[UPDATE#3] OPNSense hinter FB 6490 Cable

Started by Thargor, September 22, 2017, 10:22:38 AM

Previous topic - Next topic
Print
Go Down Pages 1 2 3 4 5 ... 7
User actions
September 25, 2017, 02:55:06 PM #30
deswegen hatte Fabian dir ja einen transparent Proxy empfohlen
https://docs.opnsense.org/manual/how-tos/proxytransparent.html
September 25, 2017, 03:31:48 PM #31 Last Edit: September 25, 2017, 05:02:48 PM by Thargor
Ok

dann versuch ich mal den zu installieren ::) :)

Irgendwie funzt das nicht... 

Inwieweit muss ich das Setup: Caching Proxy befolgen?
September 26, 2017, 08:02:29 AM #32
Quote from: Thargor on September 25, 2017, 03:31:48 PM
Irgendwie funzt das nicht... 
Inwieweit muss ich das Setup: Caching Proxy befolgen?
Einfach das Setup gemäß dem HowTo machen. Dann klappt das auch mit dem transp. Proxy.   ;)
Bliebe noch die Frage, ob Du SSL-Verbindungen aufbrechen willst...

September 26, 2017, 08:20:02 AM #33
Ok

probiere das heute Nachmittag nochmal aus... vorbereitet habe ich das alles, nur sind die Regeln die NAT Regeln nicht aktiv...

September 26, 2017, 08:52:11 AM #34
Ohne NAT-Regeln geht es aber nicht.
September 26, 2017, 09:52:36 AM #35 Last Edit: September 26, 2017, 07:03:18 PM by Thargor
Hi

meinte das alle LAN Regeln und die NAT Regeln vorbereitet, aber deaktiviert sind.  :)

EDIT:

so ich glaube das funktioniert im LAN schon mal.

Wie verhält sich das im WLAN?  Ich denke ich muss dann die gleiche Prozedur fürs WLAN auch machen, richtig?

Was ist mit dem erstellen Zertifikat? Wird das dort dann auch möglicherweise benötigt?

EDIT2: so auch im WLAN funktioniert das jetzt... hab das CA auch auf dem Handy installiert

EDIT 3: Apps wie Banking oder ebay-kleinanzeigen funktionieren auf dem Handy so nicht....
September 29, 2017, 08:52:35 AM #36
moin

so hab diverse Foren jetzt durch, aber ich habe immer noch keine Lösung für das Problem das ich mit Andorid 7 über den transparenten Proxy keine Apps wie ebay, Playstore, ebay-kleinanzeigen  etc. öffnen kann.

Immer wird mir gesagt das keine Internet oder WLan Verbindung besteht. Über den Chrome Browser funktioniert alles.

Kann das wer nachvollziehen, bzw. gibt das eine andere Lösung?
September 29, 2017, 09:26:14 AM #37
Eigentlich ist das auch richtig so.
Certificate pinning schützt dich davor, das ansonsten JEDER der im Besitz eines private key einer CA ist der dein OS/Browser vertaut, auch Zertifikate für JEDE  andere Seite ausstellen kann (so wie du es auch machst).

Das entfernt den Sinn der HTTPS Verbindung. Denn eigentlich geht ja jeder davon aus, das das https genau das (nämlich das Ausspionieren des Datenstroms incl. Passworten und privaten Daten) verhindert.

Du machst das mit dem transparenten Proxy jetzt nicht ganz ungefährlich. Sollte jemand zugriff auf deine opnSense Installation bekommen, kann er alle Daten und Passworte deiner User (Familie) ausspionieren.

Ich würde solch ein Risiko definitiv nicht eingehen, weder privat noch beruflich, da ich die Risiken die Unwissenheit über den Content/URLs der User deutlich geringer einschätze als die Chance das damit sämtliche Passwörter ausspioniert werden könnten.

September 29, 2017, 09:32:24 AM #38 Last Edit: September 29, 2017, 09:37:30 AM by Thargor
Hi Nils

ok.. also bliebe mir nur der "normale" Webproxy.

Dann müsste ich aber jedes Wlan - und Lanfähiges Gerät im Haus mit der Proxyadresse einstellen, richtig?

Oder müsste ich in den Einstellungen, die nicht abzufangenden SSl Seiten dort eintragen? Also die SSL Bumps?
September 29, 2017, 09:40:54 AM #39
du kannst den Haken bei Log SNI information only setzen.

Dann hast du wenigstens den Hostname, aber lässt die Verbindung auch ohne die Zertifikatsfälschung zu (das heißt es bleibt das eigentliche Zertifikat der Seite erhalten)
September 29, 2017, 12:04:01 PM #40
Hi

Internetseiten sind ja nicht das Problem. Das Problem taucht ja bei aufrufen von Apps direkt auf.

Mit Log SNI aktiviert, klappt das auch nicht.
September 30, 2017, 10:03:47 AM #41
Was jetzt erstmal geholfen hat ist, die relevanten Seiten in die SSL Bump Liste einzutragen
October 02, 2017, 05:29:47 PM #42
So ganz verstehe ich das immer noch nicht.

Im NAT Portforwading sieht das so aus bei mir:



Die Regeln im LAN:



Sobald ich aber die Block Regeln aktiviere, und im Browser den Proxy einstelle, funktioniert nix mehr...


Die Regeln im WLAN:



Wenn ich Block Proxy für http und https aktiviere funktioniert gar nix auf dem Handy. Auch mit aktivierten Proxy . Das WLAN Symbol bekommt ein ! und sagt keine Internetverbindung vorhanden.

Irgendwas stimmt da nicht...
October 06, 2017, 06:04:05 PM #43 Last Edit: October 06, 2017, 06:09:59 PM by Thargor
Hi

ich kämpfe seit Tagen mit dem Webproxy und der Perfomance.

Habe alles wie in der Anleitung unter Caching Proxy und Transperanten Proxy eingestellt, auch im Browser ist der Proxy jetzt eingestellt.

- Wie stelle ich das für das WLAN ein?
- die selbe Prozedur der LAN Schnittstelle auch für die WLAN Schnittstelle machen?
- Unter: Forward Proxy -> Proxy Interface dort auch WLAN einstellen?
- beim Transparenten Proxy muss der Browser am PC die Proxyeinstellung behalten? Das geht aus der Anleitung nicht hervor
- Wefilter von UT1 und yoyo Adblock sind aktiviert
- im WLAN auf dem Samsung S7 klappt das überhaupt nicht... komm da auch mit den Proxyeinstellungen nicht zurecht, diese kann man ja in den WLAN Einstellungen aktivieren

- Da die WLAN Karte anfür sich eher bescheiden läuft, habe ich mir überlegt ob ich nicht den alten IPCop einfach als WLAN AP nutze.
- der IPCOP hänggt ja noch an der FB aber ich brauche nur das WLAN davon noch
- sollte ich den IPCOP zu ein DD-WRT umfunktionieren oder könnte ich den einfach an den OPT1 dranhängen
- wenn ja, wie mach ich das?

October 07, 2017, 12:38:17 AM #44 Last Edit: October 07, 2017, 12:41:40 AM by Oxygen61
Hi Thargor,

kann dir beim Proxy keine genauen Dinge sagen, weil das Projekt ähnlich wie bei dir auch noch bei mir in meiner Netzwerkumgebung ansteht.
Aber ganz theoretisch und oberflächlich gesagt: Ein transparenter Proxy soll dir ja eben die Konfiguration des Clients abnehmen. Ich weiß grad nicht wie OPNsense das verarbeitet, aber mit transparenten Proxy musst du am PC oder am Handy gar nichts einstellen, solange die Clients den Proxy, aka. die Firewall erreichen.
Bei SSL-Interception auch am Besten all die Webseiten rausnehmen (ausklammern) die mit Geld zu tun haben oder die ohne Ausnahmeregelung nicht länger funktionieren. Deine Bank.... Paypal... Youtube.... Appstore usw. Aber das hattest du ja eh schon herausgefunden.....

Caching Proxy ist aus meiner Erfahrung immer keine gute Idee gewesen. Ich meine man beachte alleine mal wie viele Probleme beim Browser manchmal entstehen, wenn der Cache nicht gelöscht ist. Veraltete Webseiten usw.
Auch hier wieder.... Keine Ahnung wie der Caching Proxy in OPNsense von der Performance her läuft. :)

Zum Thema WLAN:
Probleme mit WLAN Karten beschreiben viele. Das ist grundsätzlich oft ein Treiber Problem von FreeBSD. Da muss man sich stark auf Erfahrungswerte von anderen verlassen, wenn man denn diese Schiene so fahren möchte. Einen AP zu betreiben ist auf jeden Fall die bessere Variante, weil dann der AP unabhängig vom OPNsense Betriebssystem arbeitet.
Kenne mich mit IPcop nicht aus, aber du kannst hier schauen ob deine Hardware unterstützt wird: https://www.dd-wrt.com/site/support/router-database

Ich hatte meinen 20 Euro DLink Router damals mal zu einer Maschine umfunktioniert. Lohnt sich auf jeden Fall nach meiner Erfahrung. Ich meine bevor du es weg schmeißt. Einen Versuch wäre es sicher wert. :)
Achtung nur: Nach dem Flashen öffnet DD-WRT ein offenes WLAN Netzwerk (warum auch immer). Das dann also entweder sofort abschalten oder absichern. :)
Wie das Flashen funktioniert hatte Chip.de mal gut beschrieben:
http://praxistipps.chip.de/dd-wrt-so-installieren-sie-die-alternative-router-firmware_32595

Versuche es aber ruhig erstmal ohne Flashen. Wenn dein IPCop AP auch so schon ausreichend gut funktioniert liegt es an dir ob du mit DD-WRT noch mehr raus holen möchtest, bzw. ob du das auch wirklich brauchst.

Viel Erfolg und schöne Grüße
Oxy
Print
Go Up Pages 1 2 3 4 5 ... 7
User actions