[SOLVED] PAC / WPAD per http

Started by lfirewall1243, March 05, 2019, 02:02:48 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
March 18, 2019, 11:32:44 AM #15
Quote from: fabian on March 17, 2019, 09:36:29 PM
@hbc das ist inzwischen auch nicht mehr korrekt. Mit TLS 1.3 kommt ESNI (Encrypted Server Name Indication) - vorausgesetzt, der Server will mit ESNI angesprochen werden (DNS).
@fabian: Ja, aber dann muß man erst recht das Proxyzertifikat auf die Clients verteilen. Transparenter SSL-Proxy ohne Zertifikate auf Clients darf per Design nicht funktionieren - sonst kann man sich selbige sparen.

QuoteSorry !
Meinte ein Proxy der per wpad sozusagen ja im Android eingestellt wird :)
@lfirewall1243: Nur weil die wpad.dat per http bezogen wird, bedeutet es doch nicht, das man damit nicht die Einstellungen für andere Protokolle, wie z.B. HTTPS, festlegen kann. So habe ich das zumindest interpretiert.

In der wpad.dat kann Du ja pro Protokoll einen Proxy angeben. z.B. hier einen für HTTP und HTTPS (Proxy tunnelt SSL dann über CONNECT) und FTP geht über SOCK-Server:
Code Select

function FindProxyForURL(url, host){

if ( url.substring(0, 5) == "http:" || url.substring(0, 6) == "https:") {
return "PROXY webcache.local:3128";
}
else if (url.substring(0, 4) == "ftp:"){
return "SOCKS sockssrv.local:1080";
}

return "DIRECT";
}
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
March 18, 2019, 04:17:06 PM #16
Quote@lfirewall1243: Nur weil die wpad.dat per http bezogen wird, bedeutet es doch nicht, das man damit nicht die Einstellungen für andere Protokolle, wie z.B. HTTPS, festlegen kann. So habe ich das zumindest interpretiert.

In der wpad.dat kann Du ja pro Protokoll einen Proxy angeben. z.B. hier einen für HTTP und HTTPS (Proxy tunnelt SSL dann über CONNECT) und FTP geht über

Wenn dass hinterlegt ist, muss man demnach ja kein  Zertifikat installieren. Richtig? :)
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 18, 2019, 04:43:19 PM #17
Genau. Solange Du den Haken bei Only log SNI gesetzt hast und somit keine Verschlüsselung aufbrichst, brauchst Du nichts hinterlegen.

Die Anwendungen, die wpad.dat auswerten, melden sich eh korrekt beim Proxy und bauen über CONNECT Tunnel auf, bei denen mit transparenter Umleitung wird nur SNI ausgewertet. Darüber kann z.B. Blackliste das Ziel filtern und Traffic wird dann verschlüsselt zwischen Client und Server direkt ausgetauscht.
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
Print
Go Up Pages 1 2
User actions