OPNSense WebProxy

Hi Leute,

ich habe jetzt schonmal ein wenig im Forum geforscht aber leider nichts zu meinem Problem gefunden.
Habe LMLv7 in einer Testumgebung aufgesetzt mit OPNSense und Win10 Clients.
Auf dem Win10 Clients läuft Chrome und da habe ich den Proxy 10.16.1.254 mit Port 3128 eingegeben.
Wenn ich jetzt versuche eine Seite zu öffnen verlangt der Proxy eine Authentifizierung die aber leider nicht funktioniert (Abfrage erscheint immer wieder).
Auch nach dem einrichten von SSO kommt diese Meldung.
Habe auch testweise versucht die Authentifizierung zu deaktivieren aber da funktioniert dann der Squid nicht mehr bzw. startet gar nicht mehr.

Jemand eine Idee was ich einstellen muss?
Bin grade etwas mit meinem latein am ende

Grüße
Michael

Für mich klingt das so, als würde irgendetwas mit deinem SSO nicht stimmen. Schreib mal, was der Zugangstester in der OPNSense ausgibt (zweiter Spiegelpunkt unter SSO):

Hallo,

stimmt den die Systemzeit auf dem Client?
… das ist mit Windows nicht trivial.
linbo setzt UTC im BIOS: dann muss man windows verklickern, dass es UTC
verwenden soll, wie alle anderen auch und nicht localtime.
Wurde gerade hier im Forum diskutiert: mit link auf regeintrag der
Windows das beibringt.

LG

Holger

Hallo,

habe beides geprüft und beides war in ordnung, habe aber dennoch über eine reg datei die zeit nochmal auf utc gesetzt aber alles unverändert.
habe allerdings einen fehler finden können wenn ich global-admin als adminkonto für SSO eingebe.

Beim erstellen der Schlüsseltabelle kriege ich einen fehler:

– ldap_add_principal: Checking that adding principal host/firewall.linuxmuster.lan to FIREWALL-K$ won’t cause a conflict
Error: Another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall.linuxmuster.lan
Error: ldap_add_principal failed

sieht aus als wäre es ein Problem das ich OPNSense einmal neu installieren musste

Grüße
Michael

Also das funktioniert bei mir vorn und hinten nicht.
scheint kein UTC problem zu sein, habe das Problem auch auf einem beliebigen Ubuntu System.
Sobald ich den Proxy eintrage verlangt er unendlich oft eine authentifizierung.

Habe spaßenshalber mal linuxmuster-setup ausgeführt um alles zu resetten aber keine chance, nach wie vor der selbe fehler.

grüße
michael

Hallo Michael,

Beim erstellen der Schlüsseltabelle kriege ich einen fehler:

– ldap_add_principal: Checking that adding principal
host/firewall.linuxmuster.lan to FIREWALL-K$ won’t cause a conflict
Error: Another computer account
(CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan)
has the principal host/firewall.linuxmuster.lan
Error: ldap_add_principal failed

sieht aus als wäre es ein Problem das ich OPNSense einmal neu
installieren musste

poste mal bitte die ersten Zeilen der
/etc/linuxmuster/sophomorix/default-school/devices.csv
Da steht auch die Firewall drin.
Irgend wie scheint der LDAP deine OPNsense nicht als „die Firewall“ an
zu erkennen: deswegen darf sie nciht rein.

Versuch auch mal folgendes:
in der Weboberfläche der OPNsense mal die Kerberoskeys wegputzen
(löschen), dann nochmal neu erstellen lassen:
hast du das hier schon mal angesehen?

LG

Holger

es geht aktuell.
Wieso? Keine ahnung :smiley:

Habe wie Holger sagt die Schlüsseltabelle nochmal gelöscht und neu erstellt (hatte ich davor aber schonmal gemacht) und ich musste den FQDN als Proxy eintragen und nicht die IP (wie es natürlich auch im Wiki steht *hust hust*)
würde den Thread noch 1-2 Tage auf offen stehen lassen falls ich noch etwas haben sollte und ihn dann schließen

Danke erstmal leute

grüße
michael

Hallo Michael,

EDIT: unter firefox funktioniert es auch am Win10.
Google Chrome scheint nicht zu funktionieren?

proxyeinstellung in chrome falsch?

LG

Holger

nee das wars nicht, kann es sein das global-admin nicht ins internet darf?

grüße
michael

Hallo,

wir setzen aktuell das Image von Holger lmn-bionic-200507(tolle Arbeit!!) in modifizierter(apt update + paar Programme nachinstalliert).
Neues cloop heisst lmn-bionic-200507-mgg. Die start.conf hat selben namen. In Postsync habe ich den Patchclass name angepasst. Hier wurden die Proxyeinstellungen im Firefox angepasst, dass Sie zu linuxmuster.lan passen. Der Proxy-Dialog, nach einloggen eines Test Lehrer Users, poppt bei Firefox auf. Nach kinit scheint dann der Firefox ohne Probleme zu funktionieren.
Das Systemzeit Problem habe ich auch. Ich werde beim Neuimage auf utc gehen, damit sollte ich auf -2 kommen, dann würds passen?!

Habt Ihr einen Tipp? Mann kann mich natürlich auf telefonisch erreichen, wenn jemand Lust hat