Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Https - Webseiten werden über Squid Proxy nicht angezeigt

    Deutsch
    3
    8
    7.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pfsnuby
      last edited by

      Hallo!

      Ich habe schon viel gesucht und gelesen, komme aber einfach nicht weiter.

      Ich habe Pfsense 2.0.1 mit Squid (2.7.9 pkg v.4.3.1) und Squidguard (1.4_2 pkg v.1.9.1) eingerichtet.
      Pfsense hat die IP 192.168.1.1

      Der Browser soll über Proxy-Einstellungen an die Pfsense geleitet werden, damit für bestimmte User
      Internet-Seiten/Urls gefiltert werden.

      In den Proxyeinstellungen ist also hinterlegt:

      Http: 192.168.1.1
      Secure: 192.168.1.1
      Ftp: 192.168.1.1

      Das funktioniert soweit auch ganz gut, nur Https-Internetseiten können nicht aufgerufen werden.

      Wenn bei diesen Einstellungen eine https-Seite aufgerufen wird, dann zeigt der Browser an:
      Die Website kann nicht angezeigt werden.

      Ich bin für jeden Hinweis dankbar!

      Viele Grüße!

      1 Reply Last reply Reply Quote 0
      • P
        pfsnuby
        last edited by

        Habe nochmal weiter geforscht und habe Folgendes rausbekommen:

        Hier im Forum habe ich des öfteren über die Variante gelesen, in der Squid als transparenter Proxy
        eingesetzt wird und deswegen hier https-Proxy nicht möglich ist.

        Da ich aber über Squidguard eine User-Zugriffsteuerung einsetzen möchte, soll Squid auch gar nicht
        als transparenter Proxy verwendet werden.

        Seit Version 2.6 läuft soll Squid auch als HTTPS-Proxy laufen (siehe http://de.wikipedia.org/wiki/Squid).

        Dann sollte doch https-Proxy über Squid möglich sein?

        In einem portugiesischen Thread hier im Forum habe ich was gelesen, dass traffic von Port 443 nach
        Port 3128 umgeleitet werden könnte? Wenn ich es soweit richtig verstanden habe?

        http://translate.google.com/translate?depth=1&hl=de&ie=UTF8&prev=_t&rurl=translate.google.de&sl=pt&tl=de&u=http://forum.pfsense.org/index.php%3FPHPSESSID%3Dc9e5f5972777289ab4914e6c7e4583b2%26/topic,38997.0.html

        Hat nicht jemand einen Tip für mich? Ich bin schon am verzweifeln!

        1 Reply Last reply Reply Quote 0
        • N
          Nachtfalke
          last edited by

          Hallo,

          wir sollten die Funktionalität von squid kurz klarstellen.
          "transparent" oder "intercepting" proxy bedeutet, dass squid jeglich port 80 - also http traffic - automatisch über den proxy geleitet wird. Es ist bei dieser Einstellung nicht erforderlich, irgendetwas im Browser des Benutzers einzurichten. Das ist auch der Grund/Vorteil, warum man squid im transparenten modus nutzt, weil man so on Konfigurationen am PC den http traffic filtern kann.

          Im transparenten Modus ist es aber nicht möglich, https und ftp zu filtern. Das funktioniert nicht.

          Um http, https und ftp zu filtern, darf squid nicht im transparenten modus laufen und am Browser des Benutzers muss die IP Adresse des Proxy Servers eingetragen sein UND der Port des Proxy (default: 3128).

          Weiterhin solltest du den Haken "Allow connected interfaces" (oder so ähnlich) aktivieren. Dann sollte es eigentlich funktionieren.
          Hast du denn die Firewall Regeln entsprechend eingestellt ? Du musst natürlich Port 3128 erlauben, damit dein Browser den Proxy erreichen kann :)

          1 Reply Last reply Reply Quote 0
          • P
            pfsnuby
            last edited by

            Hallo Nachtfalke!

            Ich vermute, dass ich eine Firewall-Regel einrichten muss, die die https Anfrage des Browsers an Squid Port 3128 weiterleitet?

            Den Haken bei allow Interfaces habe ich gesetzt.

            Hast du hier vielleicht noch einen Tipp?

            Viele Grüße!

            1 Reply Last reply Reply Quote 0
            • N
              Nachtfalke
              last edited by

              Also ich würde folgende Regel erstellen:

              Action: Pass
              Interface: LAN
              Source Port: any
              Source address: LAN Subnet
              Destination Port: 3128
              Destination IP: LAN-Address

              Bin da jetzt aber auch nicht ganz sicher. Eventuell auch nochmal eine Regel für Destination Port 443:

              Action: Pass
              Interface: LAN
              Source Port: any
              Source address: LAN Subnet
              Destination Port: 443
              Destination IP: LAN-Address

              Am Besten wäre es, wenn du eine Firewall Regeln erstellst, die sämtliche Verikehr "any to any" einmal zulässt, damit du sehen kannst, ob es funktioniert.

              1 Reply Last reply Reply Quote 0
              • L
                Livinlight
                last edited by

                Hi zusammen,

                möglicherweise hilft dir der Artikel weiter (http://wiki.squid-cache.org/Features/HTTPS). Je nach Methode, kann es zu Warnungen am Client bezüglich Zertifikaten kommen.

                VG.

                1 Reply Last reply Reply Quote 0
                • P
                  pfsnuby
                  last edited by

                  Vielen Dank für eure Tipps! Es hat leider etwas gedauert, weils mir meine pfsense nach ein paar mal ausprobieren verschiedener Sachen total zerlegt hat.

                  Habe nach der Neuinstallation ebenfalls verschiedene Sachen ausprobiert und kann Erfolge melden:

                  1. Habe ich Squid 2.7.9 installiert.
                  2. Danach habe ich Squidguard installiert.
                  3. Und zum Schluß habe ich Squid 3 Package zusätzlich installiert.

                  Bei dieser Konstellation funktioniert https proxy über Squid und kann auch User basierte
                  Zugriffe über Squidguard einrichten.

                  Wenn ich nur squid 3 oder nur squid 2.7.9 installiert hatte, dann hat es nicht funktioniert.

                  Über Firewall-Regeln bin ich gar nicht klargekommen.

                  Was mir auch noch aufgefallen ist, dass man pfsense neu booten sollte, damit die
                  Target categories die man in squidguard hinterlegt auch wirklich greifen.
                  Und vor allem beim Testen auf dem gleichen PC immer den Cache des Browsers
                  löschen!

                  Danke auf jeden Fall für Eure Hinweise!

                  1 Reply Last reply Reply Quote 0
                  • N
                    Nachtfalke
                    last edited by

                    Hinweise:

                    Wenn du squidguard installierst auf pfsense 2.0.x installierst, installiert er immer automatisch squid2 mit - nicht das pfsense paket aber die binaries.
                    Installierst du also erst squid3, dann squidguard, dann funktioniert squid nicht korrekt. die richtige reihenfolge für squid3 + squidguard ist:

                    squidguard installieren, dann squid3 installieren, dann konfigurieren.

                    SquidGuard und Änderungen:
                    Wenn du Änderungen vornimmst, müssen deine letzten beiden Schritte folgende sein:
                    1.) General Settings: Save klicken
                    2.) General Settings: Apply klicken
                    Erst dann sind die Settings aktiv.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.