Https - Webseiten werden über Squid Proxy nicht angezeigt



  • Hallo!

    Ich habe schon viel gesucht und gelesen, komme aber einfach nicht weiter.

    Ich habe Pfsense 2.0.1 mit Squid (2.7.9 pkg v.4.3.1) und Squidguard (1.4_2 pkg v.1.9.1) eingerichtet.
    Pfsense hat die IP 192.168.1.1

    Der Browser soll über Proxy-Einstellungen an die Pfsense geleitet werden, damit für bestimmte User
    Internet-Seiten/Urls gefiltert werden.

    In den Proxyeinstellungen ist also hinterlegt:

    Http: 192.168.1.1
    Secure: 192.168.1.1
    Ftp: 192.168.1.1

    Das funktioniert soweit auch ganz gut, nur Https-Internetseiten können nicht aufgerufen werden.

    Wenn bei diesen Einstellungen eine https-Seite aufgerufen wird, dann zeigt der Browser an:
    Die Website kann nicht angezeigt werden.

    Ich bin für jeden Hinweis dankbar!

    Viele Grüße!



  • Habe nochmal weiter geforscht und habe Folgendes rausbekommen:

    Hier im Forum habe ich des öfteren über die Variante gelesen, in der Squid als transparenter Proxy
    eingesetzt wird und deswegen hier https-Proxy nicht möglich ist.

    Da ich aber über Squidguard eine User-Zugriffsteuerung einsetzen möchte, soll Squid auch gar nicht
    als transparenter Proxy verwendet werden.

    Seit Version 2.6 läuft soll Squid auch als HTTPS-Proxy laufen (siehe http://de.wikipedia.org/wiki/Squid).

    Dann sollte doch https-Proxy über Squid möglich sein?

    In einem portugiesischen Thread hier im Forum habe ich was gelesen, dass traffic von Port 443 nach
    Port 3128 umgeleitet werden könnte? Wenn ich es soweit richtig verstanden habe?

    http://translate.google.com/translate?depth=1&hl=de&ie=UTF8&prev=_t&rurl=translate.google.de&sl=pt&tl=de&u=http://forum.pfsense.org/index.php%3FPHPSESSID%3Dc9e5f5972777289ab4914e6c7e4583b2%26/topic,38997.0.html

    Hat nicht jemand einen Tip für mich? Ich bin schon am verzweifeln!



  • Hallo,

    wir sollten die Funktionalität von squid kurz klarstellen.
    "transparent" oder "intercepting" proxy bedeutet, dass squid jeglich port 80 - also http traffic - automatisch über den proxy geleitet wird. Es ist bei dieser Einstellung nicht erforderlich, irgendetwas im Browser des Benutzers einzurichten. Das ist auch der Grund/Vorteil, warum man squid im transparenten modus nutzt, weil man so on Konfigurationen am PC den http traffic filtern kann.

    Im transparenten Modus ist es aber nicht möglich, https und ftp zu filtern. Das funktioniert nicht.

    Um http, https und ftp zu filtern, darf squid nicht im transparenten modus laufen und am Browser des Benutzers muss die IP Adresse des Proxy Servers eingetragen sein UND der Port des Proxy (default: 3128).

    Weiterhin solltest du den Haken "Allow connected interfaces" (oder so ähnlich) aktivieren. Dann sollte es eigentlich funktionieren.
    Hast du denn die Firewall Regeln entsprechend eingestellt ? Du musst natürlich Port 3128 erlauben, damit dein Browser den Proxy erreichen kann :)



  • Hallo Nachtfalke!

    Ich vermute, dass ich eine Firewall-Regel einrichten muss, die die https Anfrage des Browsers an Squid Port 3128 weiterleitet?

    Den Haken bei allow Interfaces habe ich gesetzt.

    Hast du hier vielleicht noch einen Tipp?

    Viele Grüße!



  • Also ich würde folgende Regel erstellen:

    Action: Pass
    Interface: LAN
    Source Port: any
    Source address: LAN Subnet
    Destination Port: 3128
    Destination IP: LAN-Address

    Bin da jetzt aber auch nicht ganz sicher. Eventuell auch nochmal eine Regel für Destination Port 443:

    Action: Pass
    Interface: LAN
    Source Port: any
    Source address: LAN Subnet
    Destination Port: 443
    Destination IP: LAN-Address

    Am Besten wäre es, wenn du eine Firewall Regeln erstellst, die sämtliche Verikehr "any to any" einmal zulässt, damit du sehen kannst, ob es funktioniert.



  • Hi zusammen,

    möglicherweise hilft dir der Artikel weiter (http://wiki.squid-cache.org/Features/HTTPS). Je nach Methode, kann es zu Warnungen am Client bezüglich Zertifikaten kommen.

    VG.



  • Vielen Dank für eure Tipps! Es hat leider etwas gedauert, weils mir meine pfsense nach ein paar mal ausprobieren verschiedener Sachen total zerlegt hat.

    Habe nach der Neuinstallation ebenfalls verschiedene Sachen ausprobiert und kann Erfolge melden:

    1. Habe ich Squid 2.7.9 installiert.
    2. Danach habe ich Squidguard installiert.
    3. Und zum Schluß habe ich Squid 3 Package zusätzlich installiert.

    Bei dieser Konstellation funktioniert https proxy über Squid und kann auch User basierte
    Zugriffe über Squidguard einrichten.

    Wenn ich nur squid 3 oder nur squid 2.7.9 installiert hatte, dann hat es nicht funktioniert.

    Über Firewall-Regeln bin ich gar nicht klargekommen.

    Was mir auch noch aufgefallen ist, dass man pfsense neu booten sollte, damit die
    Target categories die man in squidguard hinterlegt auch wirklich greifen.
    Und vor allem beim Testen auf dem gleichen PC immer den Cache des Browsers
    löschen!

    Danke auf jeden Fall für Eure Hinweise!



  • Hinweise:

    Wenn du squidguard installierst auf pfsense 2.0.x installierst, installiert er immer automatisch squid2 mit - nicht das pfsense paket aber die binaries.
    Installierst du also erst squid3, dann squidguard, dann funktioniert squid nicht korrekt. die richtige reihenfolge für squid3 + squidguard ist:

    squidguard installieren, dann squid3 installieren, dann konfigurieren.

    SquidGuard und Änderungen:
    Wenn du Änderungen vornimmst, müssen deine letzten beiden Schritte folgende sein:
    1.) General Settings: Save klicken
    2.) General Settings: Apply klicken
    Erst dann sind die Settings aktiv.


Locked