Neuling Transparenter Proxy

[franco]

Ein voller Screenshot der Proxy-Einstellungs-Seite wäre hilfreich. Oder aber auf der Kommandozeile die folgende Ausgabe prüfen.

# pgrep squid

Die "Proxy läuft nicht" Theorie von Fabian passt jedenfalls zum beschriebenen Fehlerbild.

[Micky]

Generell würde ich sagen, dass der transparente Proxy funktioniert, zumindest tut er bei mir brav seinen Dienst. Daher vermute ich du hast einen Fehler in deiner Config. Also bitte Screenshots posten, dann findet man den Fehler vielleicht gemeinsam.

[tsom]

Hallo @all.
So ich habe das System jetzt neu installiert FritzBox (DHCP) -> OPNsense (DHCP) -> Client
Komme auch sofort ins Internet.

Code: [Select]

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9<RXCSUM,VLAN_MTU>
ether 00:09:6b:35:33:9f
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
inet6 fe80::1:1%fxp0 prefixlen 64 scopeid 0x1
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80008<VLAN_MTU,LINKSTATE>
ether 00:50:bf:a6:82:b2
inet6 fe80::250:bfff:fea6:82b2%dc0 prefixlen 64 scopeid 0x2
inet 192.168.178.25 netmask 0xffffff00 broadcast 192.168.178.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pflog0: flags=100<PROMISC> metric 0 mtu 33184
pfsync0: flags=0<> metric 0 mtu 1500
syncpeer: 0.0.0.0 maxupd: 128 defer: off
enc0: flags=0<> metric 0 mtu 1536
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Update gemacht:

Code: [Select]

OPNsense 16.7-i386
FreeBSD 10.3-RELEASE-p5
OpenSSL 1.0.2h 3 May 2016

Nix konfiguriert außer SSH aktiviert.

Firewall Regeln sehen wie folgt aus:

Code: [Select]

* * * LAN Address 443 80 222 *   Anti-Aussperrregel
IPv4 * LAN Netzwerk * * * * Default allow LAN to any rule
IPv6 * LAN Netzwerk * * * * Default allow LAN IPv6 to any rule

Firewall: NAT: Portweiterleitung

Code: [Select]

LAN TCP * * LAN Adresse 443 80 222 * * Anti-Aussperrregel

Bevor ich jetzt irgendetwas mache denke ich das es sinnvoll ist das ich das mit euch abgleiche und Schritt für Schritt durch gehe. Irgendwo muss ja der Fehler liegen. Screenshots gibt's dann auch wenn gewünscht.

Hoffe auf Hilfe
Gruß Peter

[fabian]

Hi Peter,

ich habe hier mal ein paar Screenshots gemacht, wie du den Proxy konfigurieren musst und wie die Firewallregeln aussehen müssen, damit es geht.

Vielleicht hift dir das weiter. Screenshot 4 ist die resultierende Regel aus der NAT-Regel - diese wird automatisch angelegt.

MfG

Fabian

[tsom]

Hallo Fabian, ich muss echt sagen: " Du bist verdammt hilfsbereit!" Danke Dir dafür.
Hier jetzt mal meine Screenshots:

Leider wie gehabt zum Glück kann ich https Seiten aufrufen aber http geht nicht.

Code: [Select]

nc -l -p 3128
usage: nc [-46DdEFhklNnrStUuvz] [-e policy] [-I length] [-i interval] [-O length]
  [-P proxy_username] [-p source_port] [-s source] [-T ToS]
  [-V rtable] [-w timeout] [-X proxy_protocol]
  [-x proxy_address[:port]] [destination] [port]


Code: [Select]

pgrep squid
88742
88287


[tsom]

Ja ist mir bekannt ... es ist kein Windows .. habe trotzdem mal neu gestartet.
Wie zu erwarten keine Änderung. 

[fabian]

sorry, wenn du das mit nc noch probieren willst - hier unterscheiden sich bsd und linux ein wenig - einach das "-p" auslassen, dann gehts.

Oben im Eck der Konfiguration ist das Icon auch grün? Irgendwie ist das komisch weil scheinbar läuft squid aber die Ports gehen nicht.
Da kann man nur mehr prüfen, ob diese offen sind - müsste irgendwie mit sockstat gehen. Bei nem transpatenten Proxy musst du am Client gar nix rebooten - egal welches OS.

[tsom]

sorry, wenn du das mit nc noch probieren willst - hier unterscheiden sich bsd und linux ein wenig - einach das "-p" auslassen, dann gehts.

Die Ausgabe ist gleich null 

Oben im Eck der Konfiguration ist das Icon auch grün? Irgendwie ist das komisch weil scheinbar läuft squid aber die Ports gehen nicht.

Alles "Grün" auf der Proxy Seite und auf der Dashboard Seite siehe Bild

Da kann man nur mehr prüfen, ob diese offen sind - müsste irgendwie mit sockstat gehen. Bei nem transpatenten

Code: [Select]

sockstat
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS     
squid    pinger     46216 0  udp6   ::1:10523             ::1:62423
squid    pinger     46216 1  udp6   ::1:10523             ::1:62423
squid    squid      44086 6  udp4 6 *:36195               *:*
squid    squid      44086 8  udp4   *:63241               *:*
squid    squid      44086 10 tcp4   127.0.0.1:3128        *:*
squid    squid      44086 11 tcp6   ::1:3128              *:*
squid    squid      44086 12 tcp4   192.168.1.1:3128      *:*
squid    squid      44086 14 udp6   ::1:62423             ::1:10523
squid    squid      43995 8  dgram  -> /var/run/log
root     sshd       84965 3  tcp4   192.168.1.1:222       192.168.1.100:49550
root     ntpd       41503 3  dgram  -> /var/run/logpriv
root     ntpd       41503 20 udp6   *:123                 *:*
root     ntpd       41503 21 udp4   *:123                 *:*
root     ntpd       41503 22 udp4   192.168.1.1:123       *:*
root     ntpd       41503 23 udp6   fe80::1:1%fxp0:123    *:*
root     ntpd       41503 24 udp6   fe80::250:bfff:fea6:82b2%dc0:123 *:*
root     ntpd       41503 25 udp4   192.168.178.25:123    *:*
root     ntpd       41503 26 udp4   127.0.0.1:123         *:*
root     ntpd       41503 27 udp6   ::1:123               *:*
root     ntpd       41503 28 udp6   fe80::1%lo0:123       *:*
squid    pinger     34820 0  udp6   ::1:55086             ::1:46023
squid    pinger     34820 1  udp6   ::1:55086             ::1:46023
root     sshlockout 91912 3  dgram  -> /var/run/logpriv
root     radvd      58676 3  dgram  -> /var/run/logpriv
dhcpd    dhcpd      57203 3  dgram  -> /var/dhcpd/var/run/log
dhcpd    dhcpd      57203 7  udp4   *:67                  *:*
dhcpd    dhcpd      57203 20 udp4   *:51524               *:*
dhcpd    dhcpd      57203 21 udp6   *:13446               *:*
root     php-cgi    57142 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    56914 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    56699 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    56503 0  stream /tmp/php-fastcgi.socket-0
root     php-cgi    56368 0  stream /tmp/php-fastcgi.socket-0
root     php-cgi    56161 0  stream /tmp/php-fastcgi.socket-0
nobody   dnsmasq    56142 4  udp4   *:53                  *:*
nobody   dnsmasq    56142 5  tcp4   *:53                  *:*
nobody   dnsmasq    56142 6  udp6   *:53                  *:*
nobody   dnsmasq    56142 7  tcp6   *:53                  *:*
nobody   dnsmasq    56142 10 dgram  -> /var/run/log
root     php-cgi    50767 0  stream /tmp/php-fastcgi.socket-1
root     php-cgi    48074 0  stream /tmp/php-fastcgi.socket-0
root     lighttpd   47838 3  dgram  -> /var/run/logpriv
root     lighttpd   47838 4  tcp4   *:443                 *:*
root     lighttpd   47838 5  tcp6   *:443                 *:*
root     lighttpd   47838 6  tcp4   *:80                  *:*
root     lighttpd   47838 7  tcp6   *:80                  *:*
root     lighttpd   47838 9  tcp4   192.168.1.1:443       192.168.1.100:38514
root     filterlog  32419 4  dgram  -> /var/run/logpriv
_dhcp    dhclient   19853 3  dgram  -> /var/run/logpriv
root     dhclient   14214 3  dgram  -> /var/run/logpriv
root     sshd       9134  3  tcp6   *:222                 *:*
root     sshd       9134  4  tcp4   *:222                 *:*
root     syslogd    8401  4  dgram  /var/run/log
root     syslogd    8401  5  dgram  /var/run/logpriv
root     syslogd    8401  6  dgram  /var/dhcpd/var/run/log
root     syslogd    8401  7  udp6   *:514                 *:*
root     syslogd    8401  8  udp4   *:514                 *:*
root     devd       226   4  stream /var/run/devd.pipe
root     devd       226   5  seqpac /var/run/devd.seqpacket.pipe
root     devd       226   7  dgram  -> /var/run/logpriv
root     python2.7  194   5  stream /var/run/configd.socket
root     python2.7  194   8  dgram  -> /var/run/logpriv
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38508
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38498
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38504
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38500
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38502
?        ?          ?     ?  tcp4   192.168.1.1:443       192.168.1.100:38506


Proxy musst du am Client gar nix rebooten - egal welches OS.

Den Client habe ich auch nicht neu gestartet sondern den OPNsense falls irgendwelche Dienste die ich nicht sehe nicht gestartet sind.


Außer von dir bin ich bis jetzt von nichts begeistert. Hoffe du verstehst meinen Frust.

[tsom]

Fazit:
Ich habe den OPNsense neu installiert und mit Fabian sauber konfiguriert.
Ich habe in zwischen den pfsense probiert gleiches Problem!
Ich habe den IPfire und den IPcop und Copfilter installiert und die laufen beide.

Liegt es eventuell an BSD an der Hardware oder an der Kombination?
 

[fabian]

Tut mir echt leid, dass es nicht klappen will - bei mir geht das sowohl in der VM als auch auf der APU1d4. Vielleicht kann Franco dir da weiterhelfen. Das sockstat schaut übrigens OK aus. Ich gehe dann mal davon aus, dass der transparente Proxy läuft aber die Firewall nicht geht.

Unter Umständen braucht Frano dazu die /tmp/rules.debug - vorausgesetzt er hat Zeit.

[franco]

Das Setup sieht gut aus. Wenn auch andere Lösung das gleiche Problem haben, dann liegt es vielleicht an einer Komponente außerhalb der Box: Wenn der Proxy läuft, aber trotzdem keine Antworten ankommen, bekommt dieser keine die er weiter reichen kann.  Oder der Proxy wird von den Clients aus welchen Gründen auch immer nicht angenommen.

[tsom]

Hallo franco,

Ich habe den IPfire und den IPcop und Copfilter installiert und die laufen beide.

Scheint aber eher ein reines BSD Problem zu sein.

[tsom]

Ok,
an dieser Stelle verabschiede ich mich dann aus dem Beitrag!

Vielen Dank Fabian für deinen Einsatz! Das war mehr als lobenswert!

Ich bedauere das dieses Unterfangen anscheinend nicht zum Erfolg führt.
Warum auch immer, das werde ich wohl nie erfahren.

Schade drum!