Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Transparent HTTPS Proxy ohne Zertifikate
« previous
next »
Print
Pages: [
1
]
Author
Topic: Transparent HTTPS Proxy ohne Zertifikate (Read 767 times)
Hachiman
Newbie
Posts: 3
Karma: 0
Transparent HTTPS Proxy ohne Zertifikate
«
on:
April 12, 2023, 07:05:52 pm »
Hallo zusammen,
ich sitze hier seit Stunden an einer aus meiner Sicht simplen Sache, bekomme es aber einfach nicht zum Laufen.
Ziel:
Transparenter Web Proxy für HTTP und HTTPS,
ohne
irgendwelche Zertifikate ausrollen zu müssen.
Damit sollen
ausschließlich
Domains gefiltert werden, keine SSL-Inspection, keine Inhalte prüfen/AV etc.
(Kann ich nicht mit FW-Regeln machen, weil ich wildcard-Einträge brauche)
Mein Versuch dazu:
Gemäß offizieller Anleitung den Transparent Web Proxy eingerichtet mit passenden NAT-Regeln und die ACLs befüllt. Ergebnis HTTP läuft wie vorgesehen.
Kompliziert und nicht nachvollziehbar wird es bei HTTPS:
Ich habe angehakt:
- Enable Transparent HTTP proxy
- Enable SSL inspection
- Log SNI information only
Laut Recherche soll insbesondere die letzte Option das tun, was ich eigentlich versuche zu tun.
Ergebnis:
Wenn ich keine CA erstellt habe, dann startet der squid-Dienst nicht mehr mit der Meldung, dass er eine CA bräuchte (was für meinen Zweck unnötig ist?).
Wenn ich eine Dummy-CA erstelle und eintrage, kommen bei den Clients Zertifkatsfehler mit Hinweis auf die Dummy-CA.
Wenn ich eine Dummy-CA erstelle und im Proxy die CA auf "none" stelle, dann bleibt das Verhalten identisch als wäre sie doch ausgewählt.
Laut folgender Quelle sollte es doch eigentlich gehen:
https://forum.opnsense.org/index.php?topic=13329.0
Evtl. hat es auch hiermit zu tun, denn was ich versuche ist ja gerade ein "splice all", wenn ich das richtig verstehe:
https://forum.opnsense.org/index.php?topic=5496.0
Hat jemand noch einen Tipp, ich hab das Gefühl ich sehe den Wald vor lauter Bäumen nicht mehr...
Logged
meyergru
Hero Member
Posts: 1697
Karma: 167
IT Aficionado
Re: Transparent HTTPS Proxy ohne Zertifikate
«
Reply #1 on:
April 12, 2023, 09:40:19 pm »
Du schreibst es doch selbst: "Enable SSL inspection". Wie soll das gehen, wenn Du den Traffic nicht entschlüsseln kannst? Die einzige Möglichkeit, HTTPS ohne CA weiterzugeben, ist auf Basis TCP, dann gibt es aber keine inspection.
Ich weiß allerdings nicht genau, ob man die SNI trotzdem zur Filterung nutzen kann, weil die ja noch in der nicht-verschlüsselten Phase von TLS abläuft...
Fragt sich also, ob Dein Ziel ohne "Enable SSL inspection" erreichbar ist.
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
Hachiman
Newbie
Posts: 3
Karma: 0
Re: Transparent HTTPS Proxy ohne Zertifikate
«
Reply #2 on:
April 12, 2023, 10:57:16 pm »
Danke für die Antwort!
Ich habe es mal ohne "Enable SSL inspection" versucht, dann erscheint folgende Meldung:
When enabling "Log SNI information only", SSL inspection must also be enabled
Ich will den Traffic ja gar nicht entschlüsseln, sondern nur Domain Filtering vornehmen.
Die beiden anderen Threads deuten ja sehr stark darauf hin, dass das grundsätzlich schon so machbar ist.
Auf meiner alten Sophos UTM hatte das auch ohne Probleme geklappt.
Habe noch diesen Thread gefunden:
https://forum.opnsense.org/index.php?topic=3644.0
Die Antworten 10-12 zeigen, das das eigentlich funktioniert.
Mit der SNI-Option wird HTTPS nicht aufgebrochen und die Zertifikate bleiben unberührt.
Sprich nur Domain-Filtering möglich.
Würde mich sehr freuen falls noch jemand eine Idee zur Fehlerbhebung hat...
«
Last Edit: April 13, 2023, 01:45:13 pm by Hachiman
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Transparent HTTPS Proxy ohne Zertifikate