kman123
Goto Top

OPNsense Proxy-Einstellungen + Windows-Client

Hallo liebes administrator.de Forum!

Heute wollte ich mich mal mit dem Thema OPNsense etwas auseinandersetzen.

Die Grundinstallation + Konfiguration steht schon mal und sieht wie folgt aus:

opnsense

Also ein stinknormaler Aufbau, FritzBox als DSL-Router macht den Internetzugang,
statische Route in der FritzBox auf das Netz 192.168.10.0 (OPNsense grün) mit dem Gateway 192.168.178.105 (OPNsense WAN-Schnittstelle).

OPNsense Schnittstellen konfiguriert, DNS funktioniert etc.

Die Probe: Einen Rechner in das grüne OPNsense Netz mit einer festen IP-Adresse gehangen und als Default-GW in Windows bei dem PC die grüne Schnittstelle des OPNsense eingetragen. Funktioniert wunderbar, komme ins Internet.


Nun ist es allerdings so, dass ich den Netzwerkverkehr von dem PC im grünen Netz protokollieren will.

Das heißt, ich möchte nur sehen, wann PC 192.168.10.46 die Webseite https://administrator.de geöffnet hat. Mehr nicht.
Sowas wie URL-Filter lasse ich erstmal außen vor.

Ist das, was ich erreichen möchte, überhaupt technisch möglich? Ich habe jetzt schon einiges gelesen, dass man da einen transparenten Proxy bräuchte und man zusätzlich ein Zertifikat in der OPNsense erstellen soll, welches dann auf dem Client installiert werden muss. (wegen HTTPS, kann das sein?)

Nun zurück zu meiner Konstellation. Einen transparenten Proxy möchte ich nicht, ich will also in Windows unter Internetoptionen --> Verbindungen --> LAN-Einstellungen den Proxy erstmal händisch setzen.


Wenn ich in LAN-Einstellungen den Proxy setze, komme ich auf keine Webseite mehr im Netz (nicht mal mehr auf die OPNsense Seite im LAN)

opnsense3


Wenn ich diese Proxy-Einstellung in Windows rausnehme, funktioniert Internet etc. erstmal wieder. (Mir ist auch bewusst, dass wenn diese Einstellung aus ist, der Proxy gar nicht genutzt wird und die OPNsense einfach nur ein Router ist sozusagen.)

Was mache ich falsch? Ich möchte einfach den Proxy in Windows eintragen und dann auf der OPNsense sehen, was der Rechner wann aufruft (handelt sich hierbei nur um meine eigene Testumgebung).


Folgende Einstellungen habe ich auf der OPNsense getätigt:

opnsense1

opnsense2



Ich würde mich sehr über Tipps und Ideen freuen!

Schönen Sonntag noch.

Content-ID: 646653

Url: https://administrator.de/contentid/646653

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

Inf1d3l
Inf1d3l 31.01.2021 aktualisiert um 15:49:46 Uhr
Goto Top
Hi,

die Proxy-ACLs stimmen?

Guck mal hier:
https://docs.opnsense.org/manual/how-tos/cachingproxy.html
kman123
kman123 31.01.2021 um 20:43:53 Uhr
Goto Top
Hey,

also, dass ich nicht mehr auf die Seite der OPNsense kam lag daran, dass ich noch eine Ausnahme in Windows für die lokalen Adressen 192.* setzen musste, damit ich auf die Website der OPNsense komme.

In den ACL's habe ich nun noch das Netz 192.168.10.0/24 als allowed Subnet hinzugefügt. Leider komme ich immer noch nicht damit nach draußen, wenn ich den Proxy unter Windows gesetzt habe.

Liebe Grüße
kman123
kman123 31.01.2021 um 21:13:05 Uhr
Goto Top
Hallo zusammen,

ich melde mich nochmal, denn ich habe nun doch irgendwie eine Lösung gefunden, und vielleicht stößt ja jemand auf das gleiche "Problem"!

Zum einen habe ich die Lösung mit den transparenten Proxy probiert, diese hat auch mehr oder weniger funktioniert (konnte alles an Netzaktivität von PC 192.168.10.46 nach draußen sehen.

Dafür bin ich wie in dem folgenden Video vorgegangen: https://www.youtube.com/watch?v=588HbMUslZE (und Part 2 of 2).

Das hat auch soweit funktioniert, es musste kein Proxy-Eintrag in Windows gesetzt werden. Dafür musste ich das erstellte Zertifikat von OPNsense exportieren und in Windows als Stammzertifikat einfügen.

Was allerdings komisch war, ist dass nach ein paar Minuten nicht mehr auf das http://192.168.10.45 Webinterface mit der Meldung err_ssl_protocol_error kam. Ein Neustart der OPNsense ermöglichte dieses Erreichen für ein paar Minuten wieder.

Diesen Thread von OPNsense hatte ich dann nicht mehr ausprobiert, soll aber angeblich das Problem von dem nicht erreichbarem Webinterface beheben. https://twitter.com/opnsense/status/1339847119977533442

Des Weiteren soll das mit dem transparentem Proxy und SSL inspection ja so eine Sache sein, da man ja (Achtung, Halbwissen) durch das Zertifikat die Möglichkeit bekommt, die Pakete anzuschauen und so z.B. an Banking-Daten der Nutzer im grünen Netz rankommen könnte (MITM). https://wiki.opnsense.org/manual/how-tos/proxytransparent.html

Deshalb wollte ich die Finger von lassen!

Wie bin ich also vorgegangen:

Mir ist aufgefallen, dass ich durch Zufall auf eine http:// Seite gestoßen bin und diese funktioniert hat. Deshalb habe ich einfach unter Windows -->Internetoptionen-->Verbindungen-->Lan-Einstellungen bei Proxy den Port für Secure auch auf 3128 statt wie erst 3129 geändert, und siehe da, alle Webseiten sind erreichbar + ich muss mir keine Gedanken wegen irgendwelchen sensiblen Login-Daten machen + ich sehe alle angeklickten Webseiten in der OPNsense mit IP-Adresse.

Der von Luci angebrachte Tipp war in meinem Beispiel nicht ausschlaggebend, ich habe es sowohl mit dem Eintrag des Subnetz bei Allowed als auch ohne probiert und beides funktioniert.

Thema hat sich somit für mich geklärt.

Schönen Abend noch.