OPNSense Denied alles

trapper-keeper · 15. Juni 2020 um 11:15

Hallo,

weiter geht es.
OPNSense und LML laufen
SSO scheint auch zu funktionieren, zumindest kann ich über den authentifizierungstest der opnsense keinen fehler feststellen.
Am Win10 Client Proxy eingetragen und ein paar webseiten laufen auch (Reddit zum beispiel).
90% der Webseiten werden aber mit DENIED abgelehnt und ich sehe keinen sinnigen grund.
egal ob google, heise o.ä.
Uhrzeit am Server stimmt und Uhrzeit am Client haben wir mittels regedit auf utc gesetzt.

Jemand eine Idee? ohne Proxy können wir eine Schule nicht betreiben und auf LMLv6 will ich nicht zurückgehen müssen.

Grüße
Michael

baumhof · 15. Juni 2020 um 11:49

Hallo Michael,

Am Win10 Client Proxy eingetragen und ein paar webseiten laufen auch
(Reddit zum beispiel).
90% der Webseiten werden aber mit DENIED abgelehnt und ich sehe keinen
sinnigen grund.
egal ob google, heise o.ä.

das ist seltsam.
Wie läuft den die Namensauflösung?
Was ist den vor der OPNsense?
Wir der DNS des Providers (in der OPNsense) verwendet?

LG

Holger

trapper-keeper · 15. Juni 2020 um 11:57

Hi Holger,

vor der OPNSense ist ein 0815 Allnet Modem und die OPNSense zieht sich ja den DNS vom provider, ich habe keinen manuellen eingegeben.

Das kann es aber auch nicht sein, wenn ich keinen Proxy angebe geht ja auch alles.

Grüße
Michael

trapper-keeper · 16. Juni 2020 um 08:05

So sieht es in der access.log aus wenn ich versuche über den edge google zu öffnen:

2020-06-16T10:10:44.240000 0 10.30.5.40 TCP_DENIED/407 4251 GET http://google.de/ - HIER_NONE/- text/html

2020-06-16T10:11:45.350000	0 10.30.5.40 TCP_DENIED/407 4267 GET http://www.google.de/ - HIER_NONE/- text/html
2020-06-16T10:11:45.350000	61108 10.30.5.40 TCP_MISS/301 652 GET http://google.de/ testus@LINUXMUSTER.LAN HIER_DIRECT/216.58.212.131 text/html

ich hoffe auf ideen.

Grüße
Michael

trapper-keeper · 18. Juni 2020 um 07:45

niemand ne idee?
Erste schule läuft jetzt mit lmlv7 und ist offen wie ein scheunentor weil der proxy nicht funktioniert,

Habe mal die kerberos schlüsseltabelle neu erstellt, bringt nix.
habe es mit meiner testumgebung verglichen, keine unterschiede bis auf das pppoe über vlan7

trapper-keeper · 18. Juni 2020 um 07:51

btw:
habe jetzt google am edge 4 mal neu laden lassen, dann hat er mir die google suche geöffnet

trapper-keeper · 22. Juni 2020 um 08:31

Habe mal spaßenshalber im Web Proxy „Aktiviere SSL Untersuchung“ aktiviert und den Proxy Dienst neu gestartet.
im Protokoll kriege ich jetzt eine Fehlermeldung:
squid:FATAL:No valid signing certificate configured fpr HTTP_port 127.0.0.1:3128

könnte das irgendwie mit meinem verbindungsproblem zu tun haben wenn ich versuche den Proxy zu verwenden?

grüße
Michael