Migration - Ipfire -> opnSense

[CoolTux]

Der Proxy ist nach doku transparent mit SSL eingerichtet.
Ohne den tranparenten Modus mit manuellen Eintrag im Client funktioniert es jedoch auch nicht.

Ziel wäre, den Proxy transparent mit SSL injection funktionierend laufen zu lassen.

Die Screenshots reiche ich später nach

Am besten Du fängst in kleinen Schritten an.
Erstmal nur den normalen Proxy ohne Transparent konfigurieren. Dann im Browser den Proxy konfigurieren und schauen ob es geht. Klappt das kannst Du den transparenten Modus aktivieren.

[lenny]

Das stimmt, nur wo setzt man an. An die Doku habe ich mich gehalten.
Kann man Squid komplett zurücksetzen und frisch einrichten?

[CoolTux]

Was hast Du denn da bis jetzt konfiguriert. Viel ist ja da nicht zu machen.

General Proxy Settings - einfach Enable Proxy
Forward Proxy - Das/Die Interface/es anklicken auf denen der Proxy lauschen soll. Proy Port 3128 eingeben den Rest erstmal so hacken raus lassen
Access Control List - Allowed Subnetz das/die Netze eingeben.
Das sollte schon reichen. Noch die Firewallregeln für 3128 anpassen und im Browser unter Proxy Einstellungen die IP des Proxys angeben mit Port 3128.

[lenny]

Bisschen weiter bin ich.
ich habe die automatischen Regeln deaktiviert.
Die OPN noch mal upgedatet.

der Proxy hat nun auf HTTP (firefox entsprechend angepasst) reagiert und ich konnte surfen.
HTTPS funktioniert jedoch nicht.
Transparent wollte es auch nicht so richtig.
Nach dem Update war im var/log/squid.log kein eintrag mehr - vorher war es recht voll

[CoolTux]

Du kannst im Browser doch für http und https den Proxy angeben. Wenn Du bei beiden den selben Proxy und Port, (ja selber Port) an gibst sollte auch https gehen.

[lenny]

Teste ich mal.
Warum soll dort der selbe Port genutzt werden? (wenn default ein anderer ist)

[CoolTux]

default ist kein anderer Port.
Wenn Du einen "NICHT transparenten" Proxy hast kann der HTTPS Verkehr über den selben Port geregelt werden wie der HTTP Verkehr. Da der Client eine direkte Kommunikation mit dem Server im Wan hat. Der Proxy reicht nur weiter. Bei einem transparenten Proxy wird der verschlüsselte Verkehr aufgebrochen, rein geschaut und dann wieder zusammengesetzt. Das geschieht mit unterschiedlichen Zertifikaten zwischen Client und WAN Server. Dafür wird ein anderer Port verwendet.

[m-a-d]

Hallo lenny

Bin ebenfalls vor einiger Zeit von der Fire auf die Opnsense gewechselt vor allem wegen VLAN und frei defierbare  Firewall Zonen. Die Opensense macht einiges einnwenig anders aber wenn man sich daran gewöhnt hat möchte man sie nicht mehr missen.

Zum Thema ANY Regeln :
Ich habe mir quasi ein WAN gebaut indem ich einen Netz-Alias mit allen lokalen Netzen angelegt habe und dann in der Rule für die Destination ein Invert (!)dieser Lokale Netze benutze. Keine Ahnung ob dir das weiterhilft für mich war es so am einfachsten.

m.a.d

[lenny]

@coolTux
Dankeschön! Das Problem war tatsächlich die Porteinstellung. Habe nun etwas probiert und habe folgendes festgestellt:

Transparenter Proxy und statischer Proxy gleichzeitig funkioniert nicht.
Wenn Transparent, muss SSL auf einem anderen Port sein, wenn nicht, dann muss es der Gleiche sein.
Mache ich SSL injection, dann funktionieren die Bumps problemlos, die Webseiten, die ich "aufbreche" laden nicht korrekt (siehe screenshots) oder Firefox verweigert wegen der Sicherheit komplett die Verbindung[/li][/list]

Zum Thema ANY Regeln :
Ich habe mir quasi ein WAN gebaut indem ich einen Netz-Alias mit allen lokalen Netzen angelegt habe und dann in der Rule für die Destination ein Invert (!)dieser Lokale Netze benutze. Keine Ahnung ob dir das weiterhilft für mich war es so am einfachsten.

Danke dir, so hatte ich es auch im Kopf "gebastelt", wenn du ähnlich denkst, werde ich es so umsetzen

[CoolTux]

Wie ist Deine Einstellung für Transparent? Zeig mal bitte. Hast Du ein CA angegeben?

[lenny]

Hi,
Ca ist hinterlegt. Habe auch schon ein weiteres Zertifikat erstellt und probiert. Leider ohne Besserung.
Welche konfig möchtest du sehen?
Vg

[CoolTux]

Die von Generell Forward Settings

[lenny]

so siehts aus... eigentlich ganz normal

[CoolTux]

Sieht in der Tat OK aus.
Mach mal noch den 3. Haken in der Reihe rein, wird nicht das Problem lösen aber ich denke mal du willst nicht den ssl Verkehr komplett mit schneiden.

[lenny]

Das Subnetz ist auch erlaubt.
Eine HTTPS Webseite habe ich sogar gefunden, die etwas länger zum laden benötuigt, aber dann auch regulär angezeigt wird.