|
|
(17 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| = Konfiguration des Proxy-Servers =
| | [[Kategorie:OPNsense/Dienste]] |
| Das Schulnetzkonzept geht davon aus, dass Webaufrufe nur über den Proxy möglich sind.
| |
| * So können Webseitenaufrufe via Port 80 (http) und 443 (https) gefiltert werden.
| |
| ** URL-Filter squidGuard
| |
| * Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
| |
| ** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
| |
| | |
| Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
| |
| * Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
| |
| * Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
| |
| | |
| Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
| |
| | |
| ;Services / Web Proxy / Administration
| |
| * General Proxy Settings
| |
| ** Haken bei: Enable Proxy
| |
| ** Haken bei: Enable DNS v4 first
| |
| ** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
| |
| * Local Cache Settings.
| |
| ** Haken bei Enable local cache
| |
| ** Cache size in Megabytes: 10240
| |
| ** Haken bei: Enable Windows Update Cache
| |
| *** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
| |
| *** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
| |
| * General Forward Settings
| |
| ** Proxy Interfaces: LAN_CLIENTS
| |
| ** Proxy Port: 3128
| |
| ** Haken bei: Enable Transparent HTTP Proxy
| |
| ** Haken bei: Enable SSL inspection
| |
| ** Haken bei: Log SNI information only
| |
| ** SSL Proxy Port: 3129
| |
| ** CA to use: z. B.: schulnetz.intra-ca
| |
| *** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
| |
| *** System / Trust / Authorities → Add
| |
| **** Descriptive name: z. B. schulnetz.intra-ca
| |
| **** Method: Create an internal Certificate Authority
| |
| **** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address [[Category:Netzwerke:Router]]
| |
| | |
| [[Category:Netzwerke:Firewall]]
| |