OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • [SOLVED] PAC / WPAD per http
« previous next »
  • Print
Pages: 1 [2]

Author Topic: [SOLVED] PAC / WPAD per http  (Read 11096 times)

hbc

  • Hero Member
  • *****
  • Posts: 501
  • Karma: 47
    • View Profile
Re: [SOLVED] PAC / WPAD per http
« Reply #15 on: March 18, 2019, 11:32:44 am »
Quote from: fabian on March 17, 2019, 09:36:29 pm
@hbc das ist inzwischen auch nicht mehr korrekt. Mit TLS 1.3 kommt ESNI (Encrypted Server Name Indication) - vorausgesetzt, der Server will mit ESNI angesprochen werden (DNS).
@fabian: Ja, aber dann muß man erst recht das Proxyzertifikat auf die Clients verteilen. Transparenter SSL-Proxy ohne Zertifikate auf Clients darf per Design nicht funktionieren - sonst kann man sich selbige sparen.

Quote
Sorry !
Meinte ein Proxy der per wpad sozusagen ja im Android eingestellt wird :)
@lfirewall1243: Nur weil die wpad.dat per http bezogen wird, bedeutet es doch nicht, das man damit nicht die Einstellungen für andere Protokolle, wie z.B. HTTPS, festlegen kann. So habe ich das zumindest interpretiert.

In der wpad.dat kann Du ja pro Protokoll einen Proxy angeben. z.B. hier einen für HTTP und HTTPS (Proxy tunnelt SSL dann über CONNECT) und FTP geht über SOCK-Server:
Code: [Select]
function FindProxyForURL(url, host){

if ( url.substring(0, 5) == "http:" || url.substring(0, 6) == "https:") {
return "PROXY webcache.local:3128";
}
else if (url.substring(0, 4) == "ftp:"){
return "SOCKS sockssrv.local:1080";
}

return "DIRECT";
}
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1386
  • Karma: 45
    • View Profile
Re: [SOLVED] PAC / WPAD per http
« Reply #16 on: March 18, 2019, 04:17:06 pm »
Quote
@lfirewall1243: Nur weil die wpad.dat per http bezogen wird, bedeutet es doch nicht, das man damit nicht die Einstellungen für andere Protokolle, wie z.B. HTTPS, festlegen kann. So habe ich das zumindest interpretiert.

In der wpad.dat kann Du ja pro Protokoll einen Proxy angeben. z.B. hier einen für HTTP und HTTPS (Proxy tunnelt SSL dann über CONNECT) und FTP geht über

Wenn dass hinterlegt ist, muss man demnach ja kein  Zertifikat installieren. Richtig? :)
Logged
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

hbc

  • Hero Member
  • *****
  • Posts: 501
  • Karma: 47
    • View Profile
Re: [SOLVED] PAC / WPAD per http
« Reply #17 on: March 18, 2019, 04:43:19 pm »
Genau. Solange Du den Haken bei Only log SNI gesetzt hast und somit keine Verschlüsselung aufbrichst, brauchst Du nichts hinterlegen.

Die Anwendungen, die wpad.dat auswerten, melden sich eh korrekt beim Proxy und bauen über CONNECT Tunnel auf, bei denen mit transparenter Umleitung wird nur SNI ausgewertet. Darüber kann z.B. Blackliste das Ziel filtern und Traffic wird dann verschlüsselt zwischen Client und Server direkt ausgetauscht.
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
  • Print
Pages: 1 [2]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • [SOLVED] PAC / WPAD per http
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2