[Gelöst] Web Filter mit Local Database - Kein Login möglich

[geCH]

Hallo
Ich habe opnsense 17.1 mit allen Aktualisierungen.

Ich möchte den Webfilter mit der Authentifizierungsmethode Local Database verwenden.
Das Login Fenster kommt aber die Benutzer werden nicht akzeptiert. Es kommt immer wieder ein neues Login Fenster. Wenn ich keine Authentifizierungsmethode verwende funktioniert es. Aber ich brauche die Logins.

Im Log steht immer
> kid1| helperHandleRead: unexepted reply on channel 0 from basicauthenticator #Hlpr1 'ERR'

Ich habe alle IDs ausprobiert. Die Admins und einen anderen Benutzer der in keiner Gruppe ist. Ich vermute ich muss noch was an den Gruppen und den Configs ändern. Habe aber nichts gefunden, was es sein könnte und auch online keine Erklärung gesehen.

Ideal wäre eine Lösung die auch erklärt wie man unterschiedliche Filter für unterschiedliche Benutzergruppen anlegt. Das wäre dann nämlich mein nächster Schritt. Aber der Login wäre schon sehr hilfreich.

[fabian]

Im Log steht immer
> kid1| helperHandleRead: unexepted reply on channel 0 from basicauthenticator #Hlpr1 'ERR'

schaut aus, wie ein Bug. Kannst du einen Benutzernamen und ein Passwort mit dem selben Format posten, wie das, was du verwendest?
Tritt das Problem auch wo anders auf (CP, Tester,...)?

[geCH]

Hab die Lösung für den Login gefunden. War eine fehlende Gruppe mit dem Recht "Proxy:Login". Danach brauchte die FW noch einen kompletten Reboot. Das SystemLog hat mich darauf gebracht, jedoch war der Eintrag "cannot authenticate for squid because of missing user-proxy-auth role" etwas Irreführend, da das Recht "Proxy:Login" heisst.

Ich muss mich noch etwas an OPNsense gewöhnen, aber es gefällt mir. Ist sehr leistungsfähig und recht logisch aufgebaut.

Hat noch jemand eine Beschreibung wie man verschiede Gruppen mit unterschiedlichen Filtern und Rechten auf dem Proxy machen kann? Oder auch wie man Firewall-Regeln an eine Gruppe binden kann, so das diese nur gelten wenn ein entsprechender Benutzer angemeldet ist?

Hier noch die Logs falls mal jemand ein ähnliches Problem hat.
Web-Proxy Log:
2017/02/05 12:03:01 kid1|    helperHandleRead: unexpected read from basicauthenticator #Hlpr1, 4 bytes 'ERR
2017/02/05 12:02:55 kid1|    helperHandleRead: unexpected reply on channel 0 from basicauthenticator #Hlpr1 'ERR'
2017/02/05 12:02:55 kid1|    helperOpenServers: Starting 1/5 'squid.auth-user.php' processes
2017/02/05 12:02:55 kid1|    Starting new basicauthenticator helpers...
2017/02/05 12:02:32 kid1|    storeLateRelease: released 0 objects

SystemLog:
Feb 5 12:27:04    squid: user 'tester' could not authenticate.
Feb 5 12:27:04    squid: user 'tester' could not authenticate.
Feb 5 12:27:04    squid: user 'tester' cannot authenticate for squid because of missing user-proxy-auth role
Feb 5 12:27:04    squid: user 'tester' cannot authenticate for squid because of missing user-proxy-auth role
Feb 5 12:26:57    squid: user 'tester' could not authenticate.
Feb 5 12:26:57    squid: user 'tester' could not authenticate.
Feb 5 12:26:57    squid: user 'tester' cannot authenticate for squid because of missing user-proxy-auth role
Feb 5 12:26:57    squid: user 'tester' cannot authenticate for squid because of missing user-proxy-auth role
Feb 5 12:26:33    squid[61249]: Squid Parent: (squid-1) process 61456 started
Feb 5 12:26:33    squid[61249]: Squid Parent: will start 1 kids
Feb 5 12:26:24    squid[41828]: Squid Parent: (squid-1) process 42158 exited with status 0

[fabian]

Roles are applied in the user settings. Can you retry it after adding the user there?

[geCH]

Die Zuordung der Benutzers zu Gruppe hat einwandfrei geklappt. Das Problem war, dass ich etwas gebraucht habe die Gruppe mit den richten Rechten zu bestücken und diese aktive zu machen.
Aber jetzt hat das geklappt.

[geCH]

Jetzt ist noch die Frage wie kann ich unterschiedliche Filter auf verschiedene Gruppen anwenden.
z.B.
Gruppe 1 - nur Software updates
Gruppe 2 - Kinder nur explizite Freigaben
Gruppe 3 - Keine Sites die bestimme Kategorien entsprechen - z.B. Malware, Gewalt, etc.

[fabian]

Gruppenbasierte Filterung ist derzeit nicht vorgesehen und wird aufgrund des Umfangs vermutlich die nächtste Zeit auch nicht kommen.
Unter Umständen kannst du das aber selber zusammenbasteln.

[geCH]

Danke für die Info