Packages update über einen Proxy Server
-
@cheesi
Hi,
ja, es ist noch nicht klar, wie Dein Setup überhaupt ist.Was ist denn die Rolle der PFS in Deinem Netz? Hat sie überhaupt Internetzugriff? Was ist bei Deinem WAN das Gateway? Was ist der Proxy? Wo läuft der? etc. etc.
Grüße,
Jörg -
@cheesi bitte mal mehr infos. bitte einen grafischen netzwerkplan
https://forum.netgate.com/topic/19017/netzwerk-diagramme-zum-einfügen-in-eigene-posts/1
bitte beachten:
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1und die fragen von @jma791187 schließe ich micht an.
-
Danke vielmals für eure Antwort versuche es hier noch weiter auszuführen.
Also es geht hier um eine Testumgebung die nicht direkt mit dem Internet Verbunden ist sonder nur über eine Proxy in Internet kommt. Der Proxy lässt HTTP und HTTPs anfragen druch und diese funktionieren auch einwandfrei. Ziel wäre es eben, dass die virtuelle PFsense update und PAckeged vom Internet ziehen kann..-----+-----. | VMs | '-----+-----' | LAN | 172.21.100.0/24 | .-----+-----. WAN | pfSense +------------ '-----+-----' not connected | LAN | 172.21.101.0/24 | .-----+-------------. | VM forwardproxy| HTTP und HTTPs allowed '-----+-------------' | | | .-----+----------. | Internet | '-----+----------'
Was mir aufgefallen ist, wie ich den Proxy konfiguriert habe popte das Netgate Service and Support auf. Weis leider nicht ob das Irgendwas damit zu tun hatte.
-
auf deinem bild hast du 2 VLAN, du musst schon ein WAN konfiguriert haben bin ich der meinung.
also ich sehe es so aus sicht der SENSE ist dein WAN 172.21.101.0/24
oder: warum ist dein WAN laut netzwerkplan nicht konfiguriert? -
Weil ich eben dachte, dass ich das WAN nicht brauche da ich ja mit der Sense nicht direkt ins Internet komme daher dachte ich mir lass ich das WAN um konfiguriert? Sprich die Proxy Settings funktionieren nur am WAN ? Ja theoretisch sollte er über 172.21.100.0/ über den Proxy das Internet erreichen
-
@cheesi
Ich würde das Manual auch so verstehen, dass diese Proxy Einstellung reichen sollte, damit die pfSense ins Internet kommt. Allerdings habe ich noch keine so betrieben.Was mir aufgefallen ist, wie ich den Proxy konfiguriert habe popte das Netgate Service and Support auf. Weis leider nicht ob das Irgendwas damit zu tun hatte.
Vielleicht ein Hinweis, dass die pfSense nun Internetverbindung hat?
Du könntest mal einen HTTP-Aufruf mit curl auf der Konsole versuchen, um das zu testen.
-
@cheesi es kann auf alle fälle nicht schaden mal in die doku zu schauen.
-
Hi Danke mal also in der Dokumentation finde ich leider nur das ->
Proxy Support
If this firewall resides in a network which requires a proxy for outbound Internet access, enter the proxy options in this
section so that requests from the firewall for items such as packages and updates will be sent through the proxy.
Proxy URL This option specifies the location of the proxy for making outside connections. It must be
an IP address or a fully qualified domain name.
Proxy Port The port to use when connecting to the proxy URL. By default the port is 8080 for HTTP
proxy URLs, and 443 for SSL proxy URLs. The port is determined by the proxy, and may be a
different value entirely (e.g. 3128). Check with the proxy administrator to find the proper port
value.ein curl auf https://forum.netgate.com/ kommt "curl: (6) Could not resolve host: forum.netgate.com"
also mir scheint, dass er die proxy configuration irgendwie ignoriert.
-
@cheesi
Das schaut mir eher danach aus, dass auf deiner pfSense kein funktionierender DNS Service konfiguriert ist.
Könnte auch der Grund für das nicht funktionierende Update sein. -
@viragomann so wi ich dein bild deute hast du ja am WAN nichts angeschlossen (keine netzwerk was als WAN dienen kann) oder deute ich deine grafik falsch.
hier so habe ich es bei mir, WAN und LAN und noch ein wenig vlan usw.
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩═════════════════ pfSense 2.5.2 ═╗ Stand: ─ ─ ┐ ┌────────────────┐ ┌────────────────┐ ║ ║ │ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ 29.12.2021 │ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ └────────────────┘ └───┬─────────┬──┘ ║DynDNS über Cloudflare mit eigener Domain║ ┌────────────────┐ │ │ ║ VPN's:║ │ Fritzbox 7490 │ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ (Nur VoIP) ├───────┤ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ │ │ │ ║ 1 x WireGuard Road Warrior║ └────────────────┘ │ │ ║ (172.16.33.0/24)║ ┌────────────────┐ │ │ ╚═════════════════════════════════════════╝ │ UBNT │ │ │ ┌────────────────┐ ┌────────────────┐ │UniFi Cloud Key ├───────┤ │ │ Switch │ │ 1 x UBNT │ │ │ │ └───────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ └────────────────┘ │ │ │ │ │ ┌────────────────┐ │ └─────────┬──────┘ └────────────────┘ │ 2 x UBNT │ │ │ ┌────────────────┐ │UniFI AP AC Pro ├───────┘ │ │ │ │ │ └──────────┤ Clients │ └────────────────┘ │ │ └────────────────┘
-
Also mit DNS muss ich ja nicht konfigurieren da dies der Proxy übernehmen soll. Ich werde auch https://forum.netgate.com nie auflösen können da ja meine Testumgebung nicht direkt mit dem Internet verbunden ist. Daher ja der Proxy.
Das stimmt ich habe am WAN nicht angeschlossen da es ja kein richtiges WAN in dem Fall gibt sondern der zeit nur 2 LANs die mit einer FW getrennt sind.
-
@cheesi said in Packages update über einen Proxy Server:
Also mit DNS muss ich ja nicht konfigurieren da dies der Proxy übernehmen soll. Ich werde auch https://forum.netgate.com nie auflösen können da ja meine Testumgebung nicht direkt mit dem Internet verbunden ist. Daher ja der Proxy.
Moment mal, DNS hat aber nichts mit Internetzugang zu tun. Ohne DNS ist es völlig egal, ob Internetzugang, Proxy oder sonstwas nicht klappt, die Sense oder irgendwas dahinter kann dann schlicht nichts mit "domain.de" anfangen. DNS muss also natürlich konfiguriert werden und sauber funktionieren, woher sollen Systeme sonst wissen WO sie überhaupt hin sollen? Erst danach kommt die Frage ins Spiel wie ich rausgehe. Geht das direkt, geht es via Proxy oder sonstwie.
Also selbst wenn eine Box keinen Zugriff zum Internet hat, braucht sie trotzdem vernünftig funktionierendes DNS damit Kern Funktionen laufen können. Ich kann ja bspw. auch kein Debian Server in ne "tote Zone" hängen ohne Internet etc. und dann via Proxy ein "APT Update" machen, wenn in den APT Sourcen eben was von "mirror.de.debian.org" drinsteht. Da kann der Proxy noch so korrekt konfiguriert sein, das System kann aber mit der URL/der Domain nichts anfangen weil die Auflösung nicht klappt.
Sicher kann man bei Servern sowas ggf. hinbasteln und doktoren, dass man ohne DNS auskommt und alles rein mit IP macht, aber bei einer Firewall die dafür gebaut ist, Upstream ihre Pakete von einem Server im Netz etc. zu bekommen, wird das nicht funktionieren.
Soweit ich mich erinnere steht das auch recht klar in den Dokus drin, dass der Proxy Eintrag da für gesperrte HTTP/HTTPS Verbindungen etc. funktioniert, dass aber trotzdem erwartet wird, dass das Gerät mind. DNS und HTTP/S ausgehend machen kann, da sonst intern der Paketmanager von FreeBSD keine Antwort bekommt.
Alternativ für komplett abgeschottete Umgebungen kann man das System erst mit Internet installieren und dann isolieren oder je nach Umfang der Pakete die Paketliste und PKGs manuell kopieren und händisch einspielen.
Cheers
-
@cheesi said in Packages update über einen Proxy Server:
Also mit DNS muss ich ja nicht konfigurieren da dies der Proxy übernehmen soll.
Der Proxy? Zuvor hast du geschrieben:
Der Proxy lässt HTTP und HTTPs anfragen druch und diese funktionieren auch einwandfrei.
Kann der nun DNS auch?
Wie auch immer, du musst aber der pfSense verraten, wen sie fragen darf, wenn sie gerne einen Hostnamen aufgelöst hätte.
Bei dir ist da nur localhost
Wenn der DNS Resolver läuft, wird der dann verwendet. Allerdings muss dieser auch wieder an seine Root-Server kommen. Also muss DNS erlaubt sein.
-
Hi Community,
sorry natürlich macht der Proxy nicht DNS. DNS spielt die Sense, jedoch hat sie ja keine Upstream DNS. So wie die Ganze Umgebung keine Upstream DNS hat. Jedes der 2 Lans hat einen "Lokal" DNS, damit er die lokalen anfragen auflösen kann. Jedoch kommen die anderen Komponenten in der Umgebung ja über den Proxy ins Internet auch ohne Upstream DNS. Entweder verstehe ich den "Proxy" falsch oder ich tappe im dunklen. Wenn ich doch einen Proxy in einer Applikation konfiguriere, dann sollten doch alle HTTP/HTTPs frage zum Proxy geschickt werden und der macht dann den Rest?
Danke vielmals für eure Hilfe!
-
@cheesi said in Packages update über > > einen Proxy Server: Jedes der 2 Lans hat einen "Lokal" DNS, damit er die lokalen anfragen auflösen kann. Jedoch kommen die anderen Komponenten in der Umgebung ja über den Proxy ins Internet
Ich habe den Eindruck, dass du immer noch nicht DNS und HTTP(S) Traffic auseinander hältst trotz aller Erläuterungsversuche.
Wenn deine lokalen Geräte ein lokales DNS verwenden und damit auch öffentliche Domains auflösen können, muss dein lokales DNS für sich öffentliche Namen auflösen können.
Dann könnte ja auch die pfSense einen der lokalen Server verwenden. -
Glaube auch das ich es nicht ganz verstehe. Aber zuerst Danke für deine Hilfe! .... Noch ein versuch ....
Windows Server im 172.21.100.0/24 LAN kann nicht www.forum.netgate.com auflösen da der Domain Controller ja keine Upstream DNS erreicht weil er ja abgeschottet ist. Daher kann er ja auch keine öffentlichen Domains auflösen.
Wobei ich jedoch im Browser www.forum.netgate.com sehr wohl erreiche. Somit erschließt sich mir nicht ganz wo der "lokale" DNS hier jetzt reinspielt. Oder ich den Proxy Server nicht, da er ja das "Internet" Handling ja für das LAN macht. -
@cheesi said in Packages update über einen Proxy Server:
Windows Server im 172.21.100.0/24 LAN kann nicht www.forum.netgate.com auflösen da der Domain Controller ja keine Upstream DNS erreicht weil er ja abgeschottet ist. Daher kann er ja auch keine öffentlichen Domains auflösen.
Wobei ich jedoch im Browser www.forum.netgate.com sehr wohl erreiche. Somit erschließt sich mir nicht ganz wo der "lokale" DNS hier jetzt reinspielt. Oder ich den Proxy Server nicht, da er ja das "Internet" Handling ja für das LAN macht.Ich weiß jetzt nicht, ob dieser Browser auf dem genannten Windows Server läuft, könnte aber sein.
Bei Browser musst du auch die Möglichkeit von DNS over HTTPS (DoH) in Betracht ziehen. D.h. Browser, die diese Funktion nutzen, lösen Hostnamen über das HTTPS Protokoll auf. Dies würde der Proxy dann ermöglichen.Wir sprechen aber im allgemeinen bei DNS aber nicht von DoH und auch die pfSense verwendet das nicht.
Teste die Auflösung mittels nslookup oder dig auf den Geräten, oder auf der pfSense mit dem Tool aus dem Diagnostic Menü. -
Danke Viragomann für deine Hilfe!
Ja genau also mein Windows Server der Browser würde dann eine http request an den Proxy schicken und der Proxy löst dann die Anfrage auf IP um. Wie erwähnt kann kein Device in der Umgebung externe IPs auflösen und muss vertrauen, dass es der Proxy tut.Gut damit ist alles gesagt, dass die Sense kein DNS over HTTPS unterstützt. Somit heißt es im Umkehrschluss, dass ich meine Sense auch nie ans Internet bekomme. Damit die Packages und Download funktioniert könnte ich hier mit Lokalen Hostfiles arbeiten? Weil dann kann er ja die Externe ip über das Hostfile auflösen und schickt dann den HTTP request zum proxy mit der benötigten IP?
-
@cheesi said in Packages update über einen Proxy Server:
Gut damit ist alles gesagt, dass die Sense kein DNS over HTTPS unterstützt.
Du willst damit aber nicht allen Ernstes sagen, dass du da erwartet hättest?
DoH ist kein Standard, das ist ein Geschwür in der Netzwerktechnik. Du kannst nicht annehmen, dass eine ordentlich Firewall so etwas verwendet.Auch darfst du von den Leuten hier nicht erwarten, dass sie verstehen, warum in deinem Netz keine DNS-Anfrage nach draußen gehen dürfen. Wenn man das Netzwerk diesbezüglich absichern möchte, dann betreibt man ein internes DNS und dieses muss natürlich Anfragen für öffentliche Domains in Internet schicken. Die Zielserver kann man dabei noch vergeben und du könntest es auch so einrichten, dass es die Anfragen via DoT macht, was dann nicht mitgelesen werden könnte.
Schließlich geht DoH auch nach draußen, und zwar von jedem einzelnen Gerät, das HTTPS am Proxy erlaubt hat, wie und wohin es ihm gefällt. Und das sind auch DNS Anfragen.Aber gut, für das pfSense Update könntest du dir auf deinem DNS einfach einen Host-Override einrichten und den Server auf der pfSense eintragen, oder den Resolver verwenden und das das Host-Override setzen.
-
This post is deleted!