|
|
| Zeile 1: |
Zeile 1: |
| ; Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
| |
| * URL-Filter squidGuard
| |
| * Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
| |
| ** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
| |
|
| |
| ; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
| |
| * Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
| |
| * Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
| |
|
| |
| ; Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
| |
| : Services / Web Proxy / Administration
| |
| * General Proxy Settings
| |
| ** Haken bei: Enable Proxy
| |
| ** Haken bei: Enable DNS v4 first
| |
| ** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
| |
| * Local Cache Settings.
| |
| ** Haken bei Enable local cache
| |
| ** Cache size in Megabytes: 10240
| |
| ** Haken bei: Enable Windows Update Cache
| |
| *** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
| |
| *** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
| |
| * General Forward Settings
| |
| ** Proxy Interfaces: LAN_CLIENTS
| |
| ** Proxy Port: 3128
| |
| ** Haken bei: Enable Transparent HTTP Proxy
| |
| ** Haken bei: Enable SSL inspection
| |
| ** Haken bei: Log SNI information only
| |
| ** SSL Proxy Port: 3129
| |
| ** CA to use: z. B.: schulnetz.intra-ca
| |
| *** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
| |
| *** System / Trust / Authorities → Add
| |
| **** Descriptive name: z. B. schulnetz.intra-ca
| |
| **** Method: Create an internal Certificate Authority
| |
| **** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
| |
|
| |
| [[Kategorie:OPNsense:Dienste]]
| |
|
| |
|
| |
|
| |
|
| |
| = Web-Proxy =
| |
| == Alias für Umgehung des Proxys anlegen ==
| |
| Sofern es in Ihrem Netzwerk Clients geben soll, die von der Proxy-Filterung ausgenommen werden sollen, legen Sie hierfür zunächst einen Alias an:
| |
|
| |
| ;Firewall / Aliases → Add
| |
| * Name: z. B. BYPASS_Firewall_Proxy
| |
| * Type: wählen Sie hier...
| |
| ** Host(s) zur Angabe einer oder mehrerer IP-Adressen
| |
| ** Network(s) zur Angabe einer oder mehrere IP-Segmente
| |
| * Description: aussagekräftige Beschreibung
| |
|
| |
| == Weiterleitung von Web-Anfragen an den Proxy ==
| |
| Die beiden Haupt-Ports für Internetseitenaufrufe werden an den Proxy weitergeleitet:
| |
|
| |
| ;Firewall / NAT / Port Forward
| |
| # Regel
| |
| #* Interface: LAN_CLIENTS
| |
| #* TCP/IP Version: IPv4
| |
| #* Protocol: TCP
| |
| #* Source / Invert: Haken
| |
| #* Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
| |
| #* Destination / Invert: Haken
| |
| #* Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
| |
| #* Destination Port Range: from: HTTP to: HTTP
| |
| #* Redirect target IP: Single host or Network: 127.0.0.1
| |
| #* Redirect target Port: 3128
| |
| #* Description: z. B.: Redirect http-traffic to Proxy
| |
| # Regel
| |
| #* Interface: LAN_CLIENTS
| |
| #* TCP/IP Version: IPv4
| |
| #* Protocol: TCP
| |
| #* Source / Invert: Haken
| |
| #* Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
| |
| #* Destination / Invert: Haken
| |
| #* Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
| |
| #* Destination Port Range: from: HTTPS to: HTTPS
| |
| #* Redirect target IP: Single host or Network: 127.0.0.1
| |
| #* Redirect target Port: 3129
| |
| #* Description: z. B.: Redirect https-traffic to Proxy
| |
|
| |
| [[Kategorie:OPNsense:Dienste]] | | [[Kategorie:OPNsense:Dienste]] |