Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Squid Reverse Proxy Login Form Problem

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

07.02.2018 um 19:39 Uhr, 660 Aufrufe, 8 Kommentare

Hallo zusammen,

Umgebung ist ein PfSense CARP Cluster mit Squid Reverse Proxy.

Der Reverse Proxy wird zur Filterung des Exchange Zugriffes genutzt. Aktuell steht noch ein IP Adressen Netz zur Verfügung. In einigen Monaten wird sich das auf eine externe IP reduzieren.
Wir nutzen eine programmierte Kundenumgebung mit einem klassichen Forms Login die derzeit auf einer anderen IP mit NAT läuft.

Heute habe ich dieses System testweise über den Reverse Proxy der Exchange IP laufen lassen und der Login funktioniert nicht. Er springt quasi jedes mal auf die Loginmaske zurück.

In 2 Fällen funktioniert der Login genau 1 mal:

- Squid Service wird neu gestartet
- Local Cache wird gelöscht.

Es scheint also so zu sein, dass der Squid den Login cached und die Anfrage nicht an den Server weitergegeben wird.
Ich habe von diverse Optionen ausprobiert:

- Umgehung von Destinantion IP's
- Umgehung bei der Domain
- Cachen erst ab einer größeren Dateigröße
- Offlinemode

Hilft alles nichts.

Gebe ich temporär die Exchange OWA mal frei, funktioniert der Forms Login dort übrigens.

Hat jemand eine Idee was ich machen kann?

Lg
Theo
Mitglied: LordGurke
07.02.2018 um 19:57 Uhr
POST-Anfragen (wie sie bei Login-Formularen verwendet werden) können nicht gecached werden. Es kann allerdings passieren, dass nach dem Login etwas per Weiterleitung geladen wird, was nicht gecached werden dürfte.
Das kann auch die Formularseite selbst betreffen, da hier möglicherweise ein Hidden-Field mit einer Session-ID verwendet wird.

Ob wirklich Caching stattfindet, kannst du entweder aus dem Squid-Log herausfinden (da steht dann "CACHE_HIT" dran) oder auch, wenn du mit den Developer-Tools verfolgst, was da passiert. In den Headern, die der Squid mitliefert, ist da normalerweise auch vermerkt, ob da etwas gecached wurde.

Optimalerweise sollte OWA selbst vernünftige Header mitsenden, die das Caching klar verbieten - falls das nicht funktioniert, solltest du mal testweise dem Squid per ACL das Caching sämtlicher Elemte des OWA verbieten (Stichwort: "cache deny all").

Zuletzt noch: Wird durchgängig HTTPS eingesetzt? Also wird der OWA selbst per HTTPS angefragt und der Squid reicht das einfach durch? Dann kann Caching eigentlich komplett ausgeschlossen werden, da Squid ja keine Inhalte mitlesen oder zwischenspeichern kann.
Bitte warten ..
Mitglied: theoberlin
07.02.2018, aktualisiert um 20:08 Uhr
Hi Lord Gurke,

du hast mich da falsch Verstanden. Die OWA hab ich nur freigegeben um zu testen ob der Forms Login überhaupt über den Proxy funktioniert bzw. die unterschiedlichen Ausgaben zu prüfen.

Das Problem betrifft eine ASP.WEB Anwendung die für uns programmiert wurde.

Und ja, es wird durchgängig HTTPS verwendet. Der Aufruf ist zwar auch per HTTP möglich, wird aber auf dem IIS per Redirect rule auf HTTPS umgeleitet.

Aber unabhängig davon werde ich mich mal durch deine Anmerkungen wühlen. Danke dir erstmal!

lg
Theo
Bitte warten ..
Mitglied: theoberlin
07.02.2018, aktualisiert um 20:54 Uhr
Also 2 unterschiede habe ich in den Devolment Tools:

Über den Proxy gibt es mit allen deaktivierten Cache EInstellungen die beiden EInträge:

X-Cache MISS from Gatewaysecurity
X-Cache-Lookup MISS from Gatewaysecurity:3128

Der Hauptunterschied nach dem löschen des Caches ist:

Set-Cookie .ASPXAUTH_ES_CS=674416C35A9595…CF2601EFC20; path=/; HttpOnly

Ab dem 2.Aufruf ist dieser Part nicht mehr Teil der der Antwortkopfzeilen.

Beim Exchange OWA überlebt der Set-Cookie den 2.Aufruf

Gibt es hier beim Proxy bzw. eventuell bei der ASP.Web Anwendung einen Header der dazu führt das der Cookie nicht beim 2. Aufruf verschwindet?

lg
Theo
Bitte warten ..
Mitglied: LordGurke
07.02.2018 um 20:43 Uhr
Gibt es einen Bruch zwischen dem Browser und dem Server was das Protokoll angeht?
Also, dass z.B. der Browser per HTTPS zugreift, der interne Server aber nur per HTTP ohne Verschlüsselung angesprochen wird?
Dieses "httpOnly" in der Cookie-Zeile irritiert mich halt etwas...
Bitte warten ..
Mitglied: theoberlin
07.02.2018, aktualisiert um 21:06 Uhr
ich denke einen Bruch sollte es nicht geben.
Im Squid Reverse ist "Squid HTTPS Reverse Proxy angehakt" und dort das Zertifikat hinterlegt. Der SSL Proxy ist an einen localhost Port gebunden auf den per NAT weitergeleitet wird.

Dort über die Mappings dann zum IIS Server.

Das selbe Zertifikat ist auf dem IIS eingebunden.
Bitte warten ..
Mitglied: LordGurke
07.02.2018 um 21:15 Uhr
Wird der IIS denn via HTTP vom Squid angesteuert oder auch per HTTPS?
Wenn das Protokoll zwischen dem Client und dem IIS nicht durchgängig identisch ist, wir die ASP-Anwendung da vielleicht von HTTP ausgehen und alle URLs und Cookies entsprechend für HTTP statt HTTPS anpassen.
Bitte warten ..
Mitglied: theoberlin
07.02.2018 um 21:24 Uhr
Also ehrlich gesagt wüsste ich nicht wo das festgelegt wird. Eingerichtet sind beide Optionen.

Unter den Webserver Einträgen habe ich habe ich sowohl Port 80 als auch 443 eingerichtet. In den Mappings sind beide Server (HTTP,HTTPS) bei den passenden URIs ausgewählt.
Bitte warten ..
Mitglied: theoberlin
08.02.2018 um 08:46 Uhr
Guten Morgen,

ich habe gerade die komplette HTTP Strecke aus dem Proxy genommen.

Mapping des URIs zeigt nur noch auf den HTTPS Webserver und der HTTP Server ist deaktiviert.
Und siehe da es geht.

Allerdings reicht es schon, dass der HTTP Webserver in der Konfig aktiv ist und NICHT ins Mapping für den URI eingebunden ist das es nicht mehr funktioniert.

Finde ich sehr seltsam.

Gibt es denn jetzt noch eine Möglichkeit HTTP auf HTTPS umzuleiten? Bis jetzt passierte das ja Serverseitig.

LG
Theo
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Squid Revers Proxy Probleme - Exchange
gelöst Frage von theoberlinRouter & Routing1 Kommentar

Hallo zusammen, ich habe ein kleines Problem bezüglich einer Reverse Proxy Konfiguration. Ausgangssituation: PfSense CARP Cluster, Exchange 2016 auf ...

Ubuntu
Squid kein login cachemgr.cgi
Frage von ChontaUbuntu

Hallo, ich versuche gerade auf einem ubuntu 16.04 ein squid 3.5.12 zum laufen zu bekommen. Der Webbrowser ist nginx ...

Debian
Squid Proxy Auth Exceptions
gelöst Frage von hannes.hutmacherDebian2 Kommentare

Hallo, ich habe hier einen schönen Squid Proxy implementiert und er läuft schon so wie er ist seit einiger ...

Debian
Squid Proxy ändert seine Route
gelöst Frage von johanna-pDebian11 Kommentare

Liebe Gemeinde, mein Proxy (Squid ver. 27stable9) läuft auf Debian 7 und ändert intermittierend seine Route. So soll es ...

Neue Wissensbeiträge
Humor (lol)
Microsoftsche Zählweise für Updates
Information von Lochkartenstanzer vor 9 StundenHumor (lol)4 Kommentare

Gerade bei einem Update von Windows 8.1 zufällig gesehen, das nebenbei lief. lks

Erkennung und -Abwehr
Emotet mit Rspamd und Oletools bekämpfen
Tipp von Dani vor 1 TagErkennung und -Abwehr1 Kommentar

Moin, Um oletools während der Annahme einer E-Mail die bereits angehängten Office-Dateien analysieren lassen zu können, haben wir für ...

Viren und Trojaner

Gratis-Entschlüsselungstool für STOP-Ransomware verfügbar

Information von AnkhMorpork vor 1 TagViren und Trojaner

Der Sicherheitsanbieter Emisoft hat ein kostenloses Tool veröffentlicht, mit dem sich Dateien entschlüsseln lassen, die die Ransomware STOP unbrauchbar ...

Off Topic
8 zoll disketten
Information von brammer vor 2 TagenOff Topic5 Kommentare

Hallo, ob das so gut ist brammer

Heiß diskutierte Inhalte
Java
Java: Problem bei Aufgabe
Frage von WhatEver007Java22 Kommentare

Hallo zusammen, ich habe bereits einwenig an der Aufgabe gearbeitet. Habe aber ein Problem - solltet ihr anhand der ...

Video & Streaming
Schulungsvideos - anonyme Stimme
gelöst Frage von PeterGygerVideo & Streaming16 Kommentare

Hallo Wir erstellen Videos zu Schulungszwecken. D.h. der Bildschirm wird über ein Tool wie VLC oder Caputra aufgezeichnet. Die ...

LAN, WAN, Wireless
WLAN Zugang direkt an der FritzBox geht, aber nicht über den Repeater. Warum?
gelöst Frage von JuvenalLAN, WAN, Wireless14 Kommentare

Hallo Zusammen, ich habe eine Fritz!Box 7590 und einen Fritz!Repeater 600. Der WLAN Zugang direkt über die Fritz!Box funktioniert ...

Windows Server
Erfahrungswerte - Rebuild-Dauer SSD RAID
Frage von Mann-000Windows Server13 Kommentare

Hallo liebe Mitglieder, wir hatten mal diskutiert, ob es für ein Backup Server mit einem RAID-Controller z.B. mit H740P ...