Benutzer-Werkzeuge

Webseiten-Werkzeuge

 [[anwenderwiki:firewall_lmn7:squidproxy:start]] 
Sie befinden sich hier: start » anwenderwiki » firewall_lmn7 » squidproxy

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
anwenderwiki:firewall_lmn7:squidproxy:start [2021/11/19 11:09] – [ACL Whitelist/Blacklist generell] garblixaanwenderwiki:firewall_lmn7:squidproxy:start [2022/04/12 08:30] (aktuell) garblixa
Zeile 48: Zeile 48:
 Damit die wpad.dat ausgeliefert werden kann und die Erkennung auch mit Firefox funktioniert, muß "HTTPS" für die OPNsense WebGUI deaktiviert werden. Auch wenn diese zusätzlich über Port 80 erreichbar ist, probiert der Firefox zuerst die wpad.dat über 443 zu bekommen. Da es an der Firewall in der Standardeinstellung nur ein selbst generiertes SSL-Zertifikat gibt, scheitert das und die wpad.dat wird nicht geholt. Also bleibt nur die Möglichkeit SSL für die WebGUI der Firewall zu deaktivieren.  Damit die wpad.dat ausgeliefert werden kann und die Erkennung auch mit Firefox funktioniert, muß "HTTPS" für die OPNsense WebGUI deaktiviert werden. Auch wenn diese zusätzlich über Port 80 erreichbar ist, probiert der Firefox zuerst die wpad.dat über 443 zu bekommen. Da es an der Firewall in der Standardeinstellung nur ein selbst generiertes SSL-Zertifikat gibt, scheitert das und die wpad.dat wird nicht geholt. Also bleibt nur die Möglichkeit SSL für die WebGUI der Firewall zu deaktivieren. 
  
-Alternativ kann ein anderer Webserver die wpad.dat über HTTP bereitstellen.+Oder es bleibt 443 aktiv und wird nur für die Clients im Netz per Firewall Regel gesperrt und eine weitere Regel, welche SSL Zugriff vom Management PC aus erlaubt.
  
-Eine weitere Alternative ist eine Domain mit offiziellem(z.B. Let's Encrypt) SSL Zertifikat an der Firewall und Nutzung dieser Domain in der wpad.dat.+Alternativ kann ein anderer Webserver die wpad.dat über HTTP bereitstellen.
  
 System - Einstellungen - Verwaltung - Weboberfläche: System - Einstellungen - Verwaltung - Weboberfläche:
Zeile 138: Zeile 138:
 Die Gruppen müssen im Linuxmuster existieren, weil in den Proxyeinstellungen "linuxmuster" als Authentifizierung eingestellt ist. Die Gruppen müssen im Linuxmuster existieren, weil in den Proxyeinstellungen "linuxmuster" als Authentifizierung eingestellt ist.
  
-===== ACL Whitelist/Blacklist generell =====+===== ACL Whitelist/Blacklist generell (optional)=====
 Damit die Windowsupdates/Windows Aktivierung auch ohne Proxy Authentifizierung funktionieren, kann man folgendes machen. Man definiert auf der Firewall unter: Damit die Windowsupdates/Windows Aktivierung auch ohne Proxy Authentifizierung funktionieren, kann man folgendes machen. Man definiert auf der Firewall unter:
 Dienste - Web-Proxy - Verwaltung - Weiterleitungsproxy - Zugangskontrolliste - Ausnahmeliste die Domains: Dienste - Web-Proxy - Verwaltung - Weiterleitungsproxy - Zugangskontrolliste - Ausnahmeliste die Domains:
Zeile 150: Zeile 150:
 .metaservices.microsoft.com .metaservices.microsoft.com
 </code> </code>
 +
 +{{:anwenderwiki:squidproxy:screenshot_20211223_170219.png|}}
  
 Damit die ACL vor der Authentifizierung ausgeführt wird legt man an der OPNsense die Datei an: Damit die ACL vor der Authentifizierung ausgeführt wird legt man an der OPNsense die Datei an:
Zeile 167: Zeile 169:
  
 ===== Reihenfolge der ACL in squid.conf ===== ===== Reihenfolge der ACL in squid.conf =====
-<note important>Nach einem Update muß überprüft werden, ob die Datei verändert wurde </note>+<note important>Nach einem Update der OPNsense(squid) muß überprüft werden, ob die Datei verändert wurde </note>
  
 Damit die User und Gruppen ACL greift, muß diese vor der shallalist ausgeführt werden. Dazu ändert man /usr/local/opnsense/service/templates/OPNsense/Proxy/squid.acl.conf: Damit die User und Gruppen ACL greift, muß diese vor der shallalist ausgeführt werden. Dazu ändert man /usr/local/opnsense/service/templates/OPNsense/Proxy/squid.acl.conf:
Zuletzt angesehen: squidproxy vorhandene_client_images linbo_systpart_vergroessern
 [[anwenderwiki:firewall_lmn7:squidproxy:start]] anwenderwiki/firewall_lmn7/squidproxy/start.1637316578.txt.gz · Zuletzt geändert: 2021/11/19 11:09 von garblixa

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Openschulportfolio Driven by DokuWiki Powered by PHP Valid XHTML 1.0 Valid CSS