Squid ssl https cache pdf files
Hi,
ich habe in pfsense einen squid proxy mit ssl man in the middl installiert.
Speziell geht es um eine Firmeninterne Webseite die leider nur auf https läuft. Von dieser Seite müssen aber mehrere 100 Mitarbeiter PDF Datein (Kataloge mit bis zu 100MB Grösse) herunterladen. Daher wollte ich gern diese PDF Dateien mit dem Squid cachen. Doch leider cached er nur von http Seiten, hier ein Log Beispiel:
http://i.imgur.com/qTgGA3t.png
Jemand eine Idee?
Danke!
ich habe in pfsense einen squid proxy mit ssl man in the middl installiert.
Speziell geht es um eine Firmeninterne Webseite die leider nur auf https läuft. Von dieser Seite müssen aber mehrere 100 Mitarbeiter PDF Datein (Kataloge mit bis zu 100MB Grösse) herunterladen. Daher wollte ich gern diese PDF Dateien mit dem Squid cachen. Doch leider cached er nur von http Seiten, hier ein Log Beispiel:
http://i.imgur.com/qTgGA3t.png
Jemand eine Idee?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283038
Url: https://administrator.de/contentid/283038
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo q16marvin,
es hört sich etwas danach an, als ob Du ziemlich auf dem Holzweg bist! Wenn Du mehrere hundert Mitarbeiter hast, die Kataloge mit 100MB Größe etc. da runter laden, dann geht's Dir ja um alles mögliche, aber nicht wirklich um einen normalen Webserver & Squid caching, oder?
Wolltest Du vielleicht nicht doch, FTP, Samba, ein CMS oder was anderes zur Verfügung stellen, was für Deinen Anwendungsfall evtl. besser geeignet ist als ein Squid der gerne kleine Webseiten cached?
Beschreib doch bitte mal genau, was Eure Anwender machen, wie der Worklow für dass normale Arbeiten der Anwender ist und wie deine technische Infrastruktur genau ausschaut!
Viele Grüße vom Namensvetter
Marvin42
ich habe in pfsense einen squid proxy mit ssl man in the middl installiert.
Speziell geht es um eine Firmeninterne Webseite die leider nur auf https läuft. Von dieser Seite müssen aber mehrere 100 Mitarbeiter PDF Datein (Kataloge mit bis zu 100MB Grösse) herunterladen. Daher wollte ich gern diese PDF Dateien mit dem Squid cachen. Doch leider cached er nur von http Seiten, hier ein Log Beispiel:
Speziell geht es um eine Firmeninterne Webseite die leider nur auf https läuft. Von dieser Seite müssen aber mehrere 100 Mitarbeiter PDF Datein (Kataloge mit bis zu 100MB Grösse) herunterladen. Daher wollte ich gern diese PDF Dateien mit dem Squid cachen. Doch leider cached er nur von http Seiten, hier ein Log Beispiel:
es hört sich etwas danach an, als ob Du ziemlich auf dem Holzweg bist! Wenn Du mehrere hundert Mitarbeiter hast, die Kataloge mit 100MB Größe etc. da runter laden, dann geht's Dir ja um alles mögliche, aber nicht wirklich um einen normalen Webserver & Squid caching, oder?
Wolltest Du vielleicht nicht doch, FTP, Samba, ein CMS oder was anderes zur Verfügung stellen, was für Deinen Anwendungsfall evtl. besser geeignet ist als ein Squid der gerne kleine Webseiten cached?
Beschreib doch bitte mal genau, was Eure Anwender machen, wie der Worklow für dass normale Arbeiten der Anwender ist und wie deine technische Infrastruktur genau ausschaut!
Viele Grüße vom Namensvetter
Marvin42
Hi
der Proxy kann das nicht cachen da die Daten verschlüsselt sind und er somit nicht weiß was er eigentlich durchschleust. Du müsstest den HTTPS Verkehr aufbrechen (=intercepten) so dass die Daten im Klartext über den Proxy gehen. BItte vorher mit Betriebsrat abklären ob erlaubt
http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit
LG
der Proxy kann das nicht cachen da die Daten verschlüsselt sind und er somit nicht weiß was er eigentlich durchschleust. Du müsstest den HTTPS Verkehr aufbrechen (=intercepten) so dass die Daten im Klartext über den Proxy gehen. BItte vorher mit Betriebsrat abklären ob erlaubt
http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit
LG
Hallo q16marvin,
warum gehst Du nicht ganz anders ran?
Zieh Dir die großen PDF's automatisiert (per WGet-Script, Webdownloader, etc.) oder halbmanuell in den für Euch besten Abständen auf einen internen Server.
Den stellst Du Deinen Kollegen zur Verfügung.
Von da an kann Dir jedes Bandbreitenproblem nach außen sehr egal sein .
Viele Grüße
Marvin42
warum gehst Du nicht ganz anders ran?
Zieh Dir die großen PDF's automatisiert (per WGet-Script, Webdownloader, etc.) oder halbmanuell in den für Euch besten Abständen auf einen internen Server.
Den stellst Du Deinen Kollegen zur Verfügung.
Von da an kann Dir jedes Bandbreitenproblem nach außen sehr egal sein .
Viele Grüße
Marvin42
Hallo q16marvin,
naja, schau dass über den Squid wäre nur dann die einfachste Lösung, wenn der Squid dass auch ganz normal macht.
Macht er aber leider nicht .
Wenn Du die externen Kataloge nach intern replizierst, replizierst Du natürlich nur die, die sich geändert haben. Die anderen lässt Du liegen. Wenn Du dass richtig schlau anfängst, dann wird der Katalog sofort repliziert, wenn er auf dem Zielsystem erneuert wurde. Besser geht's glaub ich nicht. Alternativ müssen die Nutzer halt etwas länger warten, bis der jeweilige Download durch ist. Über was für Zeiten & konkrete Datenmengen reden wir denn da an einem normalen Tag und an einem "besonders intensiven" Tag?
Viele Grüße
Marvin42
ja so in der art habe ich auch schon überlegt, bin mir aber unschlüssig wie ich das am besten angehen soll (ca. 40000 Kataloge). ca. 10% davon
ändern sich täglich. Gecached über den Squid wäre halt die einfachste Lösung, nutzen wir ja ständig für andere Projekte
(da laufen die Seiten unter http und können damit perfekt gecached werden). Nur besagte Seite halt auf https, welche ich halt
trotz SSLBump nicht gecached bekomme
ändern sich täglich. Gecached über den Squid wäre halt die einfachste Lösung, nutzen wir ja ständig für andere Projekte
(da laufen die Seiten unter http und können damit perfekt gecached werden). Nur besagte Seite halt auf https, welche ich halt
trotz SSLBump nicht gecached bekomme
naja, schau dass über den Squid wäre nur dann die einfachste Lösung, wenn der Squid dass auch ganz normal macht.
Macht er aber leider nicht .
Wenn Du die externen Kataloge nach intern replizierst, replizierst Du natürlich nur die, die sich geändert haben. Die anderen lässt Du liegen. Wenn Du dass richtig schlau anfängst, dann wird der Katalog sofort repliziert, wenn er auf dem Zielsystem erneuert wurde. Besser geht's glaub ich nicht. Alternativ müssen die Nutzer halt etwas länger warten, bis der jeweilige Download durch ist. Über was für Zeiten & konkrete Datenmengen reden wir denn da an einem normalen Tag und an einem "besonders intensiven" Tag?
Viele Grüße
Marvin42
nein, Du bist sicherlich nicht zu blöd. Die Frage ist nur, ob Du die richtige Lösungs-Brille auf hast .
Wie seit Ihr & Euer Partner denn angebunden? Nur per Internet oder habt Ihr auch eine direkte Leitung.
Welche Bandbreien gibt es?
Du hast Dich mit Proxy & Squid, SSLBump etc. schon so tief auf eine Lösung eingeschossen, dass erst mal zu fragen ist ob die Lösung wirklich zum Problem, bzw. zu den Anforderungen passt.
Von wem hast Du denn den Auftrag bekommen, da nach einer Verbesserung zu suchen? Und was genau soll die Verbesserung alles bringen, darf sie kosten, nicht kosten, was soll passieren, was darf nicht passieren?
Wenn Du die Daten ohne Proxy & Squid etc. einfach replizierst, wird vieles sehr viel einfacher (wenn es nur darum geht, dass die Daten in Eurem internen Netz ganz schnell aufrufbar sind und 15 Minuten halt als Regelfall zu lang sind).
Wie seit Ihr & Euer Partner denn angebunden? Nur per Internet oder habt Ihr auch eine direkte Leitung.
Welche Bandbreien gibt es?
Du hast Dich mit Proxy & Squid, SSLBump etc. schon so tief auf eine Lösung eingeschossen, dass erst mal zu fragen ist ob die Lösung wirklich zum Problem, bzw. zu den Anforderungen passt.
Von wem hast Du denn den Auftrag bekommen, da nach einer Verbesserung zu suchen? Und was genau soll die Verbesserung alles bringen, darf sie kosten, nicht kosten, was soll passieren, was darf nicht passieren?
Wenn Du die Daten ohne Proxy & Squid etc. einfach replizierst, wird vieles sehr viel einfacher (wenn es nur darum geht, dass die Daten in Eurem internen Netz ganz schnell aufrufbar sind und 15 Minuten halt als Regelfall zu lang sind).