Transparent Proxy und ausnahme IP Adressen

[zunami]

Hallo!


Ich muss gleich vorwegsagen, ich bin Anfänger mit der Opnsense und stoße seit 3 Wochen auf meine Probleme.

Meine Frage ist, ich möchte einen Transparent Proxy, aber ich benötige eine 1 IP-Adresse die ausgenommen wird.

Grund:
Ich baue mir eine private Firewall für meine Familie.
Ich möchte unbedingt den ClamAV mit c-icap. Meine Kinder klicken gedankenlos auf alles möglich und ich möchte geschützt sein.
Dazu benötigt man ein internes Zertifikat und den transparent Proxy.

So mein Problem ist das, wenn ich den transparent Proxy aktiviere meine Fire TV Stick nicht mehr funktioniert (alles andere funktioniert, wenn ich das Zertifikat installiere). Ich habe schon herausgefunden, dass es am Zertifikat liegt und am Fire TV Stick keine Zertifikate installieren kann. Einen neuen Stick möchte ich mir nicht kaufen, wo man es installieren kann (Android TV alle außer Fire TV). Jetzt ist die Idee eine Ausnahme für den Stick zu machen, dass diese nicht über den Proxy läuft.
Es gibt im Untermenüpunkt ZUGANGSKONTROLLE
Dort habe ich die IP-Adresse eingetragen (siehe Screenshot). Trotzdem wird für diese IP-Adresse keine Ausnahme gemacht und verursacht genau dasselbe Problem. Es kommt sogar eine melden:

Code Select Expand

kid1|ERROR: failure while accepting a TLS connection on conn (siehe Screenshot)

Was mache ich falsch, dass ich eine ausnehme für die Adresse möchte?
Oder gehe ich das Problem generell falsch an?

[Patrick M. Hausen]

Du hast doch eine Firewall-Regel auf LAN, die alles zum Proxy schiebt, was auf Port 80 oder 443 ist?

Duplizier diese Regel und änder bei Source "LAN net" oder "any" in die IP Adresse deines Fire TV. Dann noch statt alles zum Proxy zu schieben ein einfaches "allow". Wenn diese neue Regel vor der für alle anderen Geräte im LAN steht, dann geht das Gerät am Proxy vorbei.

[zunami]

Ah Danke für die Antwort

Ist das so richtig?

Also es gibt 2 Bereiche wo sich der transparent Proxy eingetragen hat

• Firewall: Rules: LAN
• Firewall: NAT: Port Forward

Ich schätze mal du meinst
Firewall: NAT: Port Forward

Dort bei Source
"LAN net" ändern auf "Single host or Network"
dort trage ich vom Fire TV die IP Adresse ein

Redirect Target
Port "3128" oder "3129" bleibt unverändert

Dann bei Filter rule association
von "Rule redirect traffic to proxy" ändern auf "Pass"

Passt das so?

[Monviech (Cedrik)]

Noch eine Option:

Port Forward Regel:

1.
No RDR (NOT): Anhaken
Interfaces: Alle VLANs die eine Webproxy Regel haben
Source: Alias Gruppe mit allen Geräten die nicht zum Proxy sollen.
Destination Port: HTTP
Redirection IP: 127.0.0.1
Redirection Port: 3128

2.
No RDR (NOT): Anhaken
Interfaces: Alle VLANs die eine Webproxy Regel haben
Source: Alias Gruppe mit allen Geräten die nicht zum Proxy sollen.
Destination Port: HTTPS
Redirection IP: 127.0.0.1
Redirection Port: 3129

Diese Regeln müssen vor der Webproxy Regel sein. Dadurch werden Anfragen /nicht/ genattet und /nicht/ durch den Webproxy geleitet. (nennt sich NAT Ausnahme)

[zunami]

No RDR (NOT): Anhaken

Zur Info wenn man "No RDR" angehackt
verschwindet die Auswahlmöglichkeit
Redirection IP: 127.0.0.1
Redirection Port: 3128
Filter rule association

Danke für deine Hilfe Funktioniert

Transparent Proxy Ausnahme / Umgehungseinstellung

Firewall: NAT: Port Forward

redirect traffic to proxy HTTP 3128 KOPIEREN
No RFR (NOT) Angehackt
Interface LAN
Source: Single host IP Adresse / Network / Aliase mit mehreren IP Adressen
Soure port range: from: any to: any
Destination: any
Destination port range: from: http to: http

redirect traffic to proxy HTTPS 3129 KOPIEREN
No RFR (NOT) Angehackt
Interface LAN
Source: Single host IP Adresse / Network / Aliase mit mehreren IP Adressen
Soure port range: from: any to: any
Destination: any
Destination port range: from: https to: https

Ich habe diese neue Regel VOR den "redirect traffic to proxy" Regeln geschoben.
Aber NICHT vor den Anti-Aussperregeln