Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
« previous
next »
Print
Pages: [
1
]
Author
Topic: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy (Read 1072 times)
Nico2505
Newbie
Posts: 12
Karma: 0
Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
on:
September 11, 2023, 07:05:41 pm »
Hallo Zusammen,
Ich habe mir den Web-Proxy in der OPNsense konfiguriert und die dazugehörige NAT Regel angelegt! HTTP Datenverkehr kann ich jetzt filtern und es funktioniert soweit perfekt! Dann habe ich das ganze nochmal für HTTPS eingerichtet was dann auch gut funktioniert hat! Es kam zwar die Warnung das dass Zertifikat nicht gültig sei, weshalb ich es darauf hin zu den Vertrauenswürdigen Zertifikaten hinzugefügt habe. Jetzt funktioniert alles ohne Probleme und Warnungen!
Dann wollte ich den Proxy noch für mein Gast Netzwerk einrichten, wobei ich auf ein Problem gestoßen bin! HTTP funktioniert gut aber HTTPS ist problematisch. 1. Ich kann meinen Gästen ja schlecht sagen, "Ignorier die Warnung das es nicht sicher sei einfach!" oder "Um das Netzwerk ordnungsgemäß nutzen zu können füge das Zertifikat bitte zu deinen Vertrauenswürdigen Zertifikaten hinzu!".
Deshalb meine Frage, hat jemand damit Erfahrung und kann mir Helfen?
Für weitere Infos einfach nachfragen.
Schonmal Danke für die Antworten!
Grüße Nico2505!
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #1 on:
September 12, 2023, 08:43:46 am »
So funktioniert das technisch halt.
https://it-forensik.fiw.hs-wismar.de/index.php/SSL_Inspection
Das ist wie eine Man-In-The-Middle-Attacke.
Logged
Hardware:
DEC740
vpx
Jr. Member
Posts: 87
Karma: 6
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #2 on:
September 12, 2023, 11:50:13 am »
Das MITM gilt laut Dokumentation ja nur wenn "Enable Transparent HTTP proxy" aktiviert ist. Ist das der Fall?
Ansonsten kommt der Fehler wohl weil das Zertifikat selbstsigniert ist von der OPNsense und die CA im Client nicht vorhanden ist.
Logged
Nico2505
Newbie
Posts: 12
Karma: 0
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #3 on:
September 12, 2023, 01:21:10 pm »
Ja, der Transparente HTTP Proxy ist aktiviert! Und der Fehler kommt auch wegen dem Selbst signiertem Zertifikat. Ich bräuchte quasi ein sicheres SSL Zertifikat nur für diesen lokalen Zweck. Dabei benötige ich Hilfe, da ich nicht weis wie ich das erstelle und einrichte!
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #4 on:
September 12, 2023, 02:15:52 pm »
Die meisten Gerät haben einen Zertifikatsspeicher. In diesem Speicher sind oftmals Vertrauenswürdige Stammzertifikate hinterlegt. Jeder Hersteller kann aber selbst entscheiden welche er dort reinlegt. Meistens sind es große öffentliche Zertifikatsanbieter (wie z.B. Digicert etc...) die auf den meisten Geräten hinterlegt sind.
Eine Software muss aber nicht grundsätzlich den eingebauten Zertifikatsspeicher vom Betriebssystem verwenden. Sie können auch eigene haben.
Wenn du willst das viele Geräte deinem Proxy vertrauen, musst du ein Zertifikat von einem großen weitverbreiteten Anbieter kaufen.
«
Last Edit: September 12, 2023, 02:18:24 pm by Monviech
»
Logged
Hardware:
DEC740
Nico2505
Newbie
Posts: 12
Karma: 0
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #5 on:
September 12, 2023, 03:41:23 pm »
Gibt es auch die Möglichkeit eines von z. B. Let's Encrypt oder anderen kostenlosen Anbietetern zu verwenden und wenn ja wie?
Logged
vpx23
Jr. Member
Posts: 91
Karma: 7
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #6 on:
September 12, 2023, 06:36:33 pm »
Das hatten schon mehrere Leute versucht:
https://github.com/opnsense/core/issues/1697
https://forum.opnsense.org/index.php?topic=7350.0
Aber es scheitert wohl daran, dass du nur CA-Zertifikate angeben kannst und keine gewöhnlichen Server-Zertifikate. Und CA-Zertifikate erstellt z.B. Let's Encrypt nur für sich selbst.
Soweit ich verstanden habe, erstellt der Webproxy (Squid) durch die CA dynamisch Zertifikate um die Domain von der tatsächlich angefragten Webseite zu imitieren.
https://wiki.squid-cache.org/Features/BumpSslServerFirst
Logged
Nico2505
Newbie
Posts: 12
Karma: 0
Re: Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy
«
Reply #7 on:
September 12, 2023, 07:07:12 pm »
Okay, Schade! Trotzdem Danke für eure Hilfe!
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy