Pfsense und HaProxy



  • Hallo,

    leider kann ich den squid Proxy nicht nutzen, da dann wichtige Https Verbindungen nicht mehr funktionieren.
    Auf der Suche nach einer Alternative bin ich auf haproxy gestoßen.
    Hat damit jemand Erfahrung? Gibt es ein gutes HowTo? Ich finde im Netz leider keine einfache Erklärung.
    Kann der haproxy überhaupt dass, was ich mir vorstelle? Ich würde gerne im Netzwerk den gesamten Verkehr
    loggen und auswerten können. Gibt es sonst eine andere Alternative?
    Vielen Dank für eure Hilfe.


  • LAYER 8 Moderator

    Nein. HAProxy ist, wie der Name schon sagt, ein High-Availability Tool. Da gehts darum, dass HAProxy die Verbindung über mehrere Backends verteilt. Also eine Art Loadbalancing zur Verfügung stellt.
    Das ist nichts zum Loggen ;)

    Da aber hier mehrere Benutzer erfolgreich Squid, SquidGuard und Co am Laufen haben, vermute ich eher ein Konfigurationsproblem deinerseits, andernfalls wäre das - so glaube ich - schon häufiger hier aufgefallen.

    Grüße



  • Es ist bekannt, dass Squid ein Problem mit Verschlüsselten Verbindungen hat…

    Gibt es denn eine Alternative für den Squid?


  • LAYER 8 Moderator

    Wem ist das denn bekannt? Ich habe zumindest hier noch keinen User darüber schreiben sehen? Vielleicht kannst du das ausführen, damit auch andere (mit gleichem Problem) Bescheid wissen?

    Grüße



  • ich denke mal er meint das Problem (unter Squid) in Bezug auf die Filterung von HTTPs-Content…
    Wenn der Proxy als "Transparenter-Proxy" fungiert und beispielsweise ein Client im Netz eine vermeintlich "verbotene / geblockte Seite" z.B. "facebook.com" mittels https ---> "https://www.facebook.com" trotzdem aufrufen kann, da HTTPs-Seiten in diesem Beispiel nicht geblockt werden.
    Ist der Proxy jedoch im Browser bzw. über WPAD entsprechend konfiguriert und wird der Squid nicht im "transparenten-Modus" genutzt, sollte das Problem eigentlich nicht bestehen...

    Viele Grüße!


  • LAYER 8 Moderator

    Danke Fisi,

    genau solche Problembeschreibungen wären hilfreich, wenn man auf der Suche nach Alternativen ist. Ansonsten kann man schwer abschätzen, welches Tool oder Programm für den- oder diejenige hilfreich wäre.

    Viele Grüße



  • Nein, es geht nicht darum, dass user die Seiten als Https aufrufen können,
    es geht darum, dass die Kommunikation mit, z.B. dem Krankenkassenserver,
    den man nun einmal mit entsprechender Lohnsoftware ansprechen muss,
    nicht funktioniert. Umsatzsteueranmeldungen über Elterformulare funktionieren
    auch nicht. Sicher, dass alles ist nur so, solange der Squid im Transparenten
    Modus arbeitet. Jetzt habe ich aber das Problem, dass es hier User gibt, die
    Admin-Berechtigungen notwendigerweise brauchen, die aber so dreist sind,
    einen im Browser eingestellten Proxy mal eben zu ändern. Mir bleibt also nur
    der weg über einen transparenten Proxy. Oder irre ich mich da???



  • also wenn ich dein Problem richtig verstehe, ist es so, dass deine User den eigetragenen Proxy bzw. die Proxy-Einstellungen im System / Browser verändern, da sie Admin-Rechte besitzen und du deshalb den Squid im Transparenten-Modus laufen lässt?
    Dann verteile die Proxy-Einstellungen doch per WPAD über DHCP und oder DNS. Und wenn der Proxy nicht Transparent läuft, ist ein Zugriff auf das Netz natürlich nur noch über den konfigurierten Proxy möglich.
    Oder bei Windows-Umgebungen ggf. die Proxy-Einstellungen im IE über GPOs fest verdrahten und den Zugriff im Browser auf diese Einstellungen unterbinden / ausblenden (bei Admin-Berechtigungn jedoch ggf. nicht so einfach zu bewerkstelligen)

    Gruß



  • Ja, das Problem hast du richtig verstanden.
    WPAD ist ein gute Idee. Gibt es hierzu ein HowTo wie das
    mit Pfsense und Squid zu bewerkstelligen ist?
    Habe ich noch Alternativen?
    Bislang hat noch niemand eine Alternative zu Squid erwähnt…



  • Dieses HowTo sollte passend sein für die WPAD-Konfiguration mit Squid und pfSense: https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid

    Eine wirkliche Alternative zu Squid kenne ich nicht - ist ja im Prinzip auch der "nonplusultra-Proxy" im Open-Source-Bereich und wird auch auf fast jeder (Open-Source-) Firewall-Lösung als Proxy genutzt…


  • LAYER 8 Moderator

    Richtig fisi. Und "impertinente" User, die einfach mal selbst "ausbüchsen" wollen, sind relativ einfach wieder einkassierbar. Meistens ist ein Proxy ja Definitionssache in Firmen und wenn einer aufgesetzt und betrieben wird, muss/soll der auch benutzt werden und nicht der Weg daran vorbei. Um das zu forcieren, kann man dann auch ganz einfach mal hergehen und sonstigen Traffic über die Web Ports der NICHT vom Proxy kommt einfach blocken. Dann hat der- oder diejenige, die einfach den Proxy ausschaltet, einfach ausgesurft. Danach ist es eigentlich nicht mehr so schwer, den Proxy nicht transparent zu betreiben.

    Ich hatte auch schon gelesen, dass einige User hergegangen sind und "Ausbrecher" dann per rewrite und captive portal eingefangen haben. Direkte Kommunikation am Proxy vorbei war dann nur mit Token über das Portal möglich (um ggf. zickige Programme abzudecken).

    Grüße



  • Vielen Dank, dann werde ich noch einen Versuch mit Squid wagen.
    Nimmt man eigentlich Squid oder Squid3 und wo ist der Unterschied?


  • LAYER 8 Moderator

    Das Squid Paket ist die latest 2.7er Version von Squid, Squid3 bezieht sich auf die 3.1.x Version. Squid3-devel bezieht sich auf den aktuellsten 3.3.x snapshot von Squid. Ersteres ist stable, squid3 als beta geflagged (aber ich würde es als recht stabil einschätzen) und die latest Version ist für alle die ggf. ein besonderes Feature aus der Development Version benötigen. Wichtig ist nur, dass andere Pakete für die richtige Squid Version installiert werden, sofern benötigt (wie squidguard o.ä.).

    Welche du benötigst, liest du am Besten am Feature Set im Squid Wiki, da 2.x und 3.x parallele Releases sind, 2.7 aber wohl die letzte 2er Version ist, trotzdem die 3.x aber noch nicht alle Funktionen aus 2.7 übernommen hat:

    http://wiki.squid-cache.org/Squid-2.7
    http://wiki.squid-cache.org/Squid-3.0

    Ich würde vermuten, 3.1 oder 3.3 wäre das was du suchst, aber das ist nur eine Vermutung.


Log in to reply