Kategorie:OPNsense/Proxy: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Textersetzung - „OPNsense:“ durch „OPNsense/“
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
; Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
[[Kategorie:OPNsense/Dienste]]
* URL-Filter squidGuard
* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
 
; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
* Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
* Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
 
; Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
: Services / Web Proxy / Administration
* General Proxy Settings
** Haken bei: Enable Proxy
** Haken bei: Enable DNS v4 first
** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
* Local Cache Settings.
** Haken bei Enable local cache
** Cache size in Megabytes: 10240
** Haken bei: Enable Windows Update Cache
*** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
*** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
* General Forward Settings
** Proxy Interfaces: LAN_CLIENTS
** Proxy Port: 3128
** Haken bei: Enable Transparent HTTP Proxy
** Haken bei: Enable SSL inspection
** Haken bei: Log SNI information only
** SSL Proxy Port: 3129
** CA to use: z. B.: schulnetz.intra-ca
*** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
*** System / Trust / Authorities → Add
**** Descriptive name: z. B. schulnetz.intra-ca
**** Method: Create an internal Certificate Authority
**** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
 
[[Kategorie:OPNsense:Dienste]]
 
 
 
 
= Web-Proxy =
== Alias für Umgehung des Proxys anlegen ==
Sofern es in Ihrem Netzwerk Clients geben soll, die von der Proxy-Filterung ausgenommen werden sollen, legen Sie hierfür zunächst einen Alias an:
 
;Firewall / Aliases → Add
* Name: z. B. BYPASS_Firewall_Proxy
* Type: wählen Sie hier...
** Host(s) zur Angabe einer oder mehrerer IP-Adressen
** Network(s) zur Angabe einer oder mehrere IP-Segmente
* Description: aussagekräftige Beschreibung
 
== Weiterleitung von Web-Anfragen an den Proxy ==
Die beiden Haupt-Ports für Internetseitenaufrufe werden an den Proxy weitergeleitet:
 
;Firewall / NAT / Port Forward
# Regel
#* Interface: LAN_CLIENTS
#* TCP/IP Version: IPv4
#* Protocol: TCP
#* Source / Invert: Haken
#* Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
#* Destination / Invert: Haken
#* Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
#* Destination Port Range: from: HTTP to: HTTP
#* Redirect target IP: Single host or Network: 127.0.0.1
#* Redirect target Port: 3128
#* Description: z. B.: Redirect http-traffic to Proxy
# Regel
#* Interface: LAN_CLIENTS
#* TCP/IP Version: IPv4
#* Protocol: TCP
#* Source / Invert: Haken
#* Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
#* Destination / Invert: Haken
#* Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
#* Destination Port Range: from: HTTPS to: HTTPS
#* Redirect target IP: Single host or Network: 127.0.0.1
#* Redirect target Port: 3129
#* Description: z. B.: Redirect https-traffic to Proxy
 
[[Kategorie:OPNsense:Dienste]]

Aktuelle Version vom 13. Februar 2023, 10:28 Uhr

Seiten in der Kategorie „OPNsense/Proxy“

Folgende 3 Seiten sind in dieser Kategorie, von 3 insgesamt.