Transparent Proxy mit IPv6

[karl047]

Hallo Forum,

ich habe diese Post gefunden:

https://forum.opnsense.org/index.php?topic=11251.0

hat jemand es schon mal probiert? leider hat es mir nicht geklappt.

[karl047]

Nach suchen und suchen im Forum, habe ich festgestellt dass dieses Thema mehrmals besprochen wurde ohne deutliche Lösung. Sobald man die Internet nur über IPv4 Verbindung nutzt, dann ist alles OK, und squid kann vollständig konfiguriert werden und ohne großartige Probleme, aber mit IPv6 nicht... Schade...

[banym]

Hallo karl,

ich hab keine Lösung, das schon vorab.
Mich interssiert aber ob transparenter Proxy wirklich noch ein Ding ist. Ich meine bei immer mehr HTTPS Verbindungen hat es ja nur einen Sinn wenn auch SSL Interception gemacht wird oder?
Ist da eine Autoconfig für einen 2normalen" Proxy nicht stressfreier?

VG,

Dominik

[karl047]

Hallo Dominik,

die Frage bleibt: wie schafft man denn die UTM Funktionen mit dem Firewall? es geht nicht um die normalen Funktionen, die ein Firewall bietet, sondern um die Cybersecurity. Wie werde ich das tun ohne Web Proxy? mit der Entwicklung von NG Firewall sieht man danach wie weit das Firewall machen soll. Auch mit Intrusion Detection in OPNsense ist sehr einfach und bietet die Advanced Options überhaupt nicht (was man in dem anderen sense sieht)(dazu kann ich auch sagen dass viele Posts im Forum sind, die über die Probleme mit Alerts oder die Messages im log sprechen -was ich auch habe- ohne deutliche Lösung woran es genau liegt! "bei mir funktioniert es seit 4 Monaten nicht mehr!). Und als Home User finde ich nicht so schön dass sensei mit seinem Preis für ein Premium Account nicht so freundlich ist; Sein "Features of Next Generation Firewall" sind so toll dass man Policy für jeden Zweck erstellen kann, aber mit dem Preis für ein Home User ist zu viel (viele andere Firewalls bieten für Home User eine kostenlose Version oder eine Home Version für geringes Geld pro Jahr, und sind alle Funktionen offen mit der Möglichkeit ein Policy zu erstellen nach eigenen Wunsch!)

Sorry dass ich über viele andere Sachen hier geschrieben habe, aber viele Leute gehen weg zu einer anderen Firewall Lösung wegen Cybersecurity!.


https://github.com/opnsense/core/issues/3395

https://github.com/opnsense/core/issues/1784

VG,

Karl

[banym]

Hi Karl,

mit einem transparenten Proxy erwischst du im ersten Schritt doch "nur" http bzw. unverschlüsselte Verbindungen.
Dararuf ziehlte mein Post ab.

Um verschlüsselte Verbindungen aufzubrechen und den Inhalt tiefer bewerten zu können, musst du dann SSL Interception machen und eine eigene CA auf die Clients verteilen.

Bitte korrigiert mich jemand der es besser weiß.

Wenn du jedoch auf den Clients einen SOCKS Proxy konfigurierst, kannst du ihn für alle HTTP und HTTPS Verbindungen nutzen und kannst Inhalte nach Viren scannen und noch viel mehr machen. Damit du das nicht manuell im Browser oder System machen musst, kann man das mit Autoconfig an den Client verteilen lassen.

Im Zweifel finde ich persönlich einen geschlossenen Port und einen bekannten Proxy die schönere Lösung, da jeder User es "mitbekommt", dass normale Verbindungen geblockt werden und man über einen Proxy kommuniziert.
Das lässt evtl. jemandem die Wahl ob er darüber sensitive Dinge machen möchte oder es sein lässt.

Natürlich kann wieder nicht jedes Gerät einen Proxy und es ist kein Allheilmittel.

Über die IDS und Deep Package Inspection Plugins kann ich nichts weiter sagen.

VG,

Dominik

[hbc]

Nach suchen und suchen im Forum, habe ich festgestellt dass dieses Thema mehrmals besprochen wurde ohne deutliche Lösung.

Kurze Frage: wie sieht bitte in Deinen Augen eine deutliche Lösung denn aus? In dem von Dir verlinken Beitrag habe ich eigentlich recht deutlich eine Lösung gepostet und damit läuft bei mir ein transparenter Dualstack-Proxy seit Monaten.

Klar, es ist eben mal nicht kurz einen Haken anklicken, man muss schon die squid.conf bearbeiten, aber gekoppelt mit Monit, welches nach GUI Änderungen kurz einen Patch über die geänderte Konfig bügelt, um die manuellen Änderungen nachzuziehen und schon läuft es automatisiert.

[karl047]

Danke euch für die Antworten... es mag sein dass ich ein bisschen aufgeregt gewesen bin als ich das Thread gepostet habe...

@hbc: eine große Bitte: kannst du ein kleines Tutorial "mit einem Beispiel" posten wie man Dual-Stack transparent Proxy richtig konfigurieren kann?

Vielen Dank im Voraus für die Unterstützung...

VG,

Karl