Transparent HTTPS Proxy ohne Zertifikate

[Hachiman]

Hallo zusammen,
ich sitze hier seit Stunden an einer aus meiner Sicht simplen Sache, bekomme es aber einfach nicht zum Laufen.

Ziel:
Transparenter Web Proxy für HTTP und HTTPS, ohne irgendwelche Zertifikate ausrollen zu müssen.
Damit sollen ausschließlich Domains gefiltert werden, keine SSL-Inspection, keine Inhalte prüfen/AV etc.
(Kann ich nicht mit FW-Regeln machen, weil ich wildcard-Einträge brauche)

Mein Versuch dazu:
Gemäß offizieller Anleitung den Transparent Web Proxy eingerichtet mit passenden NAT-Regeln und die ACLs befüllt. Ergebnis HTTP läuft wie vorgesehen.
Kompliziert und nicht nachvollziehbar wird es bei HTTPS:
Ich habe angehakt:
- Enable Transparent HTTP proxy
- Enable SSL inspection
- Log SNI information only

Laut Recherche soll insbesondere die letzte Option das tun, was ich eigentlich versuche zu tun.
Ergebnis:
Wenn ich keine CA erstellt habe, dann startet der squid-Dienst nicht mehr mit der Meldung, dass er eine CA bräuchte (was für meinen Zweck unnötig ist?).
Wenn ich eine Dummy-CA erstelle und eintrage, kommen bei den Clients Zertifkatsfehler mit Hinweis auf die Dummy-CA.
Wenn ich eine Dummy-CA erstelle und im Proxy die CA auf "none" stelle, dann bleibt das Verhalten identisch als wäre sie doch ausgewählt.

Laut folgender Quelle sollte es doch eigentlich gehen:
https://forum.opnsense.org/index.php?topic=13329.0

Evtl. hat es auch hiermit zu tun, denn was ich versuche ist ja gerade ein "splice all", wenn ich das richtig verstehe:
https://forum.opnsense.org/index.php?topic=5496.0

Hat jemand noch einen Tipp, ich hab das Gefühl ich sehe den Wald vor lauter Bäumen nicht mehr...

[meyergru]

Du schreibst es doch selbst: "Enable SSL inspection". Wie soll das gehen, wenn Du den Traffic nicht entschlüsseln kannst? Die einzige Möglichkeit, HTTPS ohne CA weiterzugeben, ist auf Basis TCP, dann gibt es aber keine inspection.

Ich weiß allerdings nicht genau, ob man die SNI trotzdem zur Filterung nutzen kann, weil die ja noch in der nicht-verschlüsselten Phase von TLS abläuft...

Fragt sich also, ob Dein Ziel ohne "Enable SSL inspection" erreichbar ist.

[Hachiman]

Danke für die Antwort!
Ich habe es mal ohne "Enable SSL inspection" versucht, dann erscheint folgende Meldung:
When enabling "Log SNI information only", SSL inspection must also be enabled

Ich will den Traffic ja gar nicht entschlüsseln, sondern nur Domain Filtering vornehmen.

Die beiden anderen Threads deuten ja sehr stark darauf hin, dass das grundsätzlich schon so machbar ist.
Auf meiner alten Sophos UTM hatte das auch ohne Probleme geklappt.

Habe noch diesen Thread gefunden:
https://forum.opnsense.org/index.php?topic=3644.0

Die Antworten 10-12 zeigen, das das eigentlich funktioniert.
Mit der SNI-Option wird HTTPS nicht aufgebrochen und die Zertifikate bleiben unberührt.
Sprich nur Domain-Filtering möglich.
Würde mich sehr freuen falls noch jemand eine Idee zur Fehlerbhebung hat...