IOS Geräte SQUID Problem (Bypass Proxy?)

[opnsense_user12123]

Unter Pfsense ist es ganz einfach möglich diverse Clients komplett vom Proxy auszuschließen.
Das geht leider bei OPNsense nicht.

Unter IOS kann man zwar auch ein Zertifikat für Safari installieren, aber alle IOS-Apps wie Youtube usw funktionieren dann leider trotzdem nicht. Dafür konnte ich nirgends im Netz eine Lösung finden.
Auch gibt Apple hier keine Informationen zum Thema Apps und Proxy öffentlich bekannt.

Kennt jemand eine Möglichkeit wie man mit einfachenn Mitteln den Proxy für diverse Clients komplett deaktivieren kann bzw gewollt umgehn kann?

Ich wäre sehr dankbar für einen Lösungsweg!

Danke!

[monstermania]

Moin,
eine Möglichkeit wäre anhand der MAC-Adressen feste IP-Leases zu vergeben und für diese IP's dann ein eigenes FW-Ruleset am Proxy vorbei einzurichten.
Ist natürlich keine optimale Lösung, aber wenn es nur um wenige bekannte Geräte geht durchaus zu handhaben.
So hab ich bei mir geregelt um unseren 2 Smartphones im WLAN vollen WhatsApp-Zugriff zu ermöglichen.

Gruß
Dirk

[opnsense_user12123]

Moin,
eine Möglichkeit wäre anhand der MAC-Adressen feste IP-Leases zu vergeben und für diese IP's dann ein eigenes FW-Ruleset am Proxy vorbei einzurichten.
Ist natürlich keine optimale Lösung, aber wenn es nur um wenige bekannte Geräte geht durchaus zu handhaben.
So hab ich bei mir geregelt um unseren 2 Smartphones im WLAN vollen WhatsApp-Zugriff zu ermöglichen.

Gruß
Dirk

Ok. Also es würde nur mit einer FW Regel funktionieren.
Da ich in diesem Bereich mich gerade erst ein wenig vortaste würde ich dich bitten mir vielleicht ein wenig beim erstellen der Regel zu helfen.

Das heißt also:
Ich mache am gewünschten Interface eine Regel die ich über alle stelle. Also als oberste Regel?
Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?
Was definiere ich als Source Port?
Und was muss in die Destination und den destination port eingetragen werden?

Könntest du mir ein wenig helfen?

Vielen Dank!

[fabian]

Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?

Idealerweise ja

Was definiere ich als Source Port?

any (jeglicher)

Und was muss in die Destination und den destination port eingetragen werden?

any und tcp/443

[opnsense_user12123]

Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?

Idealerweise ja

Was definiere ich als Source Port?

any (jeglicher)

Und was muss in die Destination und den destination port eingetragen werden?

any und tcp/443

Ok, vielen Dank für die Unterstützung. Werde das mal ausprobieren und gebe dann wieder Feedback.

[opnsense_user12123]

Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?

Idealerweise ja

Was definiere ich als Source Port?

any (jeglicher)

Und was muss in die Destination und den destination port eingetragen werden?

any und tcp/443

Was wäre den jetzt der Unterschied zur nordr Regel?
Welche sollten man eher verwenden?

Danke nochmals

[fabian]

Was wäre den jetzt der Unterschied zur nordr Regel?
Welche sollten man eher verwenden?

das ist die no-rdr-Regel. Die Alternative ist bei der quelle folgendes anzugeben:

quell-ip:
! hostalias

wobei der die IPs von allen Hosts enthält, die nicht umgeleitet werden sollen.

[opnsense_user12123]

Das heißt ich Klone die https Regel vom Proxy und wähle no rdr aus und setze die Regel nach ganz oben.
Bei Source wähle ich die ip‘s bzw den alias der Clients aus und als destination port wähle ich 443 und als Host any?

Am I Right ?

[fabian]

ja

[opnsense_user12123]

Vielen vielen dank für die Unterstützung.

[opnsense_user12123]

Was wäre den jetzt der Unterschied zur nordr Regel?
Welche sollten man eher verwenden?

das ist die no-rdr-Regel. Die Alternative ist bei der quelle folgendes anzugeben:

quell-ip:
! hostalias

wobei der die IPs von allen Hosts enthält, die nicht umgeleitet werden sollen.

Ok. habe jetzt das Port Forwarding und die Firewall Rules geändert bzw vom Original so wie auf der OPNSENSE Tuturial Seite empfohlen, angepasst.

Alles funktioniert wie gewünscht. Irgendwelche sicherheitstechnische Einwände ? (siehe Screenshots)