Versionsgeschichte interaktiv durchsuchen

Version vom 14. Mai 2022, 20:39 Uhr

Konfiguration des Proxy-Servers

Das Schulnetzkonzept geht davon aus, dass Webaufrufe nur über den Proxy möglich sind.

So können Webseitenaufrufe via Port 80 (http) und 443 (https) gefiltert werden.
- URL-Filter squidGuard
Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
- Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.

Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):

Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.

Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:

Services / Web Proxy / Administration

General Proxy Settings
- Haken bei: Enable Proxy
- Haken bei: Enable DNS v4 first
- Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
Local Cache Settings.
- Haken bei Enable local cache
- Cache size in Megabytes: 10240
- Haken bei: Enable Windows Update Cache
  - Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
  - Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
General Forward Settings
- Proxy Interfaces: LAN_CLIENTS
- Proxy Port: 3128
- Haken bei: Enable Transparent HTTP Proxy
- Haken bei: Enable SSL inspection
- Haken bei: Log SNI information only
- SSL Proxy Port: 3129
- CA to use: z. B.: schulnetz.intra-ca
  - Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
  - System / Trust / Authorities → Add
    - Descriptive name: z. B. schulnetz.intra-ca
    - Method: Create an internal Certificate Authority
    - Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address

Seiten in der Kategorie „OPNsense/Proxy“

Folgende 3 Seiten sind in dieser Kategorie, von 3 insgesamt.

O

@@ Zeile 3: / Zeile 3: @@
 * So können Webseitenaufrufe via Port 80 (http) und 443 (https) gefiltert werden.
 ** URL-Filter squidGuard
-* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
+* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
 ** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
@@ Zeile 12: / Zeile 12: @@
 Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
-Services / Web Proxy / Administration
+;Services / Web Proxy / Administration
 * General Proxy Settings
 ** Haken bei: Enable Proxy
@@ Zeile 36: / Zeile 36: @@
 **** Method: Create an internal Certificate Authority
 **** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address [[Category:Netzwerke:Router]]
 [[Category:Netzwerke:Firewall]]