[SOLVED] PAC / WPAD per http

lfirewall1243 · March 05, 2019, 02:02:48 PM

Hallo zusammen,

ich bin gerade dabei den WebProxy so einzurichten, dass dieser per WPAD verteilt wird.
Dies funktioniert auch zum Teil. Wenn ich einen Browser nutze, welcher dem Zertifikat der OPNsense vertraut, kann dieser sich die Wpad Datei problemlos holen und damit arbeiten.

Ich kann nur im fertigen System nicht jeden Client sagen, dass er dem Zertifikat vertrauen soll.

Gibt es eine möglichkeit, dass die Wpad Datei auch per http abrufbar ist?
Wenn ich im Internet Explorer "http://ipderFirewall/wpad.dat" eingebe, werde ich wieder auf "https://ipderFirewall/wpad.dat" geleitet, und habe dann wieder das Zertifikatsproblem.

Vielleicht hatte hier ja jemand schon ein ähnliches Problem

Beste Grüße :)

Sven-J · March 05, 2019, 02:04:02 PM

Nimm doch nen let's Encrypt certificate auf deiner Firewall.

Gesendet von meinem SM-N950F mit Tapatalk

lfirewall1243 · March 05, 2019, 02:06:49 PM

Quote from: Sven-J on March 05, 2019, 02:04:02 PM
Nimm doch nen let's Encrypt certificate auf deiner Firewall.

Danke dir :)
gibts dazu vielleicht eine einfach zu verstehende Anleitung?

Außerdem hängt die FW "intern" hinter einem anderen Router und hat somit nichts kein öffentlichen Namen worauf ich das Zertifikat austellen könnte. Oder irre ich mich Total? :D

mimugmail · March 05, 2019, 04:52:23 PM

Ich hab aufm englischen Post geantwortet ...

lfirewall1243 · March 05, 2019, 05:06:17 PM

danke:)

habe jetzt erstmal das Web Interface auf http umgestellt, damit läuft es.

Bin jetzt gerade dabei, dass auch Android Geräte die wpad.dat nutzen.

Aber makiere das hier erstmal als gelöst :)

ruggerio · March 13, 2019, 12:32:09 PM

Bin auch an der Umstellung. Dachte aber, mal gelesen zu haben, dass die Android-Geräte eine proxy.pac brauchen und mit wpad.dat nicht zurechtkommen?

Gruess
Roger

lfirewall1243 · March 13, 2019, 12:35:11 PM

Das kann auch sein, weiß aber nicht wie man dies in der OPNsense einrichtet.

Ich werde einfach für alle nicht Windows Geräte ein extra Netz machen, was nicht über den Proxy läuft, da es hauptsächlich darum geht die Wndows Geräte zu Filtern.

hbc · March 13, 2019, 12:57:14 PM

Quote from: ruggerio on March 13, 2019, 12:32:09 PM
Bin auch an der Umstellung. Dachte aber, mal gelesen zu haben, dass die Android-Geräte eine proxy.pac brauchen und mit wpad.dat nicht zurechtkommen?

proxy.pac ist nur ein alternativer Name, der traditionell in der DHCP-Option 252 verwendet wurde. Inhalt ist derselbe, wie in der wpad.dat

QuoteBei der DNS-Abfrage lautet der Pfad der Konfigurationsdatei immer wpad.dat. Beim DHCP-Protokoll kann jegliche URL benutzt werden. Aus traditionellen Gründen lauten die Namen der PAC-Dateien oft proxy.pac (natürlich werden Dateien dieses Namens von der WPAD DNS-Suche ignoriert).

https://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

Ich hatte früher im DHCP auch proxy.pac und diese als Hardlink auf wpad.dat. Aber mal ehrlich: warum die Mühe machen, statt die URL im DHCP auch einfach mit wpad.dat zu setzen?

lfirewall1243 · March 13, 2019, 01:11:07 PM

Wenn ich beim Android Handy manuell die wpad URL eingepflegt habe, ging trotzdem nichts üer den Proxy.

hbc · March 16, 2019, 05:28:18 PM

Wird die wpad.dat denn abgefragt? Was sagen die Logs des Webservers? IP des Androidgeräts muss auftauchen. Nutzt du ipv6? Nicht das du in deiner wpad.dat nur ipv4 Adressen handhabst.

ruggerio · March 16, 2019, 05:30:35 PM

1) wpad.dat geht nicht bei Android: falsch
2) Android mit https geht nicht: richtig

Lösung, damit die Android-Geräte die WPAD.dat ziehen: Umstellung Weboberfläche opnsense auf http. Bei mir gehts zumindest korrekt. 1000gratisproben.com war ein gutes Testobjekt :)

url bei automatisch im Android-Proxy eintragen: http://url_opnsense/wpad.dat :-\

lfirewall1243 · March 17, 2019, 06:17:25 PM

Also ist demnach bei Android kein Transparenter HTTPS Proxy ohne das verteilen von Zertifikaten möglich ? :)

von mobil gesendeten, daher kurz :)

hbc · March 17, 2019, 09:17:27 PM

Bei keinem Betriebssystem sollte ein transparenter SSL-Proxy funktionieren ohne auf den Clients entsprechende Zertifikate zu haben. Alles andere würde den Sinn und Zweck von Zertifikaten ad absurdum führen.
Aber Du kannst es rein auf SNI filtern. Dann steht der unverschlüsselte Servername zum Filtern zur Verfügung und der restliche Traffic wandert verschlüsselt mit dem Orginalzertifikat zwischen Webserver und Client. Da benötigt es auf Clients keine zusätzlichen Proxyzertifikate.

lfirewall1243 · March 17, 2019, 09:25:55 PM

Sorry !
Meinte ein Proxy der per wpad sozusagen ja im Android eingestellt wird :)

von mobil gesendeten, daher kurz :)

fabian · March 17, 2019, 09:36:29 PM

@hbc das ist inzwischen auch nicht mehr korrekt. Mit TLS 1.3 kommt ESNI (Encrypted Server Name Indication) - vorausgesetzt, der Server will mit ESNI angesprochen werden (DNS).

[SOLVED] PAC / WPAD per http

lfirewall1243

March 05, 2019, 02:02:48 PM Last Edit: March 05, 2019, 05:06:32 PM by lfirewall1243

Sven-J

March 05, 2019, 02:04:02 PM #1

lfirewall1243

March 05, 2019, 02:06:49 PM #2 Last Edit: March 05, 2019, 02:14:28 PM by lfirewall1243

mimugmail

March 05, 2019, 04:52:23 PM #3

lfirewall1243

March 05, 2019, 05:06:17 PM #4

ruggerio

March 13, 2019, 12:32:09 PM #5

lfirewall1243

March 13, 2019, 12:35:11 PM #6

hbc

March 13, 2019, 12:57:14 PM #7

lfirewall1243

March 13, 2019, 01:11:07 PM #8

hbc

March 16, 2019, 05:28:18 PM #9

ruggerio

March 16, 2019, 05:30:35 PM #10

lfirewall1243

March 17, 2019, 06:17:25 PM #11

hbc

March 17, 2019, 09:17:27 PM #12

lfirewall1243

March 17, 2019, 09:25:55 PM #13

fabian

March 17, 2019, 09:36:29 PM #14