WEBproxy mit Filter und SSL Zertifikat einrichten

[Blackhawk76]

Hallo zusammen, ich bin erst vor kurzem von der SOPHOS UTM 9 (Home Version) auf die OPNsense umgestiegen. Muss sagen bin echt beeindruckt was alles möglich ist und wie schnell die Ersteinrichtung funktioniert.

Eine enorme Leistung von seitens der Programmierer.

Bei eventuellen Verständnisproblemen ist das Forum eine echte Hilfe.

Leider versuche ich vergeblich den WEB-Proxy (soll nur die URL´s Filtern = adult etc.) einzurichten.

Mein Hardwareaufbau: Fritz7490 (Exposed Host) -> OPNsense -> LAN Switch (VLAN fähig) -> Ubiquity UAP-AC-PRO (WLAN)

Bin nach der Anleitung von der Doku OPNsense vorgegangen. Zusätzlich aktiviere ich die SSL Filterung. Erstelle ein Zertifikat für den Browser und füge es den Vertrauenswürdigen Stammzertifikaten hinzu.
Der Proxy läuft "transparent" um nicht alle clients speziell umstellen zu müssen.

Die NAT Regeln und daraus entstehenden Firewall-Regeln habe ich erstellt bzw. aktiviert (Umleitung an den Proxy)

Leider bekomme ich immer wieder die Meldung "Dies ist keine sichere Website" (Google CHROME Browser).
Erst wenn der WEB-Proxy läuft möchte ich danach den clam-av zusätzlich aktivieren (c-icap).

Irgendetwas habe ich übersehen bzw. falsch gemacht. Screenshots liefere ich nach. Vielleicht gibt es hierzu auch ein HOW-TO (mit Beispiel Bildern - denn die sagen mehr als tausend Worte)?

Danke Euch vorab.

PS: Wenn ich es hinbekommen habe, erstelle ich hierzu ein HOW-TO (falls nicht schon bebildert vorhanden).



 

[fabian]

du hast da sicher was bei dem Zertifikatsimport falsch gemacht aber hier kann ich dir nicht helfen.

[Blackhawk76]

Das schliesse ich nicht aus 

Anbei die Screenshots:

1. Firewall Regel (hier deaktiviert angezeigt)

2. NAT Portforwarding

3. PROXY Bild 1

4. PROXY Bild 2

[Blackhawk76]

Sorry hier gehen die Screenshots weiter (immer nur 4 möglich ?)

5. PROXY Bild 3

6. PROXY Bild 4

7. Fehlermeldung control vom PROXY


Das selbst erstellte Zertifikat habe ich unter "Vertrauenswürdige Stammzertifizierungsstellen" installiert.

Leider funktioniert das nicht. Komischerweise geht die Google Website aber alle anderen SSL Sites nicht.

Danke Euch vorab.

[opnsenseuser]

du musst bei "ssl no bump sites (nicht abzufangende ssl seiten)" deine domain eintragen.

also z.b deine domain würde heißen: zuhause.de

dann trägst du bei "ssl no bump sites" -> .zuhause.de
ein.

bevor die nächste frage kommt richtig ist

.zuhause.de,

[Blackhawk76]

danke für die schnelle Antwort.

Aber leider hat es das nicht behoben 

Der WebProxy - Dienst startet gar nicht mehr und die CPU Auslastung steht bei 100%.

Schade, aber denke das ich hier nicht weiter kommen werde. Als Alternative habe ich OpenDNS getestet, funktioniert einwandfrei.

Vielleicht hat jemand eine funktionierende konfig (Bild) ?

 

[opnsenseuser]

Hast du es in verschiedenen Browsern getestet?
Und wenn ja, kommt in allen Browsern die selbe Fehlermeldung?

[Blackhawk76]

Habe es mit IE und Chrome probiert, da ist die Fehlermeldung die selbe.

Allerdings mit Firefox kann man relativ schnell und simple eine Ausnahme hinzufügen und damit geht es dann.

Ist für mich aber nicht die erste Wahl "Firefox".  Ja da kann man streiten und eine Diskussion über BROWSER entfachen. Muss man aber nicht :-)

Danke für Dein Feedback.

[fabian]

shell: squid -k parse kann helfen