Squid Proxy Transparent

Mitglied: Skywal

Skywal (Level 1) - Jetzt verbinden

29.10.2020, aktualisiert 10:44 Uhr, 406 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,

ich habe mir die Idee in den Kopf gesetzt, dass ich zu Hause einen Proxy Server aufsetzen möchte, der hauptsächlich als Cache-Server dienen sollte. Nach einer kurzen Recherche bin ich dann auf Squid gestoßen - kostenlos, schnell und "leicht einzurichten".

Ich habe einen ESXI Hypervisor, der auf einer Workstation läuft und meine ganzen VMs befinden sich im Server VLAN 20.

Nachdem ich Ubuntu aufgesetzt hatte und mit Squid ein wenig herumgespielt habe, bin ich zu dem Entschluss gekommen, dass ein transparenter Proxy vielleicht das Sinnvollste wäre. Warum? Man braucht nicht auf jedem Client die Proxyeinstellungen vorzunehmen, was bei wireless Geräten sowieso ein eigenes Thema ist.

Die Squid.conf Datei habe ich erstmal so einfach wie möglich gehalten:
Mit Netplan habe ich ein virtuelles Netzwerkinterface erstellt:
Dies sind die IPtables Einträge fürs Routing:

ESXI: Die VM ist im Port Group "VM Network", welcher dem normalen vSwitch (vSwitch0) zugeordnet ist. Dort ist VLAN 0 eingestellt (no tagging)

Switch: Der Port auf dem Switch ist als Trunk konfiguriert, mit native VLAN 20. Heißt, die ungetaggted Pakete werden erst am Switch getaggt (VLAN 20).

Topologie:
Meraki MX (Router) -> Meraki MS (Switch) -> ESXI Host -> (vSwitch -> VM Network) -> Squid Server (Ubuntu)

Meine Fragen:
Kann ich den Clients per DHCP propagieren, dass der Proxy Server das Gateway ist?
Und ich kann vlan 40 von der MX nicht erreichen. Da muss ich doch bestimmt etwas am vSwitch oden an den IPtables machen?

Vielen Dank! Falls ihr doch irgendwelche Anmerkungen habt, zögert nicht zu schreiben
Mitglied: Looser27
29.10.2020 um 10:49 Uhr
Moin,

nur mal so am Rande

ich habe mir die Idee in den Kopf gesetzt, dass ich zu Hause einen Proxy Server aufsetzen möchte, der hauptsächlich als Cache-Server dienen sollte.

Für die paar http-Webseiten lohnt sich der Aufwand nicht. Und um den für https zu nutzen musst du noch viel mehr machen (Stichwort Zertifikate und deren Verteilung auf die Clients).

Wenn Du nen URL-Filter auf den Proxy setzen willst, läßt sich das eleganter lösen als mit nem Proxy, z.B. mit pihole, der als DNS-Blocker filtern kann.

Gruß

Looser
Bitte warten ..
Mitglied: Skywal
29.10.2020, aktualisiert um 11:07 Uhr
Hi!
Ein Pi-Hole habe ich schon gehostet, dieser dient als DNS-Server für alle Clients im Netz. Mir ging es eigentlich nicht um den URL-Filter, dies kann ich sowohl auf dem Pi-Hole, als auch auf der MX machen. Ich dachte ein transparenter Proxy wäre einfach aufzusetzen und würde das Netzwerk ein wenig "aufmotzen". Zertifikate bräuchte man doch nur, wenn man den https Verkehr entschlüsseln möchte aka "ssl-bumping"?
Bitte warten ..
Mitglied: Looser27
29.10.2020 um 11:18 Uhr
Aufgrund der https-Problematik (ich darf manchen https-Traffic nicht aufbrechen, z.B. Online-Banking) habe ich das deaktiviert.

Der https-Proxy funktioniert m.M.n. nur mit Zertifikaten, da der Proxy sonst den Traffic nicht lesen kann und somit auch nicht cachen. Somit also sinnbefreit.....

Gruß

Looser
Bitte warten ..
Mitglied: Skywal
29.10.2020, aktualisiert um 11:47 Uhr
Du hast recht. Zertifikate erstellen und diese zu verteilen ist natürlich am Anfang mühsam, aber wenn das aber einmal gemacht ist, dann läufts auch! Und mir ist gerade eingefallen, sollte der Proxy-Server ausfallen, dann kann man immer noch auf eine separate SSID ohne Proxy ausweichen, damit man nicht komplett im Dunkeln tappt.
Daher wenns möglich wäre, würde ich dieses Projekt gerne fortsetzen. Vielleicht erstmal nur mit HTTP und wenn das klappt, dann würde ich die Zertifikate ausrollen.
Bitte warten ..
Mitglied: Looser27
29.10.2020 um 11:42 Uhr
separate SSID ohne Proxy

Wenn du das für ein WLAN machen willst, wird es doppelt anstrengend, denn jedes neue Gerät braucht erstmal das Zertifikat, damit es funktioniert. Vor allem bei Gast-Netzwerken ist sowas too much.

Bei den aktuellen DSL-Geschwindigkeiten habe ich aber auch keinen Geschwindigkeitsverlust nach Abschalten des https-Proxies bemerkt.....von daher würde ich klar zu pihole & Co. raten ohne zusätzlichen Proxy.

Gruß

Looser
Bitte warten ..
Mitglied: Skywal
29.10.2020 um 11:56 Uhr
Für das Gast-Wlan würde ich nicht den Proxy einsetzen. Die Clients können dort sowieso nur ins Internet, daher würden die Zertifikate entfallen.
Ich würde das Ganze gerne einmal zum Laufen bringen und dokumentieren. Auch wenns nur fürs Verständnis ist und nicht der Sinnhaftigkeit halber.
Bitte warten ..
Mitglied: Looser27
29.10.2020 um 12:01 Uhr
Have fun
Bitte warten ..
Mitglied: Ad39min
29.10.2020 um 14:19 Uhr
Zitat von Skywal:
Mit Netplan habe ich ein virtuelles Netzwerkinterface erstellt:

Der 20.0.0.0/8 IP-Block gehört der ARIN. Ich gehe mal kaum davon aus, dass Du für private VLANs dort öffentliche IP-Adressen angemietet hast.

Bitte verwende für interne Adressen welche aus den per RFC1918 definierten Bereichen. Am einfachsten kannst Du dies umsetzen indem Du jeweils am Anfang die 20 durch die 10 ersetzt.
Bitte warten ..
Mitglied: Skywal
29.10.2020 um 14:57 Uhr
Ja, das könnte ich bei meiner nächsten Aufräumaktion machen
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Schwarmwissen gefragt: Rätselstunde am Samstag Abend - LWL Verkabelung
gelöst Xaero1982FrageHardware32 Kommentare

Nabend Zusammen, heute Abend gibt es ein kleines Rätsel für euch was es zu lösen gilt. Die Lösung werde ...

Backup
Veeam Backup-Server aus der Domäne nehmen
redhorseFrageBackup26 Kommentare

Guten Morgen, da in unserer Backupumgebung ein Hardwaretausch ansteht, konzipiere ich gerade Möglichkeiten die Sicherheit zu erhöhen. Konkret geht ...

Vmware
ESXi für Raspberry Pi
sabinesInformationVmware18 Kommentare

VMware hat den ESXi für den Raspberry Pi (zu Testzwecken) vorgestellt, läuft 180 Tage auf dem Pi 4 mit ...

Windows Server
Server mit AMD EPYC 7F52 (1Socket) wird als 2 Socket Server angezeigt
LordXearoFrageWindows Server11 Kommentare

Hallo Zusammen, ich komme mit meinem Problem nicht so recht weiter und hoffe aufjemanden der noch weitere Ideen hat. ...

Notebook & Zubehör
Surface pro 3 oder aktueller
devazubiFrageNotebook & Zubehör11 Kommentare

Moin moin zusammen, ich möchte eine kurze Umfrage/Feedbackrunde starten. Ich habe gerade angefangen Wirtschaftsinformatik berufsbegleitend zu studieren. Ich würde ...

Outlook & Mail
Mails Farblich kennzeichnen für mehrer PCs ohne Exchange
gelöst luzifermbFrageOutlook & Mail10 Kommentare

Guten Tag, ich brauche Hilfe zu MS Outlook! Ich habe eine kleines Firmennetzwerk und möchte gerne mit 3 PCs ...

Ähnliche Inhalte
Debian
Squid Proxy Auth Exceptions
gelöst hannes.hutmacherFrageDebian2 Kommentare

Hallo, ich habe hier einen schönen Squid Proxy implementiert und er läuft schon so wie er ist seit einiger ...

Debian
Zoom und Squid-Proxy
Luci0815FrageDebian3 Kommentare

Hi, hat sich schon jemand mit Zoom beschäftigt? Leider kriege ich kein Test-Meeting ) hin, wenn ein Squid-Proxy dazwischen ...

Ubuntu
Squid Proxy Server Installation (Subnet)
FelixxFrageUbuntu23 Kommentare

Hallo zusammen, Ich versuche momentan einen Proxy Server bzw einen Squid Server aufzusetzen. Zum Server ist ein /23 subnet ...

Router & Routing
Squid Revers Proxy Probleme - Exchange
gelöst theoberlinFrageRouter & Routing1 Kommentar

Hallo zusammen, ich habe ein kleines Problem bezüglich einer Reverse Proxy Konfiguration. Ausgangssituation: PfSense CARP Cluster, Exchange 2016 auf ...

Router & Routing
Squid Reverse Proxy Login Form Problem
gelöst theoberlinFrageRouter & Routing8 Kommentare

Hallo zusammen, Umgebung ist ein PfSense CARP Cluster mit Squid Reverse Proxy. Der Reverse Proxy wird zur Filterung des ...

Netzwerkmanagement
Squid proxy mit gui open source
q16marvinFrageNetzwerkmanagement4 Kommentare

hi, ich weiss diese frage wurde schon tausend mal gestellt aber inzwischen haben wir ja 2018 vielleicht hat sich ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud