Proxy-verwendung und -debugging unklar

Server v7 v7-Betatest
1

Servus,

auch folgendes haben wir gestern festgestellt: Wir haben den Client installiert, danach zwar erst das SSO auf der Firewall erfolgreich gemacht.
Danach funktioniert der Internetzugang für den Firefox ohne dass man die Proxydaten eingeben muss.
Allerdings funktioniert ein einfaches:

wget heise.de

nicht. Ebenso funktioniert auch kein sudo apt update. Beides mal mit „40x proxy authentication needed“ oder so ähnlich.

VG, Tobias

2

Hallo Tobias,

auch folgendes haben wir gestern festgestellt: Wir haben den Client
installiert, danach zwar erst das SSO auf der Firewall erfolgreich gemacht.
Danach funktioniert der Internetzugang für den Firefox ohne dass man die
Proxydaten eingeben muss.
Allerdings funktioniert ein einfaches:

wget heise.de|

/nicht/. Ebenso funktioniert auch kein |sudo apt update|. Beides mal mit
„40x proxy authentication needed“ oder so ähnlich.

du mußt, wenn der client nichtin noproxy stehe, der consolen Anwendung,
die ins Internet will, natürlich auch den Proxy mitgeben: mit aut
credentials nehme ich an.

LG

Holger

3

folgendes habe ich über das support formular an euch geschickt. Ging irgendwie ohne Recaptcha, das nicht angezeigt wurde. :person_shrugging:

Hi Holger, Alois,

ich würde gerne mal mit euch heute mittag den KA-Modus hinkriegen.

  • Wir haben subnetze für die PC-Räume, daher könnte das einfach sein, ohne den Betrieb zu stören.
  • Betrieb ist bei uns = alle auf noProxy, alle kommen immer ins Internet. Mit „alle“ sind einzelne PCs in Klassenzimmern gemeint, nicht die mobilen Geräte, die sowieso keine Beschränkung haben.
  • ich denke, ich brauche „nur“ irgendwie den Proxy in den linuxclients zu aktivieren, SSO, Kerberos, davon hab ich keine Ahnung. vermutlich ist es nur eine Variable zu setzen…

VG, Tobias

4

Hallo,

Tobias hat bei mir angerufen (Supporthotline) und wir konnten die Fragen klären (denke ich … ).

Folgendes haben wir gemacht:

  1. geklärt, was er will: er will in Zukunft wieder alles über den Proxy leiten.
  2. Einrichten des Proxys: so wie es hier beschrieben ist (SingleSign On aktivieren):
    Setup und Inbetriebnahme des Systems · linuxmuster/linuxmuster-base7 Wiki · GitHub
  3. keytab im Proxy gelöscht und wieder erstellt mit global-admin Credentials (Geduld! … das dauert …)
  4. Systemzeiten geprüft: vor allem, ob sie auch gesynct werden: OPNsense, server und Clientimage
  5. DNS Auflösung geprüft: also in der OPNsense unter System->Eintellungene->Allgemein den Server als ersten DNS eingetragen und den Externen (oder die) als zweiten(dritten)
  6. am Client den Systemproxy wieder auf die Firewall gesetzt Port 3128 (alle Protokolle)
  7. systemzeitsync am Cleint geprüft/Eingerichtet
  8. getestet: sah soweit ganz gut aus :slight_smile:

Viele Grüße

Holger

5

Hi zusammen,

danke! Holger, du bist - wie immer - ein Stern im Supporthimmel.
(weitere metaphorische Vergleiche haben immer gleich Konnotationen, die ich nicht mag: Bombe, Granate, Formel 1)

ich korrigiere nur das, was Stand der Dinge jetzt funktioniert:

  1. ich will und wollte nicht alle PCs über den Proxy leiten, sondern nur die in den PC-Räumen und das ist mir auch gelungen: Klassenzimmer, Lehrerzimmer, Displays, Beratungszimmer sind so stationen, wo ich kein Bock auf Ärger habe, wenn die nicht ins internet kommen, daher sind die in der noProxy-Liste drin. Das ging z.B. als weitere Regel „NoProxyOhnePCRaeume“ und ihr könnt erkennen, dass dank Segmentierung da nur netzwerke drin sind, keine expliziten Hosts.

image
image1042×305 46.4 KB

  1. im Bild auch als zweitens markiert: ich hatte „Allow entire LAN“ aktiviert, habe ich deaktiviert
  2. ich habe da eine Regel drin, dass „Default deny LAN“ ins WAN drin ist. Ist nicht klar, ob das sein muss, habs nicht ohne getestet. Holger hatte das nicht bei sich. D.h. vllt. ist der Standard „deny“ irgendwo aktiviert, konnte ich aber nicht nachvollziehen.
  3. Ich ergänze Holger nur noch hier: Zugriffsrechte im Netzwerk — linuxmuster.net latest Dokumentation die aktuelle Doku zum Allgemeinen Zugriff. Dort könnte tatsächlich die Doku erweitert werden (gell, Tobias?)
  4. KLeinere unstimmigkeiten waren liegen geblieben „solange es funktioniert“, z.B. den Punkt 5. „DNS Auflösung“. Dort stellen wir LMN-Leute wohl den LMN-Server als ersten DNS-Server ein… Ich weiß jetzt auch so ungefähr, warum ich das nicht hatte: weil bei einem Ausfall des Servers auch im WLAN gar nix mehr ging. Und da hatte bei mir schon mal gereicht, dass der Server zu langsam gebootet hatte (im Vergleich zur OpnSense), der kam dann irgendwann hoch, aber die OpnSense hatte dann schon DNS-Probleme, die dann andere auch hatten. Das ist zwar ein „long tail“ race problem, aber ich bin immernoch der Meinung, es sollte nochmal klar dokumentiert werden, wie die DNS-Auflösung (und die Zeitsynchronisation) von Client über Server und Firewall bis hin zu DMZ-Servern funktionieren soll.
  5. Ich habe noch diese Doku gefunden und verwendet: Linux-Client — linuxmuster.net latest Dokumentation und tatsächlich: es tut genauso auch bei meinem MATE-Windowmanager. Ich bin ja der Meinung, dass das gsettings nicht unbedingt nötig wäre, sondern Umgebungsvariablen reichen sollten, aber das hängt vermutlich von der Endanwendung ab, ob ein Proxy verwendet wird, oder nicht, wenn nur die Umgebungsvariable gesetzt ist oder zusätzlich noch irgendeine mate/gnome/kde-einstellung.

Letzter Ärger, den ich habe: Ich mag die Einstellung über „logon.sh“ nicht, weil die für alle Clients gilt, ich aber ja nicht alle clients über den Proxy laufen lassen will und genau für diese (die den Proxy nicht brauchen) braucht jetzt das Anmelden um die 15 Sekunden länger als vorher. Vermutlich, weil doch irgendwas über den Proxy gecheckt wird, was auch möglich ist, aber nicht nötig ist. Daher bleibt eine letzte Frage:

  • gibt es die logon.sh, die unter default-school/custom/linux/ liegt auch irgendwie kategorisiert nach LINBO-Patchgruppe oder LINBO-Hostgruppe (jammy), Räumen (r302) oder nach Hostnamen ? Klar, kann ich das in der logon.sh irgendwie aufsplitten, wenn ich will.
  • wenn nicht, ich würde das dann aber eher über postsync und die kategorisierung nach Räumen unter /srv/linbo/linuxmuster-client/jammy/[common|r302|r219...] machen, das ist doch ziemlich flexibel. Dann kriegen nur die Räume proxy-Konfigurationen, die das brauchen, die anderen nicht.

Firefox Proxy-Konfiguration per Postsync

Ich mach das übrigens schon beim Firefox:
/srv/linbo/linuxmuster-client/hostgruppe/common/home/linuxadmin/.mozilla/firefox/2342j345kj2.default-1619337982896/user.js bekommt die Zeilen:

user_pref("browser.startup.homepage", "https://moodle.meineschule.de/moodle");
user_pref("network.proxy.no_proxies_on", "10.16.0.0/12, .server.lan, server");
user_pref("network.proxy.type", 0);

wobei die „0“ für „Verwende keinen Proxy“ steht.
und
...hostgruppe/r302/home/linuxadmin/.mozilla/firefox/2342j345kj2.default-1619337982896/user.js bekommt die Zeilen:

user_pref("browser.startup.homepage", "https://moodle.meineschule.de/moodle");
user_pref("network.proxy.no_proxies_on", "10.16.0.0/12, .server.lan, server");
user_pref("network.proxy.type", 5);

wobei die „5“ für „Verwende den Proxy des Systems“ steht.
Habe etwas länger gebraucht die „5“ herauszufinden, weil nach der Konfiguration der Firefox die Zeile für den Fall „proxy des Systems“ die Zeile einfach rausnimmt und das somit der Standard darstellt (meine Schlussfolgerung). Aber per „5“ in user.js schnallt der Firefox das auch, wenn bereits „0“ z.B. im Image des Clients (in prefs.js) drinsteht.

VG, Tobias

1 „Gefällt mir“
6

Du kannst in der logon.sh einfach die Gruppe, hostnamen etc. Über die entsprechenden Variablen abfragen. Machst einfach ein „Wenn Raum X dann setze proxy“.

Variablen sind im Linux Client erklärt zB. hier Hook scripts · linuxmuster/linuxmuster-linuxclient7 Wiki · GitHub

du suchst nach $Computer_SambaAttribut

2 „Gefällt mir“