Web Proxy blockiert Youtube

[Hgott]

Hallo Zusammen,

dank einiger hilfreicher Foreneinträge konnte ich Opnsense nach meinen Wünschen aufsetzen und es funktioniert (fast) alles.
in Verbindung mit dem Webproxy läuft bei mir Youtube nicht mehr, alles andere schon.
die Seite öffnet sich zwar, aber das Video bleibt schwarz und der Lade Kreis lädt sich zu tode.
Auch mit diversen SSL no bump sites bzw einer Whitelist bekomme ich das nicht in den Griff.
Weiß jemand zufälligerweise wie ich Problem lösen kann?

Aktuell nutze ich die Fritzbox als Modem/ Router mit der exposed Host Freigabe zur Opnsense.
An der Opnsense ist aktuell nur ein Client angeschlossen, andere folgen später.
Unbound DNS aktiviert
Web proxy aktiviert
-Enable Transparent HTTP proxy, aktiv
-Enable SSL inspection, aktiv, Rules Port 3128+3129 wurden erstellt
-Proxy nutzt Unbound als DNS
-selbst erstelltes Zertifikat
-Forward proxy/ access control list/youtube filter -> none

Ich wäre Euch sehr Dankbar wenn jemand eine Idee hat
Danke

Grüße
Hgott

[micneu]

so wie ich es gelesen habe, wozu brauchst du zuhause einen proxy?
mache es doch ohne. was bezweckst du mit dem proxy?
ohne proxy machst du dir dein leben leichter und du bekommst später graue haare :)

[Hgott]

Hallo micneu,

ich möchte in Zukunft noch einen Antivirus und einen Adblocker darauf laufen lassen.
Aber ohne den proxy kann der Antivirus leider nicht in eine https Verbindung reinschaun und vermeindliche böse Dinge rausfiltern.
Darum hätte ich gerne einen Proxy.

Am Anfang wollte ich es auch so wie von dir beschrieben aufsetzen(ohne Proxy). Aber irgendwie war ich dazu nicht in der Lage. ich konnte keine Verbindung zum internet aufbauen. Vermutlich lag es an den Firewall Rules, hab aber nicht herausgefunden was falsch war :(

[micneu]

Ok, wenn man das braucht, ich habe noch nie einen Proxy bei mir im Netz gehabt und auch keine Viren. Am besten nutz du zu dem Thema mal die Forum suche bin der Meinung das wir sowas schon hatten


Gesendet von iPhone mit Tapatalk Pro

[Ronny1978]

Aber ohne den proxy kann der Antivirus leider nicht in eine https Verbindung reinschaun und vermeindliche böse Dinge rausfiltern.
Darum hätte ich gerne einen Proxy.

Ich glaube, das funktioniert nicht. Du müsstest die Zertifikate aufbrechen, um die SSL Verbindung, die fast überall Standard ist, auszuhebeln -> Intern natürlich.

Ich nutze Unbound und Adguard. Seiten werden gefiltert und/oder geblockt. Ich bin kein Freund von Antivirus auf der Firewall. Die meisten Viren oder Randsomware kommt per E-Mail. Ich bin mir nicht sicher, ob du das mit einem Proxy "erschlagen" kannst.

Da müssten sich hier andere äußern, die mehr Wissen wie ich haben.  ;)

[Hgott]

Genau das war mein Plan.
Der Proxy bricht die SSL Verxschlüsselung auf und entfernt alles was da nicht hingehört. Dazu habe ich ein selbstsigniertes Zertifikat auf dem Client importiert.
Zusätzlich soll noch ein Antivirus, eine DNS Filter Liste, eine Geo Blocklist und ein DPI drauf laufen. aber eins nach dem anderen, so hätte ich mir die finale Firewall vorgestellt.

[Ronny1978]

Hallo Hgott,

dann bist du aber bei Gastnetzen oder Handy raus, oder? Da wäre mir der Aufwand zu groß, bzw. denke ich, dass hier GeoIP Block, Blocklisten von Adguard und Unbound reichen. Und wie gesagt: E-Mail-Verkehr wirst du mit dem Proxy wahrscheinlich nicht "erschlagen".

Das ist für mich im Moment ein größeres Einfalltor wir die Webseiten. Aber vielleicht sehe ich das auch total falsch.  :-\

[Hgott]

Hallo,
für das Gastnetz bzw. Handy würde ich den Proxy über das Interface deaktiveren.
Bei den Emails gebe ich dir Recht, ka wie ich die abfangen soll ??
ABER nach langer langer Suche hab ich die Lösung dür Youtube gefunden
im Proxy unter SSL no bump muss man die folgenden Seiten whitlisten:
.youtube.com
.m.youtube.com
.ytimg.com
.s.ytimg.com
.ytimg.l.google.com
.youtube.l.google.com
.i.google.com
.googlevideo.com
.youtu.be
.yt.be
.clients4.google.com
.clients2.googleusercontent.com
.gvt1.com
.gvt2.com
.ggpht.com

Jetzt läuft alles wie gewünscht und über die Emails muss ich noch nachdenken.
PS: den GeoIP Block hatte ich noch nicht auf dem Schirm, der kommt auch noch drauf
Dankeschön