Squid und Firewall



  • Hallo Zusammen,

    ich hab ein kleines Problem mit Squid. Im eigenen LAN funktionert der Pfsense mit Squid einwandfrei ohne jegliche Probleme. Allerdings will ich den daheim aufgesetzten Proxy auch von unterwegs nutzen. Wie muss ich hier die Firewall einrichten?

    Zur Info, was ich gemacht habe.
    Ich hab zurerst gedacht, ich muss wie gehabt eine NAT Regel erstellen. Wenn ich nun mit meinem Laptop mit UMTS Router ins Internet gehe und meinen eingerichteten Proxy angebe, kommt zwar die Anmeldemaske mit Eingabe von Benutzername / Kennwort. Danach kommt die Fehlermeldung Zugriff veweigert. Allerdings das eigene Webradio, das ich testweise streame, funktioniert über die NAT Regel.

    Kann mir bitte einer sagen, wo da der Denkfehler liegt und wo ich eventuel bei der Firewall was einrichten muss, damit es funktioniert.

    Gruß und Danke
    Yasmina



  • Hallo,

    ich verstehe leider noch nicht so ganz den Sinn deiner Aktion bzw. was du erreichen möchtest.
    Was bringt es dir, wenn du dich per UMTS einwählst, dann eine Verbindung nach Hause aufbaust zum Proxy und von dort wieder ins Internet zu gehen ? Habe ich das richtig verstanden ? wenn ja, was soll das bringen ?

    Warum ein stream evtl. funktioniert, surfen aber nicht, kann daran liegen, welches Protokoll bzw. welcher Port genutzt wird.
    Squid im tranparenten Modus filtert ja nur port 80 (http), das heisst, jeglicher anderer traffic läuft am squid vorbei, z.B. https (443) oder ftp (21).

    Vielleicht würde es mehr Sinn machen, du installierst an der pfsense einen OpenVPN server, verbindest dich zu diesem OpenVPN Server mit deinem UMTS (Laptop) und leitest jeglichen Internetverkehr übers OpenVPN und letztendlich über den SQUID.



  • Auf Anhieb nachvollziebar ist es ebenfalls auch für mich nicht und ein VPN Server macht aus meiner Sicht auch mehr Sinn.

    Allerdings was mal ausprobieren könnte: Unter Services - Proxy Server - Access Control gibt es den Punkt Allowed Subnets. Trag da mal dort den IP Adressbereich deines UMTS Sticks ein und probier es anschließend nochmal.

    Was man dort allerdings eintragen muss, damit alle WAN Adressen funktionieren kann ich leider nicht sagen. * any usw. funktioniert zumindest in der Version pfsense 2 RC3 nicht.

    Gruß



  • @itler:

    Auf Anhieb nachvollziebar ist es ebenfalls auch für mich nicht und ein VPN Server macht aus meiner Sicht auch mehr Sinn.

    Allerdings was mal ausprobieren könnte: Unter Services - Proxy Server - Access Control gibt es den Punkt Allowed Subnets. Trag da mal dort den IP Adressbereich deines UMTS Sticks ein und probier es anschließend nochmal.

    Was man dort allerdings eintragen muss, damit alle WAN Adressen funktionieren kann ich leider nicht sagen. * any usw. funktioniert zumindest in der Version pfsense 2 RC3 nicht.

    Gruß

    Da er ja irgendwie auf die pfsense kommen muss (VPN oder eben per PortForwarding über die WAN address) sollte er da evtl. mal die geforwardede adresse eintragen.

    Aber das Szenario macht keinen Sinn, weil er will ja mit dem Proxy wahrscheinlich "anonym" sein. Das ist aber sinnfrei, weil die IP von zu Hause ja dennoch aller Welt bekannt ist. Da ist es sogar anonymer über UMTS zu surfen, da man dort nur die IP adresse des zugangspunktes herausbekommen kann, aber diese keinem handy/UMTS stick zuzuordnen geht.
    Wer also ohne proxy anonym sein will, nutzt UMTS.



  • @Nachtfalke:

    Aber das Szenario macht keinen Sinn, weil er will ja mit dem Proxy wahrscheinlich "anonym" sein. Das ist aber sinnfrei, weil die IP von zu Hause ja dennoch aller Welt bekannt ist. Da ist es sogar anonymer über UMTS zu surfen, da man dort nur die IP adresse des zugangspunktes herausbekommen kann, aber diese keinem handy/UMTS stick zuzuordnen geht.

    Ich denke aber eher, das wenn man unter UMTS surft, die Provider doch einiges mitplotten. Alleine aus dem Grund das Ermittlungsbehörden diese Daten abgreifen wollen, um eventuelle Gesetzwittrigkeiten aufzuklären. Ist allerdings ein anderes Thema.

    Das Problem denke ich, ist es, das wenn Sie unterwegs ist und über eine andere Internetverbindung ins Internet geht, eventuelle Beschränkungen umgehen will. Da wäre die Proxy Variante eine Alternative. Eine Lösung hier wäre aus meiner Sicht, unter dem Feld Allow Subnets 0.0.0.0/1 einzutragen. Habs eben mal versucht nachzustellen und dies war auf die schnelle die einzige Lösung, die jetzt auf Anhieb funktioniert hat.

    Gruß
    Itler



  • @itler:

    @Nachtfalke:

    Aber das Szenario macht keinen Sinn, weil er will ja mit dem Proxy wahrscheinlich "anonym" sein. Das ist aber sinnfrei, weil die IP von zu Hause ja dennoch aller Welt bekannt ist. Da ist es sogar anonymer über UMTS zu surfen, da man dort nur die IP adresse des zugangspunktes herausbekommen kann, aber diese keinem handy/UMTS stick zuzuordnen geht.

    Ich denke aber eher, das wenn man unter UMTS surft, die Provider doch einiges mitplotten. Alleine aus dem Grund das Ermittlungsbehörden diese Daten abgreifen wollen, um eventuelle Gesetzwittrigkeiten aufzuklären. Ist allerdings ein anderes Thema.

    Die Ermittlungsbehörden können nichts "mitplotten". Das ist ja gerade das Problem oder der Segen an den ganzen UMZS Einwahlen. Die Behörden sehen nur die IP Adresse des Einwahlknotens, da die Geräte (UMTS) keine bekommen. Egal.

    @itler:

    Das Problem denke ich, ist es, das wenn Sie unterwegs ist und über eine andere Internetverbindung ins Internet geht, eventuelle Beschränkungen umgehen will. Da wäre die Proxy Variante eine Alternative. Eine Lösung hier wäre aus meiner Sicht, unter dem Feld Allow Subnets 0.0.0.0/1 einzutragen. Habs eben mal versucht nachzustellen und dies war auf die schnelle die einzige Lösung, die jetzt auf Anhieb funktioniert hat.

    Gruß
    Itler

    Das mit dem Subnet könnte Sinn machen, wird ja auch bei diversen Outbound NAT rules so gemacht, dann aber bitte komplett:
    0.0.0.0/1
    128.0.0.0/1

    PS: Beschränkungen zu umgehen (Proxy) geht damit aber auch nicht, da ich davon ausgehe, dass sich der "Heimanschluss" genauso in D befindet wie die UMTS Einwahl. Um etwas zu umgehen, z.B. Zugriffesbeschränkungen von diversen Ländern (D darf nicht auf Streamingportale zugreifen, USA aber schon), dann muss ich auch einen Proxy mit IP aus den USA nehmen.

    Vielleicht werden wir ja nochmal aufgeklärt und schreiben uns hier nicht umsonst die Finger fusselig ;-)



  • @Nachtfalke:

    @itler:

    @Nachtfalke:

    Aber das Szenario macht keinen Sinn, weil er will ja mit dem Proxy wahrscheinlich "anonym" sein. Das ist aber sinnfrei, weil die IP von zu Hause ja dennoch aller Welt bekannt ist. Da ist es sogar anonymer über UMTS zu surfen, da man dort nur die IP adresse des zugangspunktes herausbekommen kann, aber diese keinem handy/UMTS stick zuzuordnen geht.

    Ich denke aber eher, das wenn man unter UMTS surft, die Provider doch einiges mitplotten. Alleine aus dem Grund das Ermittlungsbehörden diese Daten abgreifen wollen, um eventuelle Gesetzwittrigkeiten aufzuklären. Ist allerdings ein anderes Thema.

    Die Ermittlungsbehörden können nichts "mitplotten". Das ist ja gerade das Problem oder der Segen an den ganzen UMZS Einwahlen. Die Behörden sehen nur die IP Adresse des Einwahlknotens, da die Geräte (UMTS) keine bekommen. Egal.

    Der ISP kennt die IMEI des UMTS-Gerätes und die Daten der SIM-Karte. Die Ermittlungsbehörden haben (bei Bedarf) Zugriff auf diese Daten - also nix mit Anonymität durch die (alleinige) Verwendung von UMTS.



  • Die Sache ist relativ simpel und bescheuert zugleich, sobald ein Kaufmann die technische Abteilung übernimmt. In der Firma haben wir zwei Standorte, die etwa 40 km auseinanderliegen und jede Niederlassung hat seinen eigenen Internetanschluss. Der Chef will, das Niederlassung 2 nur über den Proxy von Niederlassung 1 ins Internet gehen soll.

    Warum weshalb und wieso keine Ahnung. Der Vorschlag mit VPN ist mehrfach gefallen, aber nix zu machen.



  • VPN hat doch nichts mit der Proxy Nutzung zu tun…

    Dann erstellt doch an der Niederlassung einen OpenVPN Tunnel zum Hauptsitz und routet den kompletten traffic per VPN zur Hauptsitz.

    Zum einen ist das sicher - und zum anderen kann man dann den proxy auf das OpenVPN interface lauschen lassen, was von der Niederlassung kommt.

    Genauso können Außendienstmitarbeiter ebenfalls über VPN zur Hauptniederlassung connecten und dann auch den Proxy nutzen.

    Eine andere Möglichkeit wäre, ihr installiert an der Niederlassung ebenfalls einen Proxy und dann hat man doch alles beisammen.

    Man könnte auch einen Proxy an der Niederlassung einrichten, dort als Upstream proxy den Proxy des Hauptsitzes angeben - verbunden über OpenVPN.

    PS: Warum ist es denn so wichtig, dass der Proxy genutzt wird ? Er dient ja eigentlich meist als cache oder zum restriktieren, dass man nicht überall hin surfen kann und nicht jeder surfen kann. So wie es bei dir klingt, will dein chef aber gerne alles mit loggen und überwachen...? Das geht aber auch einfacher über 2 Proxies.



  • Ist ja mein Anliegen / Argumentation, dass zwischen beiden Niederlassungen eine VPN Verbindung aufgebaut wird und das der Internetverkehr über den Proxy läuft. Der Zugang soll eben überwacht werden, da hier ggf. überprüft werden kann, wer was wann im Internet gemacht hat, falls da von staatlicher Seite irgendwelche Rückfragen kommen. Des weiteren sollen gewisse Seiten gesperrt werden.

    Das mit VPN wird über kurz oder lang eh kommen, will aber diesbezüglich erstmal aus unserem System die diverse Kinderkrankheiten raus kriegen und anschließend den Chef mit Tatsachen konfrontieren, wie mit einer stabilen funktionierenden VPN Verbindung die Arbeit zwischen den einzelnen Niederlassung vereinfacht werden kann. Mit Argumentationen / Diskussion hab ichs mittlerweile aufgegeben.



  • Wird den an den Niederlassungen auch pfsense genutzt ?
    Vielleicht wäre es einfacher, dort ebenfalls einen Proxy einzurichten, den man dann ebenfalls überwacht.
    Dann würde auch die Internetverbindung der Hauptniederlassung nicht mit sowas belastet werden.
    Aber stellt sich natürlich die Frage, wie du das dem kaufmann klar machen kannst ;)

    Hat denn die Idee von "itler" geklappt ?



  • @Nachtfalke:

    Wird den an den Niederlassungen auch pfsense genutzt ?

    Hat denn die Idee von "itler" geklappt ?

    Die Idee von "itler" hat geklappt.

    An der anderen Niederlassung wird zur Zeit Speedsport W701v verwendet. Ist EDV mässig relativ klein, 8 PCs und zwei Server. Und bei uns in der Hauptniederlassung 63 APCs und 7 Server. Und bevor jemand fragt, Ja es sind Windows Server, von NT bis Win 2008 SC2 und als zusätzliches Highlight ein Freenas Server, dessen Aufgabe niemanden klar ist.

    Es lebe der ewig zu killende Wildwuchs.


Locked