22
Cloudflare und pfsense?
Hallo zusammen,
vielleicht kann mich jemand erleuchten.
Ich habe hier ein kleines Projekt für eine Schule.
Zuvor eingerichtet war:
Schüler-PCs waren per hosts-Datei vom Internet abgeschnitten, also nur drei benötigte Seiten mit ihren IPs waren eingetragen.
Das hat lange gut funktioniert, bis die zentrale Schulverwaltung beschlossen hat "die Welt besser zu machen".
Leider hat man nicht beim Hintergrundsystem angefangen - um erstmal Silverlight abzulösen.
Es gab also mit der hosts-Datei Probleme die Seite zu erreichen und nach erster Diagnose nun einen IP-Range um die Seite anzusteuern.
Der Versuch die Freigaben über die Kindersicherung der vorhandenen Fritz!Box zu lösen funktionierte nicht, die PCs haben die Box dermaßen bombardiert, dass von der gar nichts mehr zurückkam.
Also war die Idee geboren die PCs hinter einer kleinen pfsense zu verschanzen und über Aliase nur die erlaubten Seiten einzutragen.
Dies klappt grundlegend, bei der Analyse der Freigaben fand ich dann Hinweise auf Cloudflare und erweiterte die zugelassenen Bereiche um deren IP-Ranges: https://www.cloudflare.com/ips/
Hinzu kamen die offiziell benötigten IP-Adressen der Hintergrundserver und die öffentlichen DNS Adressen.
Leider fehlt in bestechender Regelmäßigkeit (meist im IE11 - der wegen Silverlight benötigt wird), das Loginfenster auf der Seite: https://www.los.de/lrs-software
Mal ist es da, mal nicht, mal verschwindet es wenn man die Seite aktualisiert, mal lädt die Seite ewig bis es erscheint oder eben nicht erscheint.
Der Zustand ist nicht konsistent, laut der zentralen Entwicklung sind die Restriktionen "zu streng" und es läge an den "ständig wechselnden IPs".
Ändern könne man das nicht, da alles funktioniert wenn man das Internet vollständig geöffnet hat.
Das Logging der pfsense gibt leider auch nicht viel Aufschluss, zu meist wird mit dem Hintergrundserver der Seite kommuniziert und dann kommt spontan von dort einfach keine Antwort mehr an den Client zurück.
Hat schon mal jemand solch phänomenales Konstrukt gehabt?
Sinnvolle Alternativen um jeglichen Traffic zu blocken?
Die PCs sind leider alle uralt, ist zwar schon Windows 10 drauf, aber die sind sehr schnell mit ihren alten HDDs mit allem überfordert was das offene Internet so mit ihnen veranstaltet.
Grüße
ToWa
vielleicht kann mich jemand erleuchten.
Ich habe hier ein kleines Projekt für eine Schule.
Zuvor eingerichtet war:
Schüler-PCs waren per hosts-Datei vom Internet abgeschnitten, also nur drei benötigte Seiten mit ihren IPs waren eingetragen.
Das hat lange gut funktioniert, bis die zentrale Schulverwaltung beschlossen hat "die Welt besser zu machen".
Leider hat man nicht beim Hintergrundsystem angefangen - um erstmal Silverlight abzulösen.
Es gab also mit der hosts-Datei Probleme die Seite zu erreichen und nach erster Diagnose nun einen IP-Range um die Seite anzusteuern.
Der Versuch die Freigaben über die Kindersicherung der vorhandenen Fritz!Box zu lösen funktionierte nicht, die PCs haben die Box dermaßen bombardiert, dass von der gar nichts mehr zurückkam.
Also war die Idee geboren die PCs hinter einer kleinen pfsense zu verschanzen und über Aliase nur die erlaubten Seiten einzutragen.
Dies klappt grundlegend, bei der Analyse der Freigaben fand ich dann Hinweise auf Cloudflare und erweiterte die zugelassenen Bereiche um deren IP-Ranges: https://www.cloudflare.com/ips/
Hinzu kamen die offiziell benötigten IP-Adressen der Hintergrundserver und die öffentlichen DNS Adressen.
Leider fehlt in bestechender Regelmäßigkeit (meist im IE11 - der wegen Silverlight benötigt wird), das Loginfenster auf der Seite: https://www.los.de/lrs-software
Mal ist es da, mal nicht, mal verschwindet es wenn man die Seite aktualisiert, mal lädt die Seite ewig bis es erscheint oder eben nicht erscheint.
Der Zustand ist nicht konsistent, laut der zentralen Entwicklung sind die Restriktionen "zu streng" und es läge an den "ständig wechselnden IPs".
Ändern könne man das nicht, da alles funktioniert wenn man das Internet vollständig geöffnet hat.
Das Logging der pfsense gibt leider auch nicht viel Aufschluss, zu meist wird mit dem Hintergrundserver der Seite kommuniziert und dann kommt spontan von dort einfach keine Antwort mehr an den Client zurück.
Hat schon mal jemand solch phänomenales Konstrukt gehabt?
Sinnvolle Alternativen um jeglichen Traffic zu blocken?
Die PCs sind leider alle uralt, ist zwar schon Windows 10 drauf, aber die sind sehr schnell mit ihren alten HDDs mit allem überfordert was das offene Internet so mit ihnen veranstaltet.
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4723065349
Url: https://administrator.de/contentid/4723065349
Printed on: May 9, 2024 at 07:05 o'clock
22 Comments
Latest comment
Moin,
mir ist nach zwei Stunden immer noch nicht klar, was du mit der pfSense (und mit Cloudflare) erreichen möchtest. Evtl. liest du deinen Text selbst nochmals und fragst dich anschließend, ob du es verstehst.
Gruß,
Dani
mir ist nach zwei Stunden immer noch nicht klar, was du mit der pfSense (und mit Cloudflare) erreichen möchtest. Evtl. liest du deinen Text selbst nochmals und fragst dich anschließend, ob du es verstehst.
Gruß,
Dani
1
Also für mich klingt das nach einem Klassenzimmer, dessen Rechner nur auf die Webseiten zugreifen dürfen, die in einer zentral gepflegten Whitelist aufgeführt sind. Alles andere soll verhindert werden, und ist damit geblockt.
Eine einfache Lösung dafür ist z.B. lokal Pi-Hole aufsetzen und das entsprechend konfigurieren. Dann nur noch in allen Clients den Pi-Hole fest als DNS-Server eintragen, fertig.
pfSense kann das natürlich auch, und noch viel mehr. Das Prinzip ist aber in pfSense dasselbe.
Das Problem an dem Ansatz ist nur, dass moderne Webseiten oft so viele externe Abhängigkeiten haben, dass man sich mit sowas das kaputt schießt.
Alternativ kann man in PiHole als auch Pfsense spezielle Blocklisten reinladen, die die bekanntesten nicht jugendfreien Webseiten blocken.
Eine einfache Lösung dafür ist z.B. lokal Pi-Hole aufsetzen und das entsprechend konfigurieren. Dann nur noch in allen Clients den Pi-Hole fest als DNS-Server eintragen, fertig.
pfSense kann das natürlich auch, und noch viel mehr. Das Prinzip ist aber in pfSense dasselbe.
Das Problem an dem Ansatz ist nur, dass moderne Webseiten oft so viele externe Abhängigkeiten haben, dass man sich mit sowas das kaputt schießt.
Alternativ kann man in PiHole als auch Pfsense spezielle Blocklisten reinladen, die die bekanntesten nicht jugendfreien Webseiten blocken.
1
Salut,
ja, es ist alles ein wenig wirr, aber genauso sieht es bei mir im Kopf aktuell aus.
Gentooist hat das schon genau richtig erfasst.
Das Konstrukt, was aber eben nur an dieser einen Stelle (dem Loginfenster) nicht funktioniert schaut so aus (hier mal von meinem virtuellen Testsystem):
Entsprechend sind nur die zugeordneten Seiten Firewall -> Aliases erlaubt, der Rest steht auf HOLD.
Grundsätzlich klappt das super, bspw. sind darin die Seiten dict.cc oder rechtschreibtest.de enthalten, das läuft.
Die Hauptseite www.los.de funktioniert ebenfalls tadellos.
Es hakt eben nur an dem Loginfenster, was von einem (mir bekannten und freigegebenen) Backgroundserver abgerufen werden müsste.
@Gentooist
Jap, die Blocklisten kenne ich pfBlockerNG bspw. nutze ich selbst.
Es ist aber zumindest in meiner bisherigen Theorie deutlich einfacher 3 Seiten freizugeben, anstatt alles zu blocken was einem irgendwie einfällt.
Grüße
ja, es ist alles ein wenig wirr, aber genauso sieht es bei mir im Kopf aktuell aus.
Gentooist hat das schon genau richtig erfasst.
Das Konstrukt, was aber eben nur an dieser einen Stelle (dem Loginfenster) nicht funktioniert schaut so aus (hier mal von meinem virtuellen Testsystem):
Entsprechend sind nur die zugeordneten Seiten Firewall -> Aliases erlaubt, der Rest steht auf HOLD.
Grundsätzlich klappt das super, bspw. sind darin die Seiten dict.cc oder rechtschreibtest.de enthalten, das läuft.
Die Hauptseite www.los.de funktioniert ebenfalls tadellos.
Es hakt eben nur an dem Loginfenster, was von einem (mir bekannten und freigegebenen) Backgroundserver abgerufen werden müsste.
@Gentooist
Jap, die Blocklisten kenne ich pfBlockerNG bspw. nutze ich selbst.
Es ist aber zumindest in meiner bisherigen Theorie deutlich einfacher 3 Seiten freizugeben, anstatt alles zu blocken was einem irgendwie einfällt.
Grüße
Dein Regelwerk ist auch etwas unlogisch...
Richtig ist das du mit Aliases arbeitest was das Management vereinfacht. Das kannst du übrigens auch für die Ports machen was das Regelwerk dann noch übersichtlicher macht.
Völlig unlogisch sind aber 4 Regeln in dem gesamten Port Regelwerk.
Es gelten ja immer 3 Grundregeln:
Demnach sind folgende Auffälligkeiten da zu sehen:
Die 2 letzten Regeln führen das gesamte Regelwerk dann so oder so ad absurdum denn dann würde auch eine schlichte "Allow IPv4/v6 Intranet nach Any" auf diesem Interface reichen.
Bzw. da die gesamte Blocking Regel noch davor steht könnte man auch diese 3 letzten Regeln komplett löschen da sie sinnfrei sind.
Relevant sind lediglich die ersten 6 Regeln die überflüssige Regel des internen Traffics schon weggedacht.
Wenn es sich, wie der Kollege @gentoist oben beschreibt, um eine sinnvolle Whitelist handeln soll, dann ist es das obige Regelwerk in der Form natürlich nicht!
Im Falle des TO das man den genauen Traffic Flow auf den Silverlight Server nicht kennt würde man doch idealerweise immer strategisch vorgehen und sich diesen Traffic entweder über die Paket Capture Funktion der Firewall im Diagnostics Menü selber oder mit einem Test Client PC und darauf aktivem Wireshark im Intranet Segment einmal genau anzusehen.
Im Paket Capture filtert man dann einfach nur auf die Client IP. In beiden Fällen erhält man einen sehr genauen Paket Trace der explizit die externen abgefragten IP Adressen und die verwendeten Ports des Login Prozesses (und auch allem anderen) anzeigt.
Damit hat man dann wiederum eine sehr genaue Blaupause für ein sauber funktionierendes Regelwerk an der Firewall.
Versteht man deine Intention des Regelwerkes richtig ist das obige eher große Frickelei als das es das richtig umsetzt was du vorhast.
Richtig ist das du mit Aliases arbeitest was das Management vereinfacht. Das kannst du übrigens auch für die Ports machen was das Regelwerk dann noch übersichtlicher macht.
Völlig unlogisch sind aber 4 Regeln in dem gesamten Port Regelwerk.
Es gelten ja immer 3 Grundregeln:
- Regelwerk wirkt nur inbound
- Es besteht ein explicit deny (Alles was nicht erlaubt ist ist explizit verboten)
- First match wins (Positiver Hit im Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird)
Demnach sind folgende Auffälligkeiten da zu sehen:
- Regel 4 ist völliger Quatsch, denn interner Traffic aus dem lokalen LAN landet niemals bei einem Router oder Firewall! Wozu auch, denn er muss ja nicht in andere IP Netze. Für den Traffic ist die FW niemals involviert. Diese Regel ist also Blödsinn, da komplett überflüssig weil es niemals diesen Traffic gibt am lokalen LAN Port und kann entfallen.
- Die Dritte von unten blockiert allen Traffic. Aber das ist die eh systemspezifische explicit Deny Regel (s.o.). Ist also auch komplett überflüssig und kann entfallen.
- Die letzten beiden Regeln darunter erlauben dann eh alles aus dem Intranet überall hin für das Intranet. Da fragt man sich wozu dann die oberen Regeln gut sind diese Scheunentor Regeln das so oder so auch alles erlauben?
Die 2 letzten Regeln führen das gesamte Regelwerk dann so oder so ad absurdum denn dann würde auch eine schlichte "Allow IPv4/v6 Intranet nach Any" auf diesem Interface reichen.
Bzw. da die gesamte Blocking Regel noch davor steht könnte man auch diese 3 letzten Regeln komplett löschen da sie sinnfrei sind.
Relevant sind lediglich die ersten 6 Regeln die überflüssige Regel des internen Traffics schon weggedacht.
Wenn es sich, wie der Kollege @gentoist oben beschreibt, um eine sinnvolle Whitelist handeln soll, dann ist es das obige Regelwerk in der Form natürlich nicht!
Im Falle des TO das man den genauen Traffic Flow auf den Silverlight Server nicht kennt würde man doch idealerweise immer strategisch vorgehen und sich diesen Traffic entweder über die Paket Capture Funktion der Firewall im Diagnostics Menü selber oder mit einem Test Client PC und darauf aktivem Wireshark im Intranet Segment einmal genau anzusehen.
Im Paket Capture filtert man dann einfach nur auf die Client IP. In beiden Fällen erhält man einen sehr genauen Paket Trace der explizit die externen abgefragten IP Adressen und die verwendeten Ports des Login Prozesses (und auch allem anderen) anzeigt.
Damit hat man dann wiederum eine sehr genaue Blaupause für ein sauber funktionierendes Regelwerk an der Firewall.
Versteht man deine Intention des Regelwerkes richtig ist das obige eher große Frickelei als das es das richtig umsetzt was du vorhast.
1
Schon richtig, das Regelwerk ist ja auch eher aus der Verzweiflung des Anmeldefensters entstanden.
Die letzten beiden Regeln sind eben da, um den Block einfach aufheben zu können, um zu sehen ob es dann ohne Beschränkung läuft.
Wie bereits geschrieben habe ich mir den Traffic mit der Diagnostic über die Firewall vom Client angesehen, das Ergebnis ist nicht aussagekräftig.
Bedeutet, es wird mit keinen unbekannten IPs kommuniziert, aber von eben diesen kommt irgendwann keine Antwort mehr.
Das kann zur Einblendung des Login-Fensters sein, oder aber auch im Silverlight-System selbst.
Wireshark spuckt leider ebensowenig etwas aus, denn wenn keine Antwort kommt, dann kommt keine Antwort.
Wie gesagt, die Zentrale begründet das mit verschleierten und wechselnden IPs über Cloudflare was ich nicht nachvollziehen kann.
P.S.: Noch dazu existieren so lustige Effekte wie:
Auf identischem System funktioniert das Loginfenster bspw. im Edge problemlos, im IE11 ist es nicht da.
Genauso kann es mal andersrum sein oder es ist in beiden nicht da.
Ohne Änderungen an der Firewall sind die Ergebnisse nie konstant, kann heute klappen und morgen sieht die Welt wieder ganz anders aus.
Die letzten beiden Regeln sind eben da, um den Block einfach aufheben zu können, um zu sehen ob es dann ohne Beschränkung läuft.
Wie bereits geschrieben habe ich mir den Traffic mit der Diagnostic über die Firewall vom Client angesehen, das Ergebnis ist nicht aussagekräftig.
Bedeutet, es wird mit keinen unbekannten IPs kommuniziert, aber von eben diesen kommt irgendwann keine Antwort mehr.
Das kann zur Einblendung des Login-Fensters sein, oder aber auch im Silverlight-System selbst.
Wireshark spuckt leider ebensowenig etwas aus, denn wenn keine Antwort kommt, dann kommt keine Antwort.
Wie gesagt, die Zentrale begründet das mit verschleierten und wechselnden IPs über Cloudflare was ich nicht nachvollziehen kann.
P.S.: Noch dazu existieren so lustige Effekte wie:
Auf identischem System funktioniert das Loginfenster bspw. im Edge problemlos, im IE11 ist es nicht da.
Genauso kann es mal andersrum sein oder es ist in beiden nicht da.
Ohne Änderungen an der Firewall sind die Ergebnisse nie konstant, kann heute klappen und morgen sieht die Welt wieder ganz anders aus.
Wireshark spuckt leider ebensowenig etwas aus, denn wenn keine Antwort kommt
Deshalb sniffert man ja auch einmal ohne Filter um zu sehen wie ein kompletter Login Prozess aussieht.Mit Filter sniffert man dann am PC selber und auch parallel am WAN Port der FW per Paket Capture und vergleicht um mal zu sehen WAS denn gesendet wird und was überhaupt durchkommt und was nicht.
Wie gesagt...immer strategisch vorgehen! 😉
Wird mir auch nichts anderes übrig bleiben, denn die Alternative "einfach alle Kategorien über die Shallaliste mit pfBlockerNG zu blocken" ist mittlerweile ja vollständig tot.
Die Shallaliste gibt es nicht mehr, wird zwar von pfBlockerNG noch angeboten, aber Daten gibt es dazu keine mehr, da die Seite nicht mehr existent ist.
1
Moin,
blöde Frage: Wenn es um Jugenschutz und Filter geht, warum greifst du nicht auf Produkte ala JusProgDNS zurück? Gerade wenn es um Einhaltung der FSK Freigaben gibt, eines der besten Produkte die ich bis dato gesehen habe. Das schöne ist, dass du über das Kundenmenü noch weitere Einstellungen (z.B. Whitelist) vornehmen kannst. Je nachdem wie du es anstellst, kann auch dort Lehrkräfte Internetseiten freischalten, die (temporär) benötigt werden.
Alles andere wird dir früher oder später immer wieder auf die Füße fallen, Zeit und Nerven kosten. Hab schon öfters mit pfSense/OpnSense, Barracuda, etc. gespielt und im Langzeit Test wieder verworfen. Zumal sich heute Abhängigkeiten bei Internetseiten schneller ändern als du reagieren kannst. Und das sage ich dir als ehrenamtlicher ITler für ein paar Schulen.
Gruß,
Dani
P.S. Was hat das Ganzem it Cloudflare zu tun?
blöde Frage: Wenn es um Jugenschutz und Filter geht, warum greifst du nicht auf Produkte ala JusProgDNS zurück? Gerade wenn es um Einhaltung der FSK Freigaben gibt, eines der besten Produkte die ich bis dato gesehen habe. Das schöne ist, dass du über das Kundenmenü noch weitere Einstellungen (z.B. Whitelist) vornehmen kannst. Je nachdem wie du es anstellst, kann auch dort Lehrkräfte Internetseiten freischalten, die (temporär) benötigt werden.
Alles andere wird dir früher oder später immer wieder auf die Füße fallen, Zeit und Nerven kosten. Hab schon öfters mit pfSense/OpnSense, Barracuda, etc. gespielt und im Langzeit Test wieder verworfen. Zumal sich heute Abhängigkeiten bei Internetseiten schneller ändern als du reagieren kannst. Und das sage ich dir als ehrenamtlicher ITler für ein paar Schulen.
Gruß,
Dani
P.S. Was hat das Ganzem it Cloudflare zu tun?
1Produkte ala JusProgDNS zurück?
Oder zumindestens einen DNS Filter mit Safe Browsing und App Filter wie Adguard:https://github.com/AdguardTeam/AdGuardHome
https://broadbandforum.co/threads/installing-adguard-home-on-pfsense.205 ...
Es geht nicht um irgendeinen Schutz, es geht darum alles zu blocken und nur das zuzulassen was benötigt wird, das sind eben seit Jahren nur 3 Seiten, ganz früher war mal alles offline - das existiert noch in einer DOS-Box.
Es soll sich also nichts frei aktualisieren, es soll nichts verfügbar sein...
Achso, super wäre auch wenn es nichts kostet, wir kennen die widrigen wirtschaftlichen Zeiten in denen wir aktuell leben. Wenn zum Erhalt des Überlebens an Luxus und Bildung gespart wird.
Ich geh mal swiffern, ehhh sniffern...
@Dani
JusProgDNS schau ich mir aber mal an, da gibt es für Schulen auch Sondertarife.
Mit Cloudflare hat das insoweit was zu tun, als das es vorher wunderbar lief, bis die Server hinter die "Fassade" gezogen sind.
Edit: Die IP-Liste wächst und wächst.
Spannend ist, es funktioniert alles, es kommen keine Fehler im Wireshark, dann kann man folgende Optionen anbringen:
...ein Fass ohne Boden...
Mal sehen ob sich aus der Sammlung Netzwerkblöcke ergeben die benötigt werden, mal sehen ob das von Dauer ist.
Es soll sich also nichts frei aktualisieren, es soll nichts verfügbar sein...
Achso, super wäre auch wenn es nichts kostet, wir kennen die widrigen wirtschaftlichen Zeiten in denen wir aktuell leben. Wenn zum Erhalt des Überlebens an Luxus und Bildung gespart wird.
Ich geh mal swiffern, ehhh sniffern...
@Dani
JusProgDNS schau ich mir aber mal an, da gibt es für Schulen auch Sondertarife.
Mit Cloudflare hat das insoweit was zu tun, als das es vorher wunderbar lief, bis die Server hinter die "Fassade" gezogen sind.
Edit: Die IP-Liste wächst und wächst.
Spannend ist, es funktioniert alles, es kommen keine Fehler im Wireshark, dann kann man folgende Optionen anbringen:
- Browserwechsel
- Systemneustart
- Browsercache leeren
...ein Fass ohne Boden...
Mal sehen ob sich aus der Sammlung Netzwerkblöcke ergeben die benötigt werden, mal sehen ob das von Dauer ist.
Moin,
In diesen Fall wirst du wohl oder übel auf Application Control zurückgreifen müssen. Weil eigentlich fast jeder Hansel inzwischen ein CDN am Start hat. Für OpnSense gibt es eine Erweiterung von Zenarmor (Referenz). Ob diese auch für pfSense gibt und funktioniert, weiß ich nicht.
Eigene Applikation für jeweils die drei Seiten einrichten und diese Whitelisten. Alles andere sperren - fertig.
Gruß,
Dani
Es geht nicht um irgendeinen Schutz, es geht darum alles zu blocken und nur das zuzulassen was benötigt wird, das sind eben seit Jahren nur 3 Seiten, ganz früher war mal alles offline - das existiert noch in einer DOS-Box. face-big-smile
Gut, jetzt habe ich es auch verstanden. Nächstes Mal gleich so in die Frage schreiben. In diesen Fall wirst du wohl oder übel auf Application Control zurückgreifen müssen. Weil eigentlich fast jeder Hansel inzwischen ein CDN am Start hat. Für OpnSense gibt es eine Erweiterung von Zenarmor (Referenz). Ob diese auch für pfSense gibt und funktioniert, weiß ich nicht.
Eigene Applikation für jeweils die drei Seiten einrichten und diese Whitelisten. Alles andere sperren - fertig.
Gruß,
Dani
Zitat von @Dani:
In diesen Fall wirst du wohl oder übel auf Application Control zurückgreifen müssen. Weil eigentlich fast jeder Hansel inzwischen ein CDN am Start hat.
In diesen Fall wirst du wohl oder übel auf Application Control zurückgreifen müssen. Weil eigentlich fast jeder Hansel inzwischen ein CDN am Start hat.
Salut,
richtig, aber grundsätzlich dürfte hier nur Cloudflare ein CDN haben und die Adressen sind hinterlegt aus deren Quelle.
Dennoch ist Theorie und Praxis wohl wieder um einiges auseinander, ich habe jetzt mal zwei Testclients mit Wireshark durch und die angesteuerte IP Liste ist nun im Gesamten (ohne die von der Schulzentrale genannten "benötigten" IPs):
2.19.85.159
4.246.174.31
8.247.185.254
8.253.145.105
8.253.190.121
13.107.21.200
13.107.5.80
13.107.21.239
20.54.89.106
20.50.201.200
20.67.219.150
20.73.130.64
20.82.250.189
20.86.249.62
20.93.58.141
20.102.181.60
20.190.159.73
20.190.159.4
20.190.160.17
20.223.237.241
23.196.247.70
23.199.218.147
34.102.224.29
34.102.149.160
40.113.110.67
40.126.31.71
40.126.31.69
40.125.122.176
41.63.96.128
52.143.81.222
52.143.86.214
52.242.101.226
85.13.140.34
93.184.221.240
104.108.184.217
142.250.184.202
142.250.184.234
142.250.185.0/24
152.199.19.161
172.66.40.189
172.67.71.12
172.217.18.106
172.217.16.202
172.217.23.99
204.79.197.222
204.79.197.239
209.197.3.8
212.227.68.227
152.199.19.161
172.66.40.189Damit laufen die beiden aktuell, da wie oben geschrieben der Zustand aber nicht konsistent ist, naja...
Die Application Guard Erweiterung klingt spannend, das schau ich mir mal an.
Die pfsense kann ich auch recht unkompliziert gegen eine OpenSense austauschen.
Danke soweit.
Gruß
ToWa
Zitat von @Dani:
Für OpnSense gibt es eine > Eigene Applikation für jeweils die drei Seiten einrichten und diese Whitelisten. Alles andere sperren - fertig.
Für OpnSense gibt es eine > Eigene Applikation für jeweils die drei Seiten einrichten und diese Whitelisten. Alles andere sperren - fertig.
Hallo Dani,
ich hab mich mal bei der opnsense durchgeschlagen und mich an Zenarmor versucht.
Ist ebenfalls sehr spannend, im Edge klappt die Freigabe der Hauptseite, das Login-Fenster fehlt hier ebenfalls wie bei der pfsense.
Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
...ist natürlich blödsinnig denn ohne Einschränkungen läuft die Seite.
Muss ich noch mal genauer beleuchten.
Moin,
Gruß,
Dani
Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
du machst Witze, oder?! Der Internet Explorer 11 seit 15.06.2022 End of Life und gehört damit auf den Systemen verbannt (Deaktivieren und Aktivieren von Internet Explorer unter Windows). Und sag jetzt bitte nicht, dass einer der drei erlaubten Webseiten nur mit dem Internet Explorer 11 funktionieren. Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
Die Fehler ist bei Verwendung von Application Control "gewollt". Die Meldung erhalten wir auch bei Palo Alto und Barracuda Firewalls ebenfalls nur im Internet Explorer. Poste doch sicherheitshalber noch einen Screenshot der Meldung.Gruß,
Dani
Zitat von @Dani:
Gruß,
Dani
Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
du machst Witze, oder?! Der Internet Explorer 11 seit 15.06.2022 End of Life und gehört damit auf den SystemenGruß,
Dani
Salut,
nein, ich mache keine Witze, siehe Eingangsposting:
Leider fehlt in bestechender Regelmäßigkeit (meist im IE11 - der wegen Silverlight benötigt wird), das Loginfenster auf der Seite: https://www.los.de/lrs-software
Ist so, muss so, geht nicht anders.
Grüße
P.S.: Von der Schulverwaltung wird der IE-Modus des Edge empfohlen, der hat aber selbige Probleme.
Moin,
Dem Hersteller würde ich mal auf die Füße treten. Zur Not mit der DSGVO Druck aufbauen. Da bewegt sich auf einmal vieles. Wenn's gar nicht anders geht die Behörden ins Boot holen... kostet zwar Haar aber ist irgendwie auch immer lustig.
Gruß,
Dani
Ist so, muss so, geht nicht anders. face-big-smile
ist evtl. der IE 11 Modus des Edges eine Alternative? Weil spätestens nächstes Jahr, wirst du ein Problem mehr haben?!Dem Hersteller würde ich mal auf die Füße treten. Zur Not mit der DSGVO Druck aufbauen. Da bewegt sich auf einmal vieles. Wenn's gar nicht anders geht die Behörden ins Boot holen... kostet zwar Haar aber ist irgendwie auch immer lustig.
Gruß,
Dani
Siehe oben, bei der pfsense machte der IE-Modus des Edge 1:1 das, was der IE selbst auch machte.
Also im Zweifel nix.
Ob das mit der OPNsense anders ist muss ich mal ausprobieren, das wird heut aber nix mehr.
Grundlegend ist das alles ein ziemliches Gewirr aus neu und alt.
Man nehme einfach mal das was man hat, packe dies hinter ein CDN bei Cloudflare und dann fröhlich weiter basteln mit IE11, Silverlight, hier und da bisschen was neues machen, ach geht nicht, ja schade, einfach Internet öffnen...
Die "Schulleitung" möchte keinen Druck auf die Zentrale ausüben, aber es geht allen angeschlossenen Schulen so, alles ärgert sich, alles "wuselt" irgendwie drumherum.
Ist eben echt nervig.
So doch noch mal einen kurzen Blick geworfen.
Mit der OPNsense noch mal alles geblockt und explizit in der Whitelist die nötigen Domains freigegeben.
Selbiges "Problem" mit dem Loginfenster, welches einfach fehlt:
Die kann also leider nicht direkt etwas besser oder schlechter als die pfsense.
Schön ist, dass Zenarmor in den APP Kontrollen Cloudservices wie Cloudflare listet, genauso wie Infrastructure Services.
Spannend ist, dass das Fenster kommt, wenn ich in den APP Kontrollen alles erlaube, also begebe ich mich nun mal an die Fleißarbeit zu schauen bei welcher Kategorie es aussteigt...
P.S.: Irgendetwas ist in "Secure Web Browsing" was das Laden verhindert.
OK damit könnte es etwas werden.
Mit der OPNsense noch mal alles geblockt und explizit in der Whitelist die nötigen Domains freigegeben.
Selbiges "Problem" mit dem Loginfenster, welches einfach fehlt:
Schön ist, dass Zenarmor in den APP Kontrollen Cloudservices wie Cloudflare listet, genauso wie Infrastructure Services.
Spannend ist, dass das Fenster kommt, wenn ich in den APP Kontrollen alles erlaube, also begebe ich mich nun mal an die Fleißarbeit zu schauen bei welcher Kategorie es aussteigt...
P.S.: Irgendetwas ist in "Secure Web Browsing" was das Laden verhindert.
OK damit könnte es etwas werden.
Moin,
bau dir doch einfach eine Custom App. Einmal mit den Entwickler Tools die verschiedenen URLs protokollieren und diese URLs anschließend ind er CustomApplication hinzufügen, freigeben und fertig.
Gruß,
Dani
bau dir doch einfach eine Custom App. Einmal mit den Entwickler Tools die verschiedenen URLs protokollieren und diese URLs anschließend ind er CustomApplication hinzufügen, freigeben und fertig.
Die "Schulleitung" möchte keinen Druck auf die Zentrale ausüben, aber es geht allen angeschlossenen Schulen so, alles ärgert sich, alles "wuselt" irgendwie drumherum.
Du hast ein großes Herz! Ich wäre da - Ehrenamt hin oder her - nicht zimperlich. Meine Zeit ist schließlich kostbar.Gruß,
Dani
Zitat von @Dani:
bau dir doch einfach eine Custom App. Einmal mit den Entwickler Tools die verschiedenen URLs protokollieren
Die URLs in den Entwicklertools habe ich laaaange alle durch, das hilft leider gar nichts. bau dir doch einfach eine Custom App. Einmal mit den Entwickler Tools die verschiedenen URLs protokollieren
Du hast ein großes Herz! Ich wäre da - Ehrenamt hin oder her - nicht zimperlich. Meine Zeit ist schließlich kostbar.
Du, meine auch (zwar nicht sooo sonderlich wenn man das nur nebenher macht), ehrenamtlich mache ich das auch nicht, allerdings ist es eben eine überschaubare schulische Einrichtung und da muss man auch mal "fünfe gerade sein lassen" und mir macht das ja auch Spaß. Wie oben editiert, es hängt wohl mit der Rubrik "Secure Web Browsing" zusammen, aber ich denke damit lässt sich leben. Ach und "Online Utility" darf man auch nicht sperren, hmm vielleicht ist es doch noch nicht konsistent...
Moin,
Gruß,
Dani
Die URLs in den Entwicklertools habe ich laaaange alle durch, das hilft leider gar nichts. face-sad
damit wir uns nicht missverstehen: Aus allen URLs, die aufgelistet werden, eine CustomApplication bauen und freigeben. Müsste auch in einem der beiden Links beschrieben/erläutert werden?! Mir fehlt bloß aktuell die Zeit es nachzubauen.Gruß,
Dani
Zitat von @Dani:
damit wir uns nicht missverstehen: Aus allen URLs, die aufgelistet werden, eine CustomApplication bauen und freigeben.
Salut,damit wir uns nicht missverstehen: Aus allen URLs, die aufgelistet werden, eine CustomApplication bauen und freigeben.
habe ich bei der OPNsense nicht weiter verfolgt, da ich die URL-Freigaben über die Aliase bei der pfsense bereits durch hatte und das hat nichts gebracht.
Stecken wir mal nicht zuuu viel Zeit in veraltete Strukturen.
Wichtig ist, dass es offensichtlich läuft und das sowohl im IE11 als auch im IE-Mode des Edge (sofern die noch lange mit Silverlight kämpfen).
Grüße
1