WebProxy abschalten

Hej zusammen,
der WebProxy hat sich bei uns in den letzten Monaten nicht bewährt. Immer wieder kommen KuK, bei denen irgendwelche Webdienste nicht funktionieren… zum Beispiel unser eigenes Cryptpad :sob:.

Wir würden den WebProxy also gerne abschalten.
Wenn ich es zwischen den Zeilen richtig rauslese, haben das manche von euch schon gemacht…? Bevor ich das auch mache, wollte ich mich noch über das korrekte Vorgehen und die Konsequenzen rückversichern…

Ist es richtig, dass ich für eine Abschaltung in der OpnSense eigentlich nur folgende Änderungen vornehmen muss:

  • „Default deny“-Regel deaktivieren (1)
  • Stattdessen die „Default allow“-Regeln aktivieren (2) und (3)
  • Die dadurch unnötig gewordenen Regeln (4),(5) und (6) ggf. auch deaktivieren.

Vermutlich müsste ich noch im Linux-Client die Proxy-Umgebungsvariablen löschen oder überschreiben, oder? Wie mache ich das? Mit einem leeren String überschreiben?

Habe ich irgendwelche negativen Auswirkungen übersehen, die ohne Proxy auftreten werden?
Klar: Ich werde nicht mehr über die Schulkonsole benutzerbezogen das Internet sperren können - Der Wunsch danach war noch nie besonders groß.
Aber: Wird dann z.B. der Prüfungsmodus (bzw. die Internetsperre im Prüfungsmodus) noch funktionieren?

Bitte um Antwort (Danke!) und
viele Grüße
Michael

Hallo Michael,

Statt den Proxy abzuschalten würde ich eher für Lehrergeräte anhand der IP-Adresse direkten Internetzugang erlauben. Also durch Aufnahme in den OPNsense Alias „NoProxy“.

Deine Regel „6“ würde ich nicht deaktivieren, wenn Du z.B. in einer DMZ eine Nextcloud hast, welche den Radius Server der OPNsense nutzt. Ansonsten passt das so.

/etc/linuxmuster-client/adsso.conf

...
# leave proxy_url blank if you don't want to use any proxy
[proxy]
proxy_url = http://firewall.linuxmuster.lan:3128
proxy_profile = /etc/profile.d/linuxmuster-proxy.sh
proxy_template = /usr/share/linuxmuster-client-adsso/templates/linuxmuster-proxy.sh
...

oder:

unset http_proxy
unset https_proxy

Internetsperre im Prüfungsmodus wird nicht mehr funktionieren, da das über den Squid und die Zugehörigkeit zur Gruppe „internet“ geregelt wird.

Viele Grüße
Klaus

1 Like

Hallo Klaus,
vielen Dank für deine fundierte Antwort.

Wir haben auch gedacht, dass wir das so machen wollen. Aber das betrifft ja auch Dienste, die Schüler nutzen sollen. Immer wieder kamen KuK, mit einer „die Seite wird nicht geladen“-Meldung. Jedes mal hat der Dienst funktioniert, sobald wir den Rechner in die NoProxy-Gruppe genommen haben. Zuletzt war das eben unser eigenes Cryptpad. Aber auch der Informatik-Unterricht (gerade war ich beim Thema Netzwerke) macht halt weniger Spaß, wenn die SuS die Befehle nicht selbst durchführen können: nslookup gmx.net 8.8.8.8 usw. klappt halt über den Proxy nicht…

Ich habe jetzt einfach alle (!) Geräte in eine NoProxy-Gruppe geschrieben. Dazu habe ich einen weiteren Alias angelegt mit ganzen Netzwerken (ein Netzwerk entspricht einem Raum / einer Geräteklasse) statt mit einzelnen Hosts… und eine entsprechende Firewall-Regel.
So behalten wir den Überblick und bleiben flexibel, falls wir mal einen einzelnen Raum aus NoProxy entfernen wollen.

Oh ja, da ist der Zahlenbobbel verrutscht. Der wollte ich natürlich nicht in die Radius-Zeile, sondern in die darunter mit dem Servernetz…

So siehts bei mir nun aus:

Das scheint, als tut es das, was ich gerne hätte. Die problematischen Seiten funktionieren, die userbezogene Sperre über internet-Gruppe funktioniert auch weiterhin.
Und, heissa!, der Echotest in BBB erscheint nach der Hälfte der Zeit…

Also: Danke nochmal… ich mach das jetzt erstmal so.
Grüße
Michael

Hallo Michael,

schön, wenn Du eine Lösung für Dich gefunden hast!
Ich möchte nur noch anmerken, daß die Internetsperre dann nur solange funktioniert, bis ein User den Proxy in den Systemeinstellungen/Browser deaktiviert.

Viele Grüße
Klaus

Hej Klaus,
schreib das doch nicht so laut :wink:

Nein im Ernst. Das ist mir klar. Ist halt 'ne Abwägung: Nicht immer funktionierende Webdienste vs. nicht immer funktionierende Internetsperre.

Jetzt haben wir einige Klagen über Ersteres bekommen - Jetzt probieren wir es halt mal mit Letzterem. :upside_down_face:

Vielen lieben Dank nochmal für die Anregungen.
Grüße
Michael