Probleme mit Option 252 WPAD



  • Hallo,

    ich habe derzeit ein Problem mit der Verteilung von Proxykonfigurationen über eine wpad.dat-Datei und ich weiß nicht mehr weiter. Es handelt sich um seinen Proxy zum Content-Filtering ohne Authentifizierung.
    Unser Netzwerkaufbau sieht folgendermaßen aus:

          WAN / Internet
                :
                : Cable
                :
          .-----+-----.                                                                        
          |  Gateway  |  (Gateway 10.10.11.1 und Router) +-----------+| DNS-Server am anderen Interface des Routers 172.10.10.2 |
          '-----+-----'                                                                        
                |
                |
                |
          .-----+-----.  
          |  pfSense
            172.50.0.2/23
          '-----+-----' 
                |
       WLAN | 172.50.0.0/23
                |
          .-----+------.
          | Aruba-Controller|
          '-----+------'
                  |
        ...-----+------... (Clients)
    

    Der Aufbau der wpad-Datei ist folgendermaßen:

    
    function FindProxyForURL(url, host) {
        if (isInNet(host, "172.50.0.0", "255.255.254.0")) {
           return "PROXY 10.10.11.1:800";
        }
        if (isInNet(host, "172.10.0.0", "255.255.0.0")) {
           return "PROXY 172.10.10.1:800";
        }
        return "DIRECT";
    }
    

    Wenn sich jemand mit dem WLAN verbindet, soll der Proxy automatisch gesetzt werden. Die automatische Erkennung an einem Windows Rechner ist aktiviert. DHCP macht die pfSense. Sie verteilt auch die Option 252 folgendermaßen:

    
    252 Text http://172.10.10.2/wpad.dat?
    252 Text http://172.10.10.2/wpad.da
    252 Text http://172.10.10.2/proxy.pac
    
    

    Auf dem DNS-Server 172.10.10.2 (BGS-Server) existiert im DNS ein CNAME auf wpad.bgs.local. Ein nslookup nach wpad löst auch richtig in wpad.bgs.local auf.
    Die Datei liegt auch auf dem Windows-Server, auf dem der DNS-Server läuft. Hierfür habe ich den IIS installiert und die wpad.dat-Datei nach C:/inetpub/wwwroot gelegt. Einen MIME-Typ für .dat und .pac habe ich angelegt.
    (.pac, damit auch iDevices die automatische Konfigurationsdatei nutzen können)

    Ich habe bereits 2 PaketCaptures durchgeführt beim Verbinden mit der entsprechenden SSID und versucht erste Internetseiten zu öffnen, aber es kommt zu einem Timeout, weil die Firewall im Router die Pakete dropped, da sie nicht über den Proxy kommen.
    Das PaketCapture habe ich mit Wireshark angefertigt und hier angehängt. In Zeile 26 fragt der Client die wpad.dat an.

    Vielen Dank für eure Mühen!

    PS: 172.50. liegt nicht im privaten Netz. Das ändere ich, wenn ich alles so konfiguriert habe, wie ich's möchte :-)
    capture1.pcapng
    capture2.pcapng



  • Hallo,

    ich glaube das Problem liegt in der wpad-config.

    Versuch mal diese:

    
    function FindProxyForURL(url, host)
    {
       if (isInNet(myIpAddress(), "172.50.0.0", "255.255.254.0")) {
          return "10.10.11.1:800";
       }
       else if (isInNet(myIpAddress(), "172.10.0.0", "255.255.0.0")) {
          return "PROXY 172.10.10.1:800";
       }
       else {
          return "DIRECT";
       }
    }
    
    

    Ein nützliches Tool zum Testen ist übringens PAC Magic.

    LG Lars