 0  udp6   ::1:10523             ::1:62423
squid    pinger     46216 1  udp6   ::1:10523             ::1:62423
squid    squid      44086 6  udp4 6 *:36195               *:*
squid    squid      44086 8  udp4   *:63241               *:*
squid    squid      44086 10 tcp4   127.0.0.1:3128        *:*
squid    squid      44086 11 tcp6   ::1:3128              *:*
squid    squid      44086 12 tcp4   192.168.1.1:3128      *:*
squid    squid      44086 14 udp6   ::1:62423             ::1:10523
squid    squid      43995 8  dgram  -> /var/run/log
root     sshd       84965 3  tcp4   192.168.1.1:222       192.168.1.100:49550
root     ntpd       41503 3  dgram  -> /var/run/logpriv
root     ntpd       41503 20 udp6   *:123                 *:*
root     ntpd       41503 21 udp4   *:123                 *:*
root     ntpd       41503 22 udp4   192.168.1.1:123       *:*
root     ntpd       41503 23 udp6   fe80::1:1%fxp0:123    *:*
root     ntpd       41503 24 udp6   fe80::250:bfff:fea6:82b2%dc0:123 *:*
root     ntpd       41503 25 udp4   192.168.178.25:123    *:*
root     ntpd       41503 26 udp4   127.0.0.1:123         *:*
root     ntpd       41503 27 udp6   ::1:123               *:*
root     ntpd       41503 28 udp6   fe80::1%lo0:123       *:*
squid    pinger     34820 0  udp6   ::1:55086             ::1:46023
squid    pinger     34820 1  udp6   ::1:55086             ::1:46023
root     sshlockout 91912 3  dgram  -> /var/run/logpriv
root     radvd      58676 3  dgram  -> /var/run/logpriv
dhcpd    dhcpd      57203 3  dgram  -> /var/dhcpd/var/run/log
dhcpd    dhcpd      57203 7  udp4   *:67                  *:*
dhcpd    dhcpd      57203 20 udp4   *:51524               *:*
dhcpd    dhcpd      57203 21 udp6   *:13446               *:*
root     php-cgi    57142 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    56914 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    56699 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    56503 0  stream /tmp/php-fastcgi.socket-0
root     php-cgi    56368 0  stream /tmp/php-fastcgi.socket-0
root     php-cgi    56161 0  stream /tmp/php-fastcgi.socket-0
nobody   dnsmasq    56142 4  udp4   *:53                  *:*
nobody   dnsmasq    56142 5  tcp4   *:53                  *:*
nobody   dnsmasq    56142 6  udp6   *:53                  *:*
nobody   dnsmasq    56142 7  tcp6   *:53                  *:*
nobody   dnsmasq    56142 10 dgram  -> /var/run/log
root     php-cgi    50767 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    48074 0  stream /tmp/php-fastcgi.socket-0
root     lighttpd   47838 3  dgram  -> /var/run/logpriv
root     lighttpd   47838 4  tcp4   *:443                 *:*
root     lighttpd   47838 5  tcp6   *:443                 *:*
root     lighttpd   47838 6  tcp4   *:80                  *:*
root     lighttpd   47838 7  tcp6   *:80                  *:*
root     lighttpd   47838 9  tcp4   192.168.1.1:443       192.168.1.100:38514
root     filterlog  32419 4  dgram  -> /var/run/logpriv
_dhcp    dhclient   19853 3  dgram  -> /var/run/logpriv
root     dhclient   14214 3  dgram  -> /var/run/logpriv
root     sshd       9134  3  tcp6   *:222                 *:*
root     sshd       9134  4  tcp4   *:222                 *:*
root     syslogd    8401  4  dgram  /var/run/log
root     syslogd    8401  5  dgram  /var/run/logpriv
root     syslogd    8401  6  dgram  /var/dhcpd/var/run/log
root     syslogd    8401  7  udp6   *:514                 *:*
root     syslogd    8401  8  udp4   *:514                 *:*
root     devd       226   4  stream /var/run/devd.pipe
root     devd       226   5  seqpac /var/run/devd.seqpacket.pipe
root     devd       226   7  dgram  -> /var/run/logpriv
root     python2.7  194   5  stream /var/run/configd.socket
root     python2.7  194   8  dgram  -> /var/run/logpriv
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38508
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38498
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38504
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38500
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38502
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38506

Quote from: fabian on January 06, 2017, 05:07:56 PM
Proxy musst du am Client gar nix rebooten - egal welches OS.

Den Client habe ich auch nicht neu gestartet sondern den OPNsense falls irgendwelche Dienste die ich nicht sehe nicht gestartet sind.

Außer von dir bin ich bis jetzt von nichts begeistert. Hoffe du verstehst meinen Frust.

tsom · January 07, 2017, 11:23:52 AM

Fazit:
Ich habe den OPNsense neu installiert und mit Fabian sauber konfiguriert.
Ich habe in zwischen den pfsense probiert gleiches Problem!
Ich habe den IPfire und den IPcop und Copfilter installiert und die laufen beide.

Liegt es eventuell an BSD an der Hardware oder an der Kombination?

fabian · January 07, 2017, 05:05:35 PM

Tut mir echt leid, dass es nicht klappen will - bei mir geht das sowohl in der VM als auch auf der APU1d4. Vielleicht kann Franco dir da weiterhelfen. Das sockstat schaut übrigens OK aus. Ich gehe dann mal davon aus, dass der transparente Proxy läuft aber die Firewall nicht geht.

Unter Umständen braucht Frano dazu die /tmp/rules.debug - vorausgesetzt er hat Zeit.

franco · January 07, 2017, 05:50:53 PM

Das Setup sieht gut aus. Wenn auch andere Lösung das gleiche Problem haben, dann liegt es vielleicht an einer Komponente außerhalb der Box: Wenn der Proxy läuft, aber trotzdem keine Antworten ankommen, bekommt dieser keine die er weiter reichen kann. Oder der Proxy wird von den Clients aus welchen Gründen auch immer nicht angenommen. :(

tsom · January 07, 2017, 06:09:56 PM

Hallo franco,

Quote from: tsom on January 07, 2017, 11:23:52 AM
Ich habe den IPfire und den IPcop und Copfilter installiert und die laufen beide.

Scheint aber eher ein reines BSD Problem zu sein.

tsom · January 07, 2017, 07:30:10 PM

Ok,
an dieser Stelle verabschiede ich mich dann aus dem Beitrag!

Vielen Dank Fabian für deinen Einsatz! Das war mehr als lobenswert! :)

Ich bedauere das dieses Unterfangen anscheinend nicht zum Erfolg führt.
Warum auch immer, das werde ich wohl nie erfahren.

Schade drum!

Neuling Transparenter Proxy

franco

January 05, 2017, 02:44:20 PM #30

Micky

January 05, 2017, 04:25:05 PM #31

tsom

January 06, 2017, 01:07:55 PM #32

fabian

January 06, 2017, 01:43:31 PM #33

tsom

January 06, 2017, 02:35:55 PM #34

tsom

January 06, 2017, 02:50:03 PM #35

fabian

January 06, 2017, 05:07:56 PM #36

tsom

January 06, 2017, 07:19:58 PM #37

tsom

January 07, 2017, 11:23:52 AM #38

fabian

January 07, 2017, 05:05:35 PM #39

franco

January 07, 2017, 05:50:53 PM #40

tsom

January 07, 2017, 06:09:56 PM #41

tsom

January 07, 2017, 07:30:10 PM #42