OPNsense/Web-Proxy: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Textersetzung - „z. B.“ durch „z. B. “ |
||
Zeile 4: | Zeile 4: | ||
;Firewall / Aliases → Add | ;Firewall / Aliases → Add | ||
* Name: z. B. BYPASS_Firewall_Proxy | * Name: z. B. BYPASS_Firewall_Proxy | ||
* Type: wählen Sie hier... | * Type: wählen Sie hier... | ||
** Host(s) zur Angabe einer oder mehrerer IP-Adressen | ** Host(s) zur Angabe einer oder mehrerer IP-Adressen | ||
Zeile 25: | Zeile 25: | ||
#* Redirect target IP: Single host or Network: 127.0.0.1 | #* Redirect target IP: Single host or Network: 127.0.0.1 | ||
#* Redirect target Port: 3128 | #* Redirect target Port: 3128 | ||
#* Description: z. B.: Redirect http-traffic to Proxy | #* Description: z. B. : Redirect http-traffic to Proxy | ||
# Regel | # Regel | ||
#* Interface: LAN_CLIENTS | #* Interface: LAN_CLIENTS | ||
Zeile 37: | Zeile 37: | ||
#* Redirect target IP: Single host or Network: 127.0.0.1 | #* Redirect target IP: Single host or Network: 127.0.0.1 | ||
#* Redirect target Port: 3129 | #* Redirect target Port: 3129 | ||
#* Description: z. B.: Redirect https-traffic to Proxy | #* Description: z. B. : Redirect https-traffic to Proxy | ||
== TMP == | == TMP == | ||
Zeile 68: | Zeile 68: | ||
** Haken bei: Log SNI information only | ** Haken bei: Log SNI information only | ||
** SSL Proxy Port: 3129 | ** SSL Proxy Port: 3129 | ||
** CA to use: z. B.: schulnetz.intra-ca | ** CA to use: z. B. : schulnetz.intra-ca | ||
*** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach: | *** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach: | ||
*** System / Trust / Authorities → Add | *** System / Trust / Authorities → Add | ||
**** Descriptive name: z. B. schulnetz.intra-ca | **** Descriptive name: z. B. schulnetz.intra-ca | ||
**** Method: Create an internal Certificate Authority | **** Method: Create an internal Certificate Authority | ||
**** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address | **** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address | ||
[[Kategorie:OPNsense/Proxy]] | [[Kategorie:OPNsense/Proxy]] |
Version vom 19. Mai 2023, 17:16 Uhr
Web-Proxy
Alias für Umgehung des Proxys anlegen
Sofern es in Ihrem Netzwerk Clients geben soll, die von der Proxy-Filterung ausgenommen werden sollen, legen Sie hierfür zunächst einen Alias an:
- Firewall / Aliases → Add
- Name: z. B. BYPASS_Firewall_Proxy
- Type: wählen Sie hier...
- Host(s) zur Angabe einer oder mehrerer IP-Adressen
- Network(s) zur Angabe einer oder mehrere IP-Segmente
- Description: aussagekräftige Beschreibung
Weiterleitung von Web-Anfragen an den Proxy
Die beiden Haupt-Ports für Internetseitenaufrufe werden an den Proxy weitergeleitet:
- Firewall / NAT / Port Forward
- Regel
- Interface: LAN_CLIENTS
- TCP/IP Version: IPv4
- Protocol: TCP
- Source / Invert: Haken
- Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
- Destination / Invert: Haken
- Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
- Destination Port Range: from: HTTP to: HTTP
- Redirect target IP: Single host or Network: 127.0.0.1
- Redirect target Port: 3128
- Description: z. B. : Redirect http-traffic to Proxy
- Regel
- Interface: LAN_CLIENTS
- TCP/IP Version: IPv4
- Protocol: TCP
- Source / Invert: Haken
- Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
- Destination / Invert: Haken
- Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
- Destination Port Range: from: HTTPS to: HTTPS
- Redirect target IP: Single host or Network: 127.0.0.1
- Redirect target Port: 3129
- Description: z. B. : Redirect https-traffic to Proxy
TMP
- Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
- URL-Filter squidGuard
- Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
- Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
- Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication)
- Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
- Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
- Folgende Anpassungen an den Default-Einstellungen sind zu tätigen
- Services / Web Proxy / Administration
- General Proxy Settings
- Haken bei: Enable Proxy
- Haken bei: Enable DNS v4 first
- Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
- Local Cache Settings.
- Haken bei Enable local cache
- Cache size in Megabytes: 10240
- Haken bei: Enable Windows Update Cache
- Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
- Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
- General Forward Settings
- Proxy Interfaces: LAN_CLIENTS
- Proxy Port: 3128
- Haken bei: Enable Transparent HTTP Proxy
- Haken bei: Enable SSL inspection
- Haken bei: Log SNI information only
- SSL Proxy Port: 3129
- CA to use: z. B. : schulnetz.intra-ca
- Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
- System / Trust / Authorities → Add
- Descriptive name: z. B. schulnetz.intra-ca
- Method: Create an internal Certificate Authority
- Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address