opnsense transparent https proxy

0

2

Собственно вопрос в теме. В доках написано что прокся прзрачная, но тогда зачем экспорт и импорт сертификата на клиент не понятно.

Ссылка

←	Mysqld жрет swap при свободной RAM

freepbx: Записывать все звонки, в том числе пока работает IVL

→

Ну дык прочти доки внимательнее.

https прозрачно без доп. сертификатов только до имени сервера.

vel ★★★★★
(14.01.20 17:49:49 MSK)

Ответ на: комментарий от vel 14.01.20 17:49:49 MSK

+1
а если имени сервера нет (SSL handshake без SNI), то по dst IP можно догадаться.

Bers666 ★★★★★
(14.01.20 18:27:18 MSK)

Ссылка

Ответ на: комментарий от vel 14.01.20 17:49:49 MSK

Ну дык прочти доки внимательнее.

https прозрачно без доп. сертификатов только до имени сервера.

Так это и требуется, но не работает без импорта сертификата на клиенты. Ожидалось включение проверки SSL включение SNI и дальнейшая работа с ACL. На деле https ресурсы доступны на клиенте только при импорте сертификата. Может я что то не правильно понял из доков но пока оно работает именно так.

Задачей не стоит лезть в ссл трафик. И хотелось бы обойтись без манипуляции с клиентами и сертификатами. На дебиан это работает, я не сомневаюсь что и на pf/opnsense тоже, но в доке обязательным условием стоит экспорт импорт сертов(.

https://wiki.opnsense.org/manual/how-tos/proxytransparent.html

Step 8 - Configure OS/Browser

Since the CA is not trusted by your browser, you will get a message about this for each page you visit. To solve this you can import the Key into your OS and set as trusted. To export the Key go to System ‣ Trust ‣ Authorities and click on the icon to export the CA certificate. Of course one may choose to accept the certificate for each page manually, but for some pages that may not work well unless not bumped.
<<<

julixs ★★★
(14.01.20 18:35:18 MSK) автор топика
Последнее исправление: julixs 14.01.20 18:46:50 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от vel 14.01.20 17:49:49 MSK

Я правильно понимаю что все правки внесенные в конфиг в ручную будут удалены после выполнения squid -k reconfigure либо нажатия применить в веб интерфейсе будут удалены. Чтобы вносить пользовательские правки в конфиг нужно использовать директивуinclude /usr/local/etc/squid/?

julixs ★★★
(14.01.20 19:41:17 MSK) автор топика

Ответ на: комментарий от julixs 14.01.20 19:41:17 MSK

Так это и требуется, но не работает без импорта сертификата на клиенты.

так не доводи до этого шага sslbump

https://wiki.opnsense.org/manual/how-tos/proxytransparent.html

Дык оно для полной проверки трафика.

Судя по доке, в п.6 нужно внести все доменные имена.

Я правильно понимаю что все правки внесенные в конфиг в ручную будут удалены после выполнения squid -k reconfigure

Это с какого перепуга?

либо нажатия применить в веб интерфейсе будут удалены. Чтобы вносить пользовательские правки в конфиг нужно использовать директиву include /usr/local/etc/squid/?

Какой web-интерфейс?

vel ★★★★★
(14.01.20 20:58:10 MSK)

Ответ на: комментарий от vel 14.01.20 20:58:10 MSK

Какой web-интерфейс?

Web-интерфейс управления opnsense.

Вопрос решен, частный случай организации маршрутизации между офисами компании.

julixs ★★★
(20.01.20 08:53:31 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Mysqld жрет swap при свободной RAM

Admin

freepbx: Записывать все звонки, в том числе пока работает IVL

→

Похожие темы