Migration - Ipfire -> opnSense

Started by lenny, October 25, 2019, 07:23:32 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
December 03, 2019, 11:11:31 AM #30
Sprich eine generelle Funktion des transparent Proxy ist gegeben? Also wenn Du keine Proxydaten im Browser hinterlegst kannst Du dennoch Seiten aufrufen?
Klappen denn HTTP Seiten schnell und zuverlässig? Wenn ja, was ist das für eine Kiste die Du da hast, man brauch ja auch bisschen Power oder Hardware acceleration.
December 03, 2019, 12:57:36 PM #31
Aufrufen ja, es erscheint jedoch bei HTTPS immer eine Warn oder Fehlermeldung. Je nach Ziel lässt sich diese im Firefox umgehen oder er sagt, es ist ein man in the middle.
Intelligenz von FF?
Bei der Masse an HTTPS Seiten wird diese jedoch wie im screenshot nicht korrekt wiedergegeben.

Läuft derzeit als Test noch auf einer Oracle VM Box auf einem i7 System
December 03, 2019, 03:12:53 PM #32
Power denke ich sollte reichen. Zeig mal bitte die Warnung vom Firefox als Screen.
December 03, 2019, 05:31:43 PM #33
hier die beiden verschiedenen Fehlermeldung, trotz gleicher Einstellung.

Übrigens, wenn der Haken bei SNI eingeschaltet ist, dann funktioniert es. Dann wird jedoch auch das reguläre Zertifikat verwendet.
Eine Untersuchung auf Viren etc. ist dann nicht möglich
December 03, 2019, 05:39:25 PM #34
Ah das hattest du glaube nur erwähnt das Du die Packet auf Viren untersuchen willst  :)
Aber schon mal gut zu wissen daß es mit Haken geht.

Leider habe ich dann auch keine Idee weiter.
December 03, 2019, 05:43:47 PM #35
Kann eigentlich nur der ca geschuldet sein, oder?
Ich probiere Mal weiter.
Aber dir vielen Dank für deine Unterstützung, bin dadurch schon deutlich weiter gekommen. :)
December 03, 2019, 06:08:19 PM #36
Bitte hab ich gerne gemacht. Berichte dann mal bitte vom Ergebnis.
December 03, 2019, 07:26:15 PM #37
Du musst das CA-Zertifikat in Firefox importieren. Dann sollte es gehen.
December 03, 2019, 07:51:35 PM #38
OK, ich bin davon ausgegangen daß dies Standard ist. So habe ich nun nicht gedacht.
Aber jetzt wo Du es sagst würde das ein Sinn ergeben. Das rootCA muss unter Vertrauensstellen oder so hinzu gefügt werden.
December 03, 2019, 11:15:01 PM #39
Ja genau. AFAIK "Vertrauenswürdige Stammzertifizierungsstellen" unter Windows. OpenSSL store in Linux, I'm eigenen Store von Firefox, Java und was halt sonst noch so nen CA Store hat.
December 04, 2019, 07:17:41 AM #40 Last Edit: December 04, 2019, 08:01:06 AM by lenny
echt, ist dies ein MUSS? ich habe gedacht (ok mein Fehler  ;) ) dass man dies, wie bei üblichen selbstsignierten Zerts mit einer Warnung bestätigen kann und dennoch zugreift.
Hier jedoch schein FF so intelligent zu sein, dass es einen vermeintlichen man-in-the-middle Angriff erkennt.

Wäre das Problem umgehbar, wenn man z.B. Lets Encrypt Zertifikate verwendet? Sofern dies überhaupt möglich ist.

[edit]
scheint ein ähnliches Fehlerbild gehabt zu haben:
https://forum.opnsense.org/index.php?topic=11008.0
December 04, 2019, 08:21:25 AM #41
Das größte Problem ist certificate pinning wo das Zertifikat z.B. in einer App gespeichert wird, dann geht die Seite grundsätzlich nicht. ZB Twitter oder Facebook, aber auch Spiegel und Süddeutsche Apps laden gar nicht, auch wenn du CA im Store hast. Das kann bei Firefox theoretisch auch irgendwann passieren, da er einen eigenen Store hat.
December 04, 2019, 08:32:55 AM #42
Puh, das wird ja richtig kompliziert.
Scheint also gar nicht so erstrebsam zu sein, den SSL Verkehr zu durchsuchen, weil die Hälfte am Ende nicht mehr funktioniert?!
December 04, 2019, 02:46:02 PM #43
Genau, deswegen machen die Kommerziellen jetzt auf encrypted traffic analyses .. also den ssl stream zu untersuchen. Da gibts auf im open source Umfeld aber nix ...
Print
Go Up Pages 1 2 3
User actions