Proxy einrichten um Internet zu regeln

1

Ich würde gerne wissen, wie ich (nachträglich) im Linuxmuster 7.1 die Steuerung des Internetzugriffs über Proxy-Zugriff einrichten kann. Wir nutzen Win10-Clients und lassen bisher alles ins Internet.

Was ich bisher verstanden und versucht habe:

  • Auf den Clients muss als Proxy firewall.unseredomaene.lan mit Port 3128 eingetragen sein
    → per GPO (maschinenweite Internetoption) verteilt (richtig? - siehe unten)
  • In der Firewall muss die Regel „Allow entire LAN“ deaktiviert werden
    → check
  • Das SSO in der Firewall muss funktionieren
    → bei „Dienste“ - „Web-Proxy“ - „Einmalige Anmeldung“ - „Kerberos-Authentifizierung“ habe ich überall grüne Haken, außer bei „Keytab-Datei“, weil die …squid.keytab nicht existiert → muss ich die noch generieren? Wenn ja, wie?
  • Der Internetzugriff sollte jetzt für alle mit Zugehörig zur Gruppe „Internet“ möglich sein.
    → Nö… Mit Proxy gar nicht oder random für manche Seiten…

Meine Fragen:

  • Wo könnte der Fehler liegen, wenn es trotzdem nicht funktioniert?
  • Was ist der beste Weg, um die Proxyeinstellungen auf dem Client so zu hinterlegen, dass sie ein Schüler nicht wieder deaktivieren kann? GPO? Wenn ja, was muss ich beachten?

Danke und Grüße

Lars

2

Tag auch,
ich stelle gleich noch ein paar Fragen dazu.

Wieso ist das mit der Internetabschaltung so kompliziert realisiert?
Koennte man das nicht einfach mit einem transparenten Proxy machen? Squid mit ACLs oder so?
Oder ein paar iptables-Regeln, die bestimmte IPs oder Bereiche per Mausklick sperren?

Sollte diese Funktion nicht bei allen Schulen per default aktiviert und lauffaehig sein?

Gruss Harry

3

Hallo Lars,

Richtig.
Oder auch möglich: „Automatische Suche der Proxyeinstellungen“(Siehe Wiki)
Oder per Default User Profil bei welchem der Proxy eingestellt ist.

Richtig und zusätzlich eine Regel, welche Zugriff aus dem LAN auf Port 3128 der Firewall zulässt.

Dienste: Web-Proxy: Einmalige Anmeldung → Kerberos-Authentifizierung → Schlüsseltabelle erstellen

Wenn SSO richtig funktioniert, dann ist das korrekt.

Viele Grüße
Klaus

4

Hallo Harry,

Was ist kompliziert?
Wenn man Linuxmuster per Standardinstallation installiert, funktioniert bereits alles. Man muß nur dafür sorgen, daß die Clients den Proxy verwenden.

Wie kannst Du dann das Internet für bestimmte Logins sperren?

ACLs sind eine zusätzliche Anforderung und auch das kann in der OPNsense aktiviert werden. Ebenso kannst Du in der OPNsense je nach Benutzer/Gruppe andere ACLs verwenden. Siehe Wiki.

IP-Adressen oder Bereiche manuell zu pflegen finde ich jetzt nicht unbedingt einfacher als ACLs. Aber generell kannst Du das in der OPNsense ja machen. Einen Alias definieren eine Regel darauf anwenden und diese bei Bedarf aktivieren oder deaktivieren. Funktioniert halt nicht mit Zuweisung zu einer Gruppe(internet).

Ist bei einer Standardinstallation aktiviert und lauffähig. Lars wollte die Proxyfunktion nachträglich haben.

Viele Grüße
Klaus

3 „Gefällt mir“
5

Hallo Klaus,

danke für die Hilfe. Leider bekommen wir es noch nicht hin. Mit „entire LAN“ aus hat man ziemlich zufällig Zugriff auf manche Seiten auf andere nicht, völlig unabhängig davon, ob man in der Gruppe „Internet“ ist oder nicht.

Ich vermute einen Fehler bei der GPO. Könntest du mir bitte nochmal genauer schildern, wie ihr die Proxy-Einstellungen auf die Clients bekommt?

Und dann ist mir aufgefallen, das die vorgefertigte Regel „Allow Web-Proxy-Access“ folgende Fehlermeldung ausgibt:

Fatal error: Uncaught TypeError: date(): Argument #2 ($timestamp) must be of type ?int, string given in /usr/local/www/firewall_rules_edit.php:1696 Stack trace: #0 /usr/local/www/firewall_rules_edit.php(1696): date('n/j/y H:i:s', '1502370804,8546') #1 {main} thrown in /usr/local/www/firewall_rules_edit.php on line 1696

Was fange ich damit an?

Danke nochmal und viele Grüße

Lars

6

Hallo Lars,

ich verteile die Proxy Einstellungen mit dem Default Profil und „defprof“. Evtl. kannst Du, um den Fehler weiter einzugrenzen das auch so machen?

SSO funktioniert jetzt? D.h. die keytab wurde generiert und alle Haken grün?

Evtl. löschst Du dir Regel und legst sie neu an.

Viele Grüße
Klaus

7

Hallo Klaus,

ich komme immer noch nicht klar damit, und wenn ich mir so ein paar der letzten Foren-Beiträge durchlese, bin ich da nicht der einzige.

Ja, SSO funktioniert, keytab ist generiert und alle Haken grün.

Mir ist noch aufgefallen, dass unter Web-Proxy: Verwaltung → Weiterleitungsproxy als SSL Proxy-Port 3129 eingetragen ist. Müsste das nicht auch 3128 sein? Zumindest enthält die Regel „Allow Web Proxy Access“ nur den Port 3128.

Außerdem bin ich mir unsicher, ob ich die Regel für den Web-Proxy-Zugriff richtig nachgebildet habe. Sieht im Moment wie folgt aus:

grafik
grafik722×689 9.67 KB

grafik
grafik1267×726 14.5 KB

Wäre nett, wenn du (oder jemand anders) da nochmal drüberschauen könnte.

Danke und Gruß

Lars

8

Hallo Lars,

Das stört nicht, solange Du SSL Inspection nicht auch nutzen möchtest. D.h. Aktiviere SSL-Untersuchung ist nicht aktiviert.

Sieht richtig aus. Muß halt von der Reihenfolge her vor einer „Deny all“ Regel stehen, so daß diese auch greift.

Viele Grüße
Klaus

9

Hallo Lars,

führe auf dem Server den Befehl

sudo linuxmuster-opnsense-reset

aus. Dann werden die Firewall-Regeln und die SSO neu eingerichtet und du hast den Stand nach einer Neuinstallation.

Einrichtung von Proxy per GPO für den Benutzer:
Gruppenrichtlinieneditor starten und neue GPO erstellen.
Benutzerkonfiguration → Einstellungen → Systemsteuerungseinstellungen → Interneteinstellungen → Neu → Internet Explorer 10 → Dann im Reiter Verbindungen die Lan-Einstellungen öffnen.

Im Reiter „Einstellungen für lokales Netzwerk“ sind einige Felder grün unterstrichen und andere Felder (z.B. Adresse) sind rot unterstrichen. Grün bedeutet, dass diese Felder aktiviert sind. Rot bedeutet, dass dieses Feld eventuell konfiguriert ist (z.B. 111.222.333.444) aber noch nicht aktiviert wurde und daher die Einstellung nicht auf die Clients übertragen wird. Um ein rotes Feld zu aktivieren ist dieses zu markieren (Mauszeiger rein) und dann muss F6 gedrückt werden. Mit F7 wird das Feld deaktiviert. Mit F5 werden alle Felder des aktiven Reiters aktiviert.

grafik

Das Feld „Adresse“ und „Proxyserver für …“ sind nicht aktiv. Die Werte werden nicht auf die Clients übertragen!

Hier als Proxyserver z. B. „firewall.linuxmuster.lan“ mit Port „3128“ eintragen und die restlichen Einstellungen vornehmen.

Dann:
Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → Internet Explorer → Änderung der Proxyeinstellungen verhindern → Aktiviert

Wenn es dann nicht funktioniert, solltest du die Zeit prüfen.

Viel Erfolg
Christian

10

Hallo Christian,

vielen Dank für deine ausführliche Antwort. Habe den reset durchgeführt. Das funktioniert bis auf die Erstellung der Keytab:

#### Failed to create new kerberos key table. See opnsense-reset.log for details. ####

Das liegt vermutlich daran, dass standardmäßig der lokale DNS-Dienst als Nameserver erlaubt ist (Haken bei System → Einstellungen → Allgemein ist nach reset nicht gesetzt).

Das manuelle Erzeugen der Keytab funktioniert, wirft aber unterwegs folgende Fehler:

Error: another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall.linuxmuster.lan
Error: ldap_add_principal failed
 -- ldap_add_principal: Checking that adding principal host/firewall to FIREWALL-K$ won't cause a conflict
Error: another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall
Error: ldap_add_principal failed

Ich weiß nicht, ob das etwas zu bedeuten hat.

Was mir noch aufgefallen ist: In der Firewall unter System → Zugang → Prüfer funktioniert nur die Prüfung für Lehrer, Schülerbenutzer werden nicht gefunden:

Die folgenden Eingabefehler wurden entdeckt:
Authentifizierung fehlgeschlagen.
error: User DN not found

Ich habe nach dem Reset insofern eine Änderung, dass nun niemand mehr ins Internet kommt, wenn die Regel „Allow entire LAN“ deaktiviert ist, egal ob Lehrer oder Schüler.

Ich habe wegen der Zeit nochmal geschaut. Wir haben zwar aktuell zwar tatsächlich nicht die Linuxmuster als Zeitserver drin sondern das BIOS, die Zeit stimmt aber trotzdem bis auf ca. 1/2 Min. Kann das trotzdem eine Ursache sein?

Dankbar für weitere Hilfe und viele Grüße

Lars

11

Hallo Lars,

Der Haken darf nicht gesetzt sein. Das soll so aussehen:

grafik
grafik959×591 87.2 KB

Unter Dienste → Web-Proxy → Einmalige Anmeldung → Kerberos Authentifizierung sieht es dann so aus:

grafik
grafik953×652 133 KB

Das mit dem DNS-Server passt!!!
Da dann als global-admin eine neue Schlüsseltabelle erstellen.

grafik
grafik943×602 133 KB

Viel Erfolg
Christian

12

Hallo Christian,

da lag der Hund begraben. Muss man aber auch erst mal drauf kommen, denn oben war ja von „grüne Haken überall“ die Rede :sweat_smile:

Jetzt habe ich noch zwei kleinere Probleme:

  • Wenn ich das Internet in der Schulkonsole für einen Schüler ausschalte, wird er zugespamt mit Anmeldeaufforderungen (getestet im Firefox). Ist das normal oder kann man das abschalten?
  • Ich hätte gerne unsere Schulhomepage frei zugänglich und habe sie deshalb im GPO als Ausnahme aufgeführt. Ergebnis: Die Seite ist jetzt gar nicht erreichbar. Angegeben habe ich einfach nur „domain.de“. Wo könnte hier das Problem liegen? Ach ja, öffentliche Domain ungleich interne.

Danke nochmal und viele Grüße

Lars

13

Und noch was: Die Proxy-Anmeldeaufforderung kommt bei deaktiviertem Internet jetzt auch, wenn ein MS-Office-Programm geöffnet wird (Office 2019). Hat das Problem noch jemand? Wie umgehen?

LG

Lars

14

Hallo,

Und noch was: Die Proxy-Anmeldeaufforderung kommt bei deaktiviertem
Internet jetzt auch, wenn ein MS-Office-Programm geöffnet wird (Office
2019). Hat das Problem noch jemand? Wie umgehen?

… da würde ich aber doch auch an Microsoft denken: also mal bei denen
anrufen und fragen:

  1. warum benötigt ein Officeprogramm beim Start Internet Zugang?
  2. wo schalte ich das ab?
  3. wenn wir schon mal dabei sind: was wird den da (bisher hinter meinem
    Rücken) eigentlich gemacht? Werden da Daten übertragen? Welche? Wohin?
    Warum?

LG

Holger

15

Hallo Lars,

zuerst einmal das Office per KMS oder Key aktivieren.
Dann unter Datei → Optionen → Trust Center → Einstellungen für das Trust Center → Datenschutzoptionen → Office Verbindungen mit dem …
Hier den Haken rausnehmen. Hab es aber nur unter einem Office 2016 angesehen. Bei Office 2019 kann das anders benannt sein.

Viel Erfolg
Christian

16

Der Browser will Daten aus dem Internet laden, z.B. Infos über seine Updates, …
Bei jedem Zugriff kommt eine Meldung. Ist halt so.

Kommt darauf an, wie das umgestzt ist und welcher DNS Server sich dafür zuständig fühlt. Da braucht man mehr Infos.

17

Hallo Holger,

das sind natürlich berechtigte Fragen. Da wir jedoch als Schule bewusst MS365 nutzen, würde mich Microsoft wohl eher auslachen, wenn ich nach Verbindungen in die Cloud frage. Auch die „Offline“-Versionen mutieren ja mehr und mehr zu Hybriden, die z. B. Vorlagen oder Piktogramme aus Online-Bibliotheken laden.

Mich interessiert, welche Erfahrungen und Lösungen andere Schulen da evtl. schon gefunden haben. Wäre aber vielleicht einen eigenen Thread wert.

Danke und Gruß

Lars

18

Hallo Christian,

Moment mal, das ist das Standardverhalten, wenn ein Schüler mit gesperrtem Internet einen Browser öffnet?? Im LMN 6 war es ja so, dass dann eine definierte Sperrseite der Firewall kam. Gibt es diese Möglichkeit nicht mehr? Was ist, wenn die Schüler im Internet sein dürfen - sprich, die Browser sind gewollt geöffnet - und dann schalte ich das Inet zeitweise ab - Alle Schüler sind dann wild am Klicken, um die hundertfachen Benutzerdaten-Eingabefenster wegzubekommen?!

Dann reduziere ich meine Frage auf den Punkt: Wo und wie lasse ich bestimmte Internetseiten bzw. -domains als Ausnahme für den Proxy zu? Läuft das über die GPO oder gibt es evtl. eine Möglichkeit in der Firewall?

Vielen Dank für alle Unterstützung und beste Grüße

Lars

19

Hallo Lars,

das sind natürlich berechtigte Fragen. Da wir jedoch als Schule bewusst
MS365 nutzen,

… hoppla.
Damit hatte ich nicht gerechnet.
In Baden Württemberg ist das verboten.

LG

Holger

20

Da möchte ich widersprechen. Der Einsatz ist nicht verboten sondern geduldet, lt. Schreiben vom RP aus dem Mai diesen Jahres ist „eine pauschale Untersagung … nicht möglich“. Konkret wartet man, ob sich jemand gegen den Einsatz beschwert und geht in diesem Fall auf die betroffene Schule zu, die dann entweder abschalten oder eine datenschutzkonforme Nutzung nachweisen muss. Wir bemühen uns proaktiv letzteres vorzubereiten und sehen uns auf einem guten Stand. Es ist ohnehin davon auszugehen (neuer Urteile), dass die Nutzung demnächst nicht mehr nur geduldet sondern offiziell wieder gestattet sein wird.

Edit: hier noch ein interessanter Link dazu: Wegweisendes Urteil: Behörden (Schulen) dürfen darauf vertrauen, wenn IT-Anbieter ihnen Datenschutz-Kompatibilität zusichern | News4teachers