4
Kindersicherung Android via PfSense und Squidguard - eigene CA unterschieben
Moinsen zusammen!
Nachdem ich gezwungenermaßen (Kinder) auf Android Smartphones umsteigen musste und nach einer funktionierenden skalierbaren Kidersicherung gesucht habe, ohne etwas zu finden das mir gefällt, habe ich mich entschlossen, das selber zu realisieren.
Plan:
Ein Squid mit Squidguard wird dem Phone für alle Belange untergeschoben.
Technisch sollte das realisierbar sein.
Schritte bisher:
Vorhandenen Squid auf PfSense mit Squidguard erweitert. Auch das WAN-Interface für Squid-Verbindungen auf Port 3128 freigeben. HTTPS für den Squid aktiviert. Firewall anpassen. User anlegen. Authentifizierung erzwingen. (lokal)
( Auf meiner Firewall. Aua. Aber ist ja nur testweise und der Squid hat keine mir bekannte Lücke, dass der berühmte Angreifer die Kontrolle über das System erlangt)
Auf dem Android-Phone "ProxyDroid" installiert und konfiguriert.
2 Probleme nerven mich nun:
1.: Ich kann weder dem "Browser" noch Firefox auf dem Android das Zertifikat meiner eigenen CA auf der PfSense als vertrauenswürdig unterschieben. (Auf Windows und mit dem dortigen Firefox geht das problemlos und ich bin hier über den Squid auf der öffentlichen IP.)
Das bedeutet letztlich, dass Andoid-Firefox keine Verbindungen zu https Seiten akzeptiert, DA DER BUTTON "AUSNAHMEN HINZUFÜGEN" NICHT ERSCHEINT und der "Browser" ebenfall zickt, obwohl das Zertifikat meiner CA auf dem Phone installiert ist.
Wie kann ich Firefox auf Android dazu bringen, meine CA zu akzeptieren? Das Web gibt da nix her (???) Mozilla spricht von nicht angezeigten Frames, was nützt mir das, wenn der Button nicht da ist?
2.: Der Squidguard sollte eigentlich eine Fehlerseite anzeigen, wenn eine Verbindung wegen ACL's blockiert wurde.
Das kann er auf der PfSense aber nur, wenn diese nicht auf https-Zugrif umgestellt wurde. Sobald die PfSense-Verwaltung über https läuft, gibt der Squid einen Fehler wegen einer selbst signierten CA in der Kette aus.
Allle Verbindungen über https ins www akzeptiert er mit seiner "Interception" problemlos. Nur die Webseite auf seinem eigenen Host mag er nicht anzeigen. (???)
Die Fehlerseite für den Virenschutz via icap wird aber angezeigt. Das beweist mir, dass es ein Workaround geben muss.
Prinzipiell wäre es mir egal, diese Seite auch auf meiner Domain zu hiosten, allerdings geht da erstmal gar nichts, wenn man das File sgerror.php dorthin kopiert. Das Skript findet diverse Variablen nicht.
Schade. Nirgends (auch im PfSense Forum) was brauchbares...
Und noch ein 3. Punkt, aber am Ende nicht so relevant: Wenn ich in der PfSense im Squid "Allow Users on Interface" für die aktivierten Interfaces setze, geht nix. Erst ein "All" im entsprechenden Menü gibt Zugriff auf den Proxy. Das ist Mist.
Ich weiss, dass das relativ spezifische Fragen sind und hier womöglich niemand ist, der in der Materie so extrem involviert ist, aber wer weiß. Hier ist jedenfalls die Hilfsbereitschaft ausgeprägter, als an manchen anderen Orten.
Am Ende könnte das zu einem Tutorial führen, wie man mit eigenen Mitteln eine sinnvolle Kindersicherung für Android realisiert, wenn nur die "Kinderkrankheiten" überwunden werden.
Irgendwer? Besonders das nervige Zertifikatproblem.
Buc
Nachdem ich gezwungenermaßen (Kinder) auf Android Smartphones umsteigen musste und nach einer funktionierenden skalierbaren Kidersicherung gesucht habe, ohne etwas zu finden das mir gefällt, habe ich mich entschlossen, das selber zu realisieren.
Plan:
Ein Squid mit Squidguard wird dem Phone für alle Belange untergeschoben.
Technisch sollte das realisierbar sein.
Schritte bisher:
Vorhandenen Squid auf PfSense mit Squidguard erweitert. Auch das WAN-Interface für Squid-Verbindungen auf Port 3128 freigeben. HTTPS für den Squid aktiviert. Firewall anpassen. User anlegen. Authentifizierung erzwingen. (lokal)
( Auf meiner Firewall. Aua. Aber ist ja nur testweise und der Squid hat keine mir bekannte Lücke, dass der berühmte Angreifer die Kontrolle über das System erlangt)
Auf dem Android-Phone "ProxyDroid" installiert und konfiguriert.
2 Probleme nerven mich nun:
1.: Ich kann weder dem "Browser" noch Firefox auf dem Android das Zertifikat meiner eigenen CA auf der PfSense als vertrauenswürdig unterschieben. (Auf Windows und mit dem dortigen Firefox geht das problemlos und ich bin hier über den Squid auf der öffentlichen IP.)
Das bedeutet letztlich, dass Andoid-Firefox keine Verbindungen zu https Seiten akzeptiert, DA DER BUTTON "AUSNAHMEN HINZUFÜGEN" NICHT ERSCHEINT und der "Browser" ebenfall zickt, obwohl das Zertifikat meiner CA auf dem Phone installiert ist.
Wie kann ich Firefox auf Android dazu bringen, meine CA zu akzeptieren? Das Web gibt da nix her (???) Mozilla spricht von nicht angezeigten Frames, was nützt mir das, wenn der Button nicht da ist?
2.: Der Squidguard sollte eigentlich eine Fehlerseite anzeigen, wenn eine Verbindung wegen ACL's blockiert wurde.
Das kann er auf der PfSense aber nur, wenn diese nicht auf https-Zugrif umgestellt wurde. Sobald die PfSense-Verwaltung über https läuft, gibt der Squid einen Fehler wegen einer selbst signierten CA in der Kette aus.
Allle Verbindungen über https ins www akzeptiert er mit seiner "Interception" problemlos. Nur die Webseite auf seinem eigenen Host mag er nicht anzeigen. (???)
Die Fehlerseite für den Virenschutz via icap wird aber angezeigt. Das beweist mir, dass es ein Workaround geben muss.
Prinzipiell wäre es mir egal, diese Seite auch auf meiner Domain zu hiosten, allerdings geht da erstmal gar nichts, wenn man das File sgerror.php dorthin kopiert. Das Skript findet diverse Variablen nicht.
Schade. Nirgends (auch im PfSense Forum) was brauchbares...
Und noch ein 3. Punkt, aber am Ende nicht so relevant: Wenn ich in der PfSense im Squid "Allow Users on Interface" für die aktivierten Interfaces setze, geht nix. Erst ein "All" im entsprechenden Menü gibt Zugriff auf den Proxy. Das ist Mist.
Ich weiss, dass das relativ spezifische Fragen sind und hier womöglich niemand ist, der in der Materie so extrem involviert ist, aber wer weiß. Hier ist jedenfalls die Hilfsbereitschaft ausgeprägter, als an manchen anderen Orten.
Am Ende könnte das zu einem Tutorial führen, wie man mit eigenen Mitteln eine sinnvolle Kindersicherung für Android realisiert, wenn nur die "Kinderkrankheiten" überwunden werden.
Irgendwer? Besonders das nervige Zertifikatproblem.
Buc
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309405
Url: https://administrator.de/forum/kindersicherung-android-via-pfsense-und-squidguard-eigene-ca-unterschieben-309405.html
Ausgedruckt am: 15.04.2025 um 09:04 Uhr
4 Kommentare
Neuester Kommentar
Auch wenn ich deine Fragen nicht beantworten kann, frage ich mich, warum Du Dir das Leben da so schwer machst? Usergruppe auf der pfsense für die Kids. Zugriff über Radius abgesichert. Separate Gruppe für die Eltern ebenfalls über Radius. Mit nem passenden AP in verschiedene VLAN. Squid und Squidguard entsprechend für die Gruppen einrichten. Das sollte doch ausreichen um den Kids entsprechenden Zugriff zu ermöglichen.
Im Zweifelsfall machen die nämlich das Wlan aus und surfen über den Provider ohne Restriktionen.
Gruß Looser
Im Zweifelsfall machen die nämlich das Wlan aus und surfen über den Provider ohne Restriktionen.
Gruß Looser
@Looser27: Danke, aber das Leben ist an dem Punkt schwer, wenn man sowohl die mobile, als auch die feste Internetverbindung der Kids auf einem Proxy einschränken möchte, denn damit sie nicht über die "mobile datenverbindung" frei surfen können, mache ich das brimborium...
schade, dass hier auch keiner was weiss. es muss doch wenigstens möglich sein, irgendeinem browser auf android eine eigene ca zu empfehlen.
im notfall muss ich mir ein offizielles wildcard zertifikat für meine domain "holen", damit wäre das ja auch vom tisch.
noch wer? squid spezialisten?
ich bleib dran und poste meine ergebnisse.
buc
schade, dass hier auch keiner was weiss. es muss doch wenigstens möglich sein, irgendeinem browser auf android eine eigene ca zu empfehlen.
im notfall muss ich mir ein offizielles wildcard zertifikat für meine domain "holen", damit wäre das ja auch vom tisch.
noch wer? squid spezialisten?
ich bleib dran und poste meine ergebnisse.
buc
Du kannst unter Android eigene CA Zertifikate importieren und bei der Verwendung angeben ob das für VPN oder eine App sein soll.
ABER: Wenn die Kids dann einen anderen Browser installieren, ist das alles wieder hinfällig.
Playstore sperren hilft nicht, denn man kann auch Quellen ausserhalb des Playstore installieren. Am Sinnvollsten dürfte eine echte Kindersicherung sein mit Passwort. Auf die Schnelle habe ich nur sowas gefunden.
Sonst sind alle Deine Bemühungen relativ schnell ausgehebelt.
Gruß´
Looser
P.S.: Ich habe gerade noch diesen Artikel gefunden.
ABER: Wenn die Kids dann einen anderen Browser installieren, ist das alles wieder hinfällig.
Playstore sperren hilft nicht, denn man kann auch Quellen ausserhalb des Playstore installieren. Am Sinnvollsten dürfte eine echte Kindersicherung sein mit Passwort. Auf die Schnelle habe ich nur sowas gefunden.
Sonst sind alle Deine Bemühungen relativ schnell ausgehebelt.
Gruß´
Looser
P.S.: Ich habe gerade noch diesen Artikel gefunden.
"ABER: Wenn die Kids dann einen anderen Browser installieren, ist das alles wieder hinfällig."
Eben nicht, wenn das (mit Applock gesicherte) System sich nur auf den SquidProxy via ProxyDroid verbindet. Dann verweigert der andere Browser im Zweifel ganz die Verbindung. (Leider...)
Die gängigen Kinderschutzlösungen hatte ich natürlich wie beschrieben überflogen, aber alle haben Mängel, die ich nicht mag...
Das ganze läuft mittlerweile mit dem vorinstallierten "Browser" Die jetzigen Probleme liegen beim Squid und Squidguard, der teils Seiten aus der Whitelist sperrt...
Hier sind dann noch PHP Spezialisten für die Fehlerseite und Squid-Spezialisten für das "Self signed certificate in chain" Problem gefragt. Ob die hier irgendwo sind? Werde die Fragen im entsprechenden Unterforum nochmal konketisiert posten.
Buc (der gerade den Squid zum 100x neu installiert)
Eben nicht, wenn das (mit Applock gesicherte) System sich nur auf den SquidProxy via ProxyDroid verbindet. Dann verweigert der andere Browser im Zweifel ganz die Verbindung. (Leider...)
Die gängigen Kinderschutzlösungen hatte ich natürlich wie beschrieben überflogen, aber alle haben Mängel, die ich nicht mag...
Das ganze läuft mittlerweile mit dem vorinstallierten "Browser" Die jetzigen Probleme liegen beim Squid und Squidguard, der teils Seiten aus der Whitelist sperrt...
Hier sind dann noch PHP Spezialisten für die Fehlerseite und Squid-Spezialisten für das "Self signed certificate in chain" Problem gefragt. Ob die hier irgendwo sind? Werde die Fragen im entsprechenden Unterforum nochmal konketisiert posten.
Buc (der gerade den Squid zum 100x neu installiert)
