Pfsense mti squid 3-dev SSL



  • Hallo zusammen,
    ich habe eine Problem mit dem squid3-dev Paket. Wir haben diesen Proxy als transparenten Proxy eingerichtet und haben auch HTTPS/SSL Interception aktiviert. Dafür haben wir ein Zertifikat am pfsense angelegt.
    Sobald man das CA Zertifikat auf den Clients installiert funktioniert das Surfen auf den Clientpcs auch ohne Zertifikatswarnung im Browser.
    Das Grundsystem läuft also so weit ganz geht.

    Wir wollen später darauf noch den Squidguard laufen lassen, damit wir gewisse Inhalte sperren können. Das benötigen wir, weil wir in einer Schule ein Gast Wireless Zugang bereitstellen wollen.
    Die Schüler bekommen dann ein Ticket zugewiesen, so dass Sie für eine bestimmte Zeit diesen Gast Zugang nutzen können.
    Jetzt kommen wir aber zu unseren Problem.
    Damit wir auch die https Seiten über Squidguard kontrollieren können haben wir die Funktion HTTPS/SSL Interception aktiviert. Dafür müsste aber jedes Endgerät das CA Zertifikat installieren, damit man keine Warnmeldung im Browser bekommt.
    Könnte man dieses CA Zertifikat durch ein öffentliches Zertifikat (von einer bekannten CA stelle) ersetzen, so dass man auf das Endgerät kein Zertifikat installieren muss.
    Ansonsten wäre es sonst doch einfacher, dass die Schüler einen Proxy eintragen. Damit könnte man dann auch https Seiten Filtern ohne dass man https Verbindung aufbrechen muss.

    Danke im Voraus
    Heinz



  • Aufbrechen musst du die Verbindung immer sonst kannst du nicht rein schauen.
    Dafür ist HTTPS ja da das keiner reinschauen kann.

    Ein öffentliches Zertifikat kannst du das nicht  nehmen da dies ja immer auf einem Domain geschlüsselst ist. Im Bestenfall vielleicht noch ein Wildcard was dann für *.domain.de gilt mehr aber auch nicht.

    Wenn dann müsstest du schon selbst eine öffentliche CA betreiben und das ist eher nicht realistisch ;)

    Hier bleibt die fast nur die Verbindungsdaten mit zu loggen. Also nur von welcher IP zu welcher IP mit Datum und Uhrzeit.
    Reinschauen geht dann eben nicht. Muss aber auch nicht immer oft reichen die IP Daten.