Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Pfsense mti squid 3-dev SSL

    Deutsch
    2
    2
    606
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      HeinzM23 last edited by

      Hallo zusammen,
      ich habe eine Problem mit dem squid3-dev Paket. Wir haben diesen Proxy als transparenten Proxy eingerichtet und haben auch HTTPS/SSL Interception aktiviert. Dafür haben wir ein Zertifikat am pfsense angelegt.
      Sobald man das CA Zertifikat auf den Clients installiert funktioniert das Surfen auf den Clientpcs auch ohne Zertifikatswarnung im Browser.
      Das Grundsystem läuft also so weit ganz geht.

      Wir wollen später darauf noch den Squidguard laufen lassen, damit wir gewisse Inhalte sperren können. Das benötigen wir, weil wir in einer Schule ein Gast Wireless Zugang bereitstellen wollen.
      Die Schüler bekommen dann ein Ticket zugewiesen, so dass Sie für eine bestimmte Zeit diesen Gast Zugang nutzen können.
      Jetzt kommen wir aber zu unseren Problem.
      Damit wir auch die https Seiten über Squidguard kontrollieren können haben wir die Funktion HTTPS/SSL Interception aktiviert. Dafür müsste aber jedes Endgerät das CA Zertifikat installieren, damit man keine Warnmeldung im Browser bekommt.
      Könnte man dieses CA Zertifikat durch ein öffentliches Zertifikat (von einer bekannten CA stelle) ersetzen, so dass man auf das Endgerät kein Zertifikat installieren muss.
      Ansonsten wäre es sonst doch einfacher, dass die Schüler einen Proxy eintragen. Damit könnte man dann auch https Seiten Filtern ohne dass man https Verbindung aufbrechen muss.

      Danke im Voraus
      Heinz

      1 Reply Last reply Reply Quote 0
      • F
        flix87 last edited by

        Aufbrechen musst du die Verbindung immer sonst kannst du nicht rein schauen.
        Dafür ist HTTPS ja da das keiner reinschauen kann.

        Ein öffentliches Zertifikat kannst du das nicht  nehmen da dies ja immer auf einem Domain geschlüsselst ist. Im Bestenfall vielleicht noch ein Wildcard was dann für *.domain.de gilt mehr aber auch nicht.

        Wenn dann müsstest du schon selbst eine öffentliche CA betreiben und das ist eher nicht realistisch ;)

        Hier bleibt die fast nur die Verbindungsdaten mit zu loggen. Also nur von welcher IP zu welcher IP mit Datum und Uhrzeit.
        Reinschauen geht dann eben nicht. Muss aber auch nicht immer oft reichen die IP Daten.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post

        Products

        • Platform Overview
        • TNSR
        • pfSense
        • Appliances

        Services

        • Training
        • Professional Services

        Support

        • Subscription Plans
        • Contact Support
        • Product Lifecycle
        • Documentation

        News

        • Media Coverage
        • Press
        • Events

        Resources

        • Blog
        • FAQ
        • Find a Partner
        • Resource Library
        • Security Information

        Company

        • About Us
        • Careers
        • Partners
        • Contact Us
        • Legal
        Our Mission

        We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

        Subscribe to our Newsletter

        Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

        © 2021 Rubicon Communications, LLC | Privacy Policy