Benutzer-Werkzeuge

Webseiten-Werkzeuge

 [[anwenderwiki:firewall_lmn7:squidproxy:start]] 
Sie befinden sich hier: start » anwenderwiki » firewall_lmn7 » squidproxy

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
anwenderwiki:firewall_lmn7:squidproxy:start [2021/11/19 11:07] garblixaanwenderwiki:firewall_lmn7:squidproxy:start [2022/04/12 08:30] (aktuell) garblixa
Zeile 48: Zeile 48:
 Damit die wpad.dat ausgeliefert werden kann und die Erkennung auch mit Firefox funktioniert, muß "HTTPS" für die OPNsense WebGUI deaktiviert werden. Auch wenn diese zusätzlich über Port 80 erreichbar ist, probiert der Firefox zuerst die wpad.dat über 443 zu bekommen. Da es an der Firewall in der Standardeinstellung nur ein selbst generiertes SSL-Zertifikat gibt, scheitert das und die wpad.dat wird nicht geholt. Also bleibt nur die Möglichkeit SSL für die WebGUI der Firewall zu deaktivieren.  Damit die wpad.dat ausgeliefert werden kann und die Erkennung auch mit Firefox funktioniert, muß "HTTPS" für die OPNsense WebGUI deaktiviert werden. Auch wenn diese zusätzlich über Port 80 erreichbar ist, probiert der Firefox zuerst die wpad.dat über 443 zu bekommen. Da es an der Firewall in der Standardeinstellung nur ein selbst generiertes SSL-Zertifikat gibt, scheitert das und die wpad.dat wird nicht geholt. Also bleibt nur die Möglichkeit SSL für die WebGUI der Firewall zu deaktivieren. 
  
-Alternativ kann ein anderer Webserver die wpad.dat über HTTP bereitstellen.+Oder es bleibt 443 aktiv und wird nur für die Clients im Netz per Firewall Regel gesperrt und eine weitere Regel, welche SSL Zugriff vom Management PC aus erlaubt.
  
-Eine weitere Alternative ist eine Domain mit offiziellem(z.B. Let's Encrypt) SSL Zertifikat an der Firewall und Nutzung dieser Domain in der wpad.dat.+Alternativ kann ein anderer Webserver die wpad.dat über HTTP bereitstellen.
  
 System - Einstellungen - Verwaltung - Weboberfläche: System - Einstellungen - Verwaltung - Weboberfläche:
Zeile 138: Zeile 138:
 Die Gruppen müssen im Linuxmuster existieren, weil in den Proxyeinstellungen "linuxmuster" als Authentifizierung eingestellt ist. Die Gruppen müssen im Linuxmuster existieren, weil in den Proxyeinstellungen "linuxmuster" als Authentifizierung eingestellt ist.
  
-===== ACL Whitelist/Blacklist generell =====+===== ACL Whitelist/Blacklist generell (optional)=====
 Damit die Windowsupdates/Windows Aktivierung auch ohne Proxy Authentifizierung funktionieren, kann man folgendes machen. Man definiert auf der Firewall unter: Damit die Windowsupdates/Windows Aktivierung auch ohne Proxy Authentifizierung funktionieren, kann man folgendes machen. Man definiert auf der Firewall unter:
 Dienste - Web-Proxy - Verwaltung - Weiterleitungsproxy - Zugangskontrolliste - Ausnahmeliste die Domains: Dienste - Web-Proxy - Verwaltung - Weiterleitungsproxy - Zugangskontrolliste - Ausnahmeliste die Domains:
Zeile 150: Zeile 150:
 .metaservices.microsoft.com .metaservices.microsoft.com
 </code> </code>
 +
 +{{:anwenderwiki:squidproxy:screenshot_20211223_170219.png|}}
  
 Damit die ACL vor der Authentifizierung ausgeführt wird legt man an der OPNsense die Datei an: Damit die ACL vor der Authentifizierung ausgeführt wird legt man an der OPNsense die Datei an:
  
-/usr/local/etc/squid/pre-auth/30-linuxmuster.pre-auth.acl.conf+/usr/local/etc/squid/pre-auth/30-linuxmuster-acl.pre-auth.acl.conf
 <code> <code>
 # ACL list (Deny) blacklist # ACL list (Deny) blacklist
Zeile 164: Zeile 166:
 Hier kann man obige Domains in den Abschnitt "Schwarze Liste" schreiben, um Windows Updates auch für die in dieser Dokumentation generell freigeschalteten Lehrer zu sperren. Hier kann man obige Domains in den Abschnitt "Schwarze Liste" schreiben, um Windows Updates auch für die in dieser Dokumentation generell freigeschalteten Lehrer zu sperren.
  
-In jedem Fall muss hier irgendeine Domain in White/Blacklist stehen, auch wenn man diese nicht verwendet. Sonst kann man Squid nicht starten, weil in pre-auth30-linuxmuster.pre-auth.acl.conf die Listen definiert sind. Im Zweifel also in die beiden ACLs "invalid" als Domain eintragen.+In jedem Fall muss hier irgendeine Domain in White/Blacklist stehen, auch wenn man diese nicht verwendet. Sonst kann man Squid nicht starten, weil in pre-auth30-linuxmuster-acl.pre-auth.acl.conf die Listen definiert sind. Im Zweifel also in die beiden ACLs "invalid" als Domain eintragen.
  
 ===== Reihenfolge der ACL in squid.conf ===== ===== Reihenfolge der ACL in squid.conf =====
-<note important>Nach einem Update muß überprüft werden, ob die Datei verändert wurde </note>+<note important>Nach einem Update der OPNsense(squid) muß überprüft werden, ob die Datei verändert wurde </note>
  
 Damit die User und Gruppen ACL greift, muß diese vor der shallalist ausgeführt werden. Dazu ändert man /usr/local/opnsense/service/templates/OPNsense/Proxy/squid.acl.conf: Damit die User und Gruppen ACL greift, muß diese vor der shallalist ausgeführt werden. Dazu ändert man /usr/local/opnsense/service/templates/OPNsense/Proxy/squid.acl.conf:
Zuletzt angesehen:
 [[anwenderwiki:firewall_lmn7:squidproxy:start]] anwenderwiki/firewall_lmn7/squidproxy/start.1637316454.txt.gz · Zuletzt geändert: 2021/11/19 11:07 von garblixa

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Openschulportfolio Driven by DokuWiki Powered by PHP Valid XHTML 1.0 Valid CSS