Proxy einrichten um Internet zu regeln

Hallo Klaus,

ich komme immer noch nicht klar damit, und wenn ich mir so ein paar der letzten Foren-Beiträge durchlese, bin ich da nicht der einzige.

Ja, SSO funktioniert, keytab ist generiert und alle Haken grün.

Mir ist noch aufgefallen, dass unter Web-Proxy: Verwaltung → Weiterleitungsproxy als SSL Proxy-Port 3129 eingetragen ist. Müsste das nicht auch 3128 sein? Zumindest enthält die Regel „Allow Web Proxy Access“ nur den Port 3128.

Außerdem bin ich mir unsicher, ob ich die Regel für den Web-Proxy-Zugriff richtig nachgebildet habe. Sieht im Moment wie folgt aus:


Wäre nett, wenn du (oder jemand anders) da nochmal drüberschauen könnte.

Danke und Gruß

Lars

Hallo Lars,

Das stört nicht, solange Du SSL Inspection nicht auch nutzen möchtest. D.h. Aktiviere SSL-Untersuchung ist nicht aktiviert.

Sieht richtig aus. Muß halt von der Reihenfolge her vor einer „Deny all“ Regel stehen, so daß diese auch greift.

Viele Grüße
Klaus

Hallo Lars,

führe auf dem Server den Befehl

sudo linuxmuster-opnsense-reset 

aus. Dann werden die Firewall-Regeln und die SSO neu eingerichtet und du hast den Stand nach einer Neuinstallation.

Einrichtung von Proxy per GPO für den Benutzer:
Gruppenrichtlinieneditor starten und neue GPO erstellen.
Benutzerkonfiguration → Einstellungen → Systemsteuerungseinstellungen → Interneteinstellungen → Neu → Internet Explorer 10 → Dann im Reiter Verbindungen die Lan-Einstellungen öffnen.

Im Reiter „Einstellungen für lokales Netzwerk“ sind einige Felder grün unterstrichen und andere Felder (z.B. Adresse) sind rot unterstrichen. Grün bedeutet, dass diese Felder aktiviert sind. Rot bedeutet, dass dieses Feld eventuell konfiguriert ist (z.B. 111.222.333.444) aber noch nicht aktiviert wurde und daher die Einstellung nicht auf die Clients übertragen wird. Um ein rotes Feld zu aktivieren ist dieses zu markieren (Mauszeiger rein) und dann muss F6 gedrückt werden. Mit F7 wird das Feld deaktiviert. Mit F5 werden alle Felder des aktiven Reiters aktiviert.

grafik

Das Feld „Adresse“ und „Proxyserver für …“ sind nicht aktiv. Die Werte werden nicht auf die Clients übertragen!

Hier als Proxyserver z. B. „firewall.linuxmuster.lan“ mit Port „3128“ eintragen und die restlichen Einstellungen vornehmen.

Dann:
Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → Internet Explorer → Änderung der Proxyeinstellungen verhindern → Aktiviert

Wenn es dann nicht funktioniert, solltest du die Zeit prüfen.

Viel Erfolg
Christian

Hallo Christian,

vielen Dank für deine ausführliche Antwort. Habe den reset durchgeführt. Das funktioniert bis auf die Erstellung der Keytab:

#### Failed to create new kerberos key table. See opnsense-reset.log for details. ####

Das liegt vermutlich daran, dass standardmäßig der lokale DNS-Dienst als Nameserver erlaubt ist (Haken bei System → Einstellungen → Allgemein ist nach reset nicht gesetzt).

Das manuelle Erzeugen der Keytab funktioniert, wirft aber unterwegs folgende Fehler:

Error: another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall.linuxmuster.lan
Error: ldap_add_principal failed
 -- ldap_add_principal: Checking that adding principal host/firewall to FIREWALL-K$ won't cause a conflict
Error: another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall
Error: ldap_add_principal failed

Ich weiß nicht, ob das etwas zu bedeuten hat.

Was mir noch aufgefallen ist: In der Firewall unter System → Zugang → Prüfer funktioniert nur die Prüfung für Lehrer, Schülerbenutzer werden nicht gefunden:

Die folgenden Eingabefehler wurden entdeckt:
Authentifizierung fehlgeschlagen.
error: User DN not found

Ich habe nach dem Reset insofern eine Änderung, dass nun niemand mehr ins Internet kommt, wenn die Regel „Allow entire LAN“ deaktiviert ist, egal ob Lehrer oder Schüler.

Ich habe wegen der Zeit nochmal geschaut. Wir haben zwar aktuell zwar tatsächlich nicht die Linuxmuster als Zeitserver drin sondern das BIOS, die Zeit stimmt aber trotzdem bis auf ca. 1/2 Min. Kann das trotzdem eine Ursache sein?

Dankbar für weitere Hilfe und viele Grüße

Lars

Hallo Lars,

Der Haken darf nicht gesetzt sein. Das soll so aussehen:

Unter Dienste → Web-Proxy → Einmalige Anmeldung → Kerberos Authentifizierung sieht es dann so aus:

Das mit dem DNS-Server passt!!!
Da dann als global-admin eine neue Schlüsseltabelle erstellen.

Viel Erfolg
Christian

Hallo Christian,

da lag der Hund begraben. Muss man aber auch erst mal drauf kommen, denn oben war ja von „grüne Haken überall“ die Rede :sweat_smile:

Jetzt habe ich noch zwei kleinere Probleme:

  • Wenn ich das Internet in der Schulkonsole für einen Schüler ausschalte, wird er zugespamt mit Anmeldeaufforderungen (getestet im Firefox). Ist das normal oder kann man das abschalten?
  • Ich hätte gerne unsere Schulhomepage frei zugänglich und habe sie deshalb im GPO als Ausnahme aufgeführt. Ergebnis: Die Seite ist jetzt gar nicht erreichbar. Angegeben habe ich einfach nur „domain.de“. Wo könnte hier das Problem liegen? Ach ja, öffentliche Domain ungleich interne.

Danke nochmal und viele Grüße

Lars

Und noch was: Die Proxy-Anmeldeaufforderung kommt bei deaktiviertem Internet jetzt auch, wenn ein MS-Office-Programm geöffnet wird (Office 2019). Hat das Problem noch jemand? Wie umgehen?

LG

Lars

Hallo,

Und noch was: Die Proxy-Anmeldeaufforderung kommt bei deaktiviertem
Internet jetzt auch, wenn ein MS-Office-Programm geöffnet wird (Office
2019). Hat das Problem noch jemand? Wie umgehen?

… da würde ich aber doch auch an Microsoft denken: also mal bei denen
anrufen und fragen:

  1. warum benötigt ein Officeprogramm beim Start Internet Zugang?
  2. wo schalte ich das ab?
  3. wenn wir schon mal dabei sind: was wird den da (bisher hinter meinem
    Rücken) eigentlich gemacht? Werden da Daten übertragen? Welche? Wohin?
    Warum?

LG

Holger

Hallo Lars,

zuerst einmal das Office per KMS oder Key aktivieren.
Dann unter Datei → Optionen → Trust Center → Einstellungen für das Trust Center → Datenschutzoptionen → Office Verbindungen mit dem …
Hier den Haken rausnehmen. Hab es aber nur unter einem Office 2016 angesehen. Bei Office 2019 kann das anders benannt sein.

Viel Erfolg
Christian

Der Browser will Daten aus dem Internet laden, z.B. Infos über seine Updates, …
Bei jedem Zugriff kommt eine Meldung. Ist halt so.

Kommt darauf an, wie das umgestzt ist und welcher DNS Server sich dafür zuständig fühlt. Da braucht man mehr Infos.

Hallo Holger,

das sind natürlich berechtigte Fragen. Da wir jedoch als Schule bewusst MS365 nutzen, würde mich Microsoft wohl eher auslachen, wenn ich nach Verbindungen in die Cloud frage. Auch die „Offline“-Versionen mutieren ja mehr und mehr zu Hybriden, die z. B. Vorlagen oder Piktogramme aus Online-Bibliotheken laden.

Mich interessiert, welche Erfahrungen und Lösungen andere Schulen da evtl. schon gefunden haben. Wäre aber vielleicht einen eigenen Thread wert.

Danke und Gruß

Lars

Hallo Christian,

Moment mal, das ist das Standardverhalten, wenn ein Schüler mit gesperrtem Internet einen Browser öffnet?? Im LMN 6 war es ja so, dass dann eine definierte Sperrseite der Firewall kam. Gibt es diese Möglichkeit nicht mehr? Was ist, wenn die Schüler im Internet sein dürfen - sprich, die Browser sind gewollt geöffnet - und dann schalte ich das Inet zeitweise ab - Alle Schüler sind dann wild am Klicken, um die hundertfachen Benutzerdaten-Eingabefenster wegzubekommen?!

Dann reduziere ich meine Frage auf den Punkt: Wo und wie lasse ich bestimmte Internetseiten bzw. -domains als Ausnahme für den Proxy zu? Läuft das über die GPO oder gibt es evtl. eine Möglichkeit in der Firewall?

Vielen Dank für alle Unterstützung und beste Grüße

Lars

Hallo Lars,

das sind natürlich berechtigte Fragen. Da wir jedoch als Schule bewusst
MS365 nutzen,

… hoppla.
Damit hatte ich nicht gerechnet.
In Baden Württemberg ist das verboten.

LG

Holger

Da möchte ich widersprechen. Der Einsatz ist nicht verboten sondern geduldet, lt. Schreiben vom RP aus dem Mai diesen Jahres ist „eine pauschale Untersagung … nicht möglich“. Konkret wartet man, ob sich jemand gegen den Einsatz beschwert und geht in diesem Fall auf die betroffene Schule zu, die dann entweder abschalten oder eine datenschutzkonforme Nutzung nachweisen muss. Wir bemühen uns proaktiv letzteres vorzubereiten und sehen uns auf einem guten Stand. Es ist ohnehin davon auszugehen (neuer Urteile), dass die Nutzung demnächst nicht mehr nur geduldet sondern offiziell wieder gestattet sein wird.

Edit: hier noch ein interessanter Link dazu: Wegweisendes Urteil: Behörden (Schulen) dürfen darauf vertrauen, wenn IT-Anbieter ihnen Datenschutz-Kompatibilität zusichern | News4teachers

Hallo zusammen
das Wort „dulden“ wird hier benutzt und mannigfaltig interpretiert.
Ich interpretiere es wie folgt: „Es ist verboten aber es wird vom LfdD nicht verfolgt.“
Das kennen wir vom Eigenbadarf bei Hasch.
Sollte Hasch legalisiert werden werde ich es auch sofort im Unterricht einsetzen. :wink: Denn dann ist es ja nicht mehr bedenklich.
Grüße Rainer

Hallo Lars!

Es scheint grundsätzlich möglich zu sein MS365 datenschutzrechtlich korrekt einzusetzen.
Der LfDI von B-W hat es gemeinsam mit Microsoft aber nicht hinbekommen, dies tatsächlich zu realisieren. Deswegen werden Schulen in B-W aufgefordert dies nachzuweisen, wenn sie es betreiben wollen.
Wenn ihr das bei euch in der Schule hinbekommen habt, wäre das bestimmt auch für andere interessant.

Manche Schulen warten bisher nur ab und hoffen, dass sich niemand beschwert (Eine Beschwerde, dass vereidigte Landesbeamte Grundrechte ihrer Schutzbefohlenen missachten.). Dann wird vermutlich auch das Urteil des OLG nicht viel helfen. Dort steht zu lesen „Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen“. Und sind die missglückten Versuche des LfDI nicht genau diese Anhaltspunkte?! Und die Prüfung führt zum Nachweis, den der LfDI fordert.

Und wenn es eine Lösung für dieses Problem geben sollte, bin ich persönlich nicht daran interessiert. Ich möchte meine Schülerinnen und Schüler nicht auf ein Produkt konditionieren, das sie später käuflich erwerben müssen. Die Auswirkungen sehe ich viel zu häufig an den (psychischen) Abhängigkeiten mancher Kollegen von einzelnen Softwareprodukten. Da ist für mich auch zusätzliche Arbeit gut investierte Zeit.

Gruß - Rainer

Hallo zusammen,

das Thema ist sicherlich diskussionswürdig, aber ich wollte das hier gar nicht anstoßen und kann auch nicht die Entscheidung unserer Schule zur Debatte stellen.

Mich interessiert immer noch brennend, ob die aktuelle Proxy-Lösung zwingend Popup-Fenster produziert, sobald bei gesperrtem Internet ein Dienst versucht, nach draussen zu kommen.

Viele Grüße

Lars

Hallo,

falls man die Domains/IPs für Microsoft365 whitelisten will, dokumentiert Microsoft diese auf Office 365-URLs und -IP-Adressbereiche - Microsoft 365 Enterprise | Microsoft Learn.

MfG Buster

Hallo Lars,

Da möchte ich widersprechen. Der Einsatz ist nicht verboten sondern
geduldet, lt. Schreiben vom RP aus dem Mai diesen Jahres ist „eine
pauschale Untersagung … nicht möglich“.

… ok: ich formuliere exakter:
trotz eines 6 Monatigen Schulversuchs mit mehreren Berufsschulen, bei
dem der LFDI von BW mit seinem Team in ZUsammenarbeit mit Microsoft
Deutschland versucht hat ein datenschutzkonformes Betreiben von Office
365 in Deutschland zu erreichen ist dies nicht gelungen.
Wer dem LFDI damals genau zugehöt hat hat auch rausgefunden, woran das lag.
Microsoft Deutschland hat die Probleme verstanden, konnte aber kein
Einlenken bei Microsoft USA erreichen.

Ich habe natürlich nicht damit gerechnet, dass eure Schule das
hinbekommt … sorry: mein Fehler.

Konkret wartet man, ob sich
jemand gegen den Einsatz beschwert und geht in diesem Fall auf die
betroffene Schule zu, die dann entweder abschalten oder eine
datenschutzkonforme Nutzung nachweisen muss. > Wir bemühen uns proaktiv
letzteres vorzubereiten und sehen uns auf einem guten Stand. Es ist
ohnehin davon auszugehen (neuer Urteile), dass die Nutzung demnächst
nicht mehr nur geduldet sondern offiziell wieder gestattet sein wird.

Edit: hier noch ein interessanter Link dazu: Wegweisendes Urteil:
Behörden (Schulen) dürfen darauf vertrauen, wenn IT-Anbieter ihnen
Datenschutz-Kompatibilität zusichern | News4teachers
https://www.news4teachers.de/2022/09/wegweisendes-urteil-behoerden-schulen-duerfen-darauf-vertrauen-wenn-it-anbieter-ihnen-datenschutz-kompatibilitaet-zusichern/

hört man seit Jahrzehnten immer wieder.
Ist die gleiche Leier wie:
SafeHarbour ist sicher!
oder
PrivacyShield ist jetzt die Rettung.
gerade aktuell: PrivacyShield 2 wird gaaaanz super.

Ach ja: wo wir gerade dabei sind:
Atomkraft erzeugt klimaneutralen und günstig Strom ohne Gefahr und
Folgekosten… liest man auch immer wieder: muss also stimmen :slight_smile:

Ich wünsch euch viel Glück (mein ich ernst und nicht polemisch).

Viele Grüße

Holger

Hallo Lars,

Ja, das scheint der aktuelle Stand zu sein.

Im Proxy auf alle Fälle *.deinedomain.lan eintragen.
Ansonsten hat @garblixa im Wiki eine Möglichkeit im Eintrag OPNsense Squid Web-Proxy unter „ACL Whitelist/Blacklist generell (optional)“ gut dargestellt.

Hat nicht direkt etwas mit dem Proxy zu tun, aber vermutlich ist die Zeitsynchronisation für Windows auf deinem Server noch kaputt.
Beachte dazu meinen Beitrag in Systemzeit Windows client.

Viel Erfolg
Christian