skywal
Goto Top

Squid Proxy Transparent

Hallo zusammen,

ich habe mir die Idee in den Kopf gesetzt, dass ich zu Hause einen Proxy Server aufsetzen möchte, der hauptsächlich als Cache-Server dienen sollte. Nach einer kurzen Recherche bin ich dann auf Squid gestoßen - kostenlos, schnell und "leicht einzurichten".

Ich habe einen ESXI Hypervisor, der auf einer Workstation läuft und meine ganzen VMs befinden sich im Server VLAN 20.

Nachdem ich Ubuntu aufgesetzt hatte und mit Squid ein wenig herumgespielt habe, bin ich zu dem Entschluss gekommen, dass ein transparenter Proxy vielleicht das Sinnvollste wäre. Warum? Man braucht nicht auf jedem Client die Proxyeinstellungen vorzunehmen, was bei wireless Geräten sowieso ein eigenes Thema ist.

Die Squid.conf Datei habe ich erstmal so einfach wie möglich gehalten:
http_access allow all
http_port 3128 intercept

Mit Netplan habe ich ein virtuelles Netzwerkinterface erstellt:
        ens160:
            addresses: 
                - 20.0.20.19/24
            gateway4: 20.0.20.1
            nameservers:
                addresses: [20.0.20.1]
    vlans:
        vlan.40:
            id: 40
            link: ens160
            addresses: [20.0.40.100/24]

Dies sind die IPtables Einträge fürs Routing:
iptables -t nat -A PREROUTING -i ens160 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i ens160 -p tcp --dport 443 -j REDIRECT --to-ports 3128

iptables -t nat -A POSTROUTING -o vlan40@ens160 -j MASQUERADE


ESXI: Die VM ist im Port Group "VM Network", welcher dem normalen vSwitch (vSwitch0) zugeordnet ist. Dort ist VLAN 0 eingestellt (no tagging)

Switch: Der Port auf dem Switch ist als Trunk konfiguriert, mit native VLAN 20. Heißt, die ungetaggted Pakete werden erst am Switch getaggt (VLAN 20).

Topologie:
Meraki MX (Router) -> Meraki MS (Switch) -> ESXI Host -> (vSwitch -> VM Network) -> Squid Server (Ubuntu)

Meine Fragen:
Kann ich den Clients per DHCP propagieren, dass der Proxy Server das Gateway ist?
Und ich kann vlan 40 von der MX nicht erreichen. Da muss ich doch bestimmt etwas am vSwitch oden an den IPtables machen?

Vielen Dank! Falls ihr doch irgendwelche Anmerkungen habt, zögert nicht zu schreiben face-smile

Content-Key: 617203

Url: https://administrator.de/contentid/617203

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: Looser27
Looser27 29.10.2020 um 10:49:20 Uhr
Goto Top
Moin,

nur mal so am Rande

ich habe mir die Idee in den Kopf gesetzt, dass ich zu Hause einen Proxy Server aufsetzen möchte, der hauptsächlich als Cache-Server dienen sollte.

Für die paar http-Webseiten lohnt sich der Aufwand nicht. Und um den für https zu nutzen musst du noch viel mehr machen (Stichwort Zertifikate und deren Verteilung auf die Clients).

Wenn Du nen URL-Filter auf den Proxy setzen willst, läßt sich das eleganter lösen als mit nem Proxy, z.B. mit pihole, der als DNS-Blocker filtern kann.

Gruß

Looser
Mitglied: Skywal
Skywal 29.10.2020 aktualisiert um 11:07:44 Uhr
Goto Top
Hi!
Ein Pi-Hole habe ich schon gehostet, dieser dient als DNS-Server für alle Clients im Netz. Mir ging es eigentlich nicht um den URL-Filter, dies kann ich sowohl auf dem Pi-Hole, als auch auf der MX machen. Ich dachte ein transparenter Proxy wäre einfach aufzusetzen und würde das Netzwerk ein wenig "aufmotzen". Zertifikate bräuchte man doch nur, wenn man den https Verkehr entschlüsseln möchte aka "ssl-bumping"?
Mitglied: Looser27
Looser27 29.10.2020 um 11:18:42 Uhr
Goto Top
Aufgrund der https-Problematik (ich darf manchen https-Traffic nicht aufbrechen, z.B. Online-Banking) habe ich das deaktiviert.

Der https-Proxy funktioniert m.M.n. nur mit Zertifikaten, da der Proxy sonst den Traffic nicht lesen kann und somit auch nicht cachen. Somit also sinnbefreit.....

Gruß

Looser
Mitglied: Skywal
Skywal 29.10.2020 aktualisiert um 11:47:24 Uhr
Goto Top
Du hast recht. Zertifikate erstellen und diese zu verteilen ist natürlich am Anfang mühsam, aber wenn das aber einmal gemacht ist, dann läufts auch! Und mir ist gerade eingefallen, sollte der Proxy-Server ausfallen, dann kann man immer noch auf eine separate SSID ohne Proxy ausweichen, damit man nicht komplett im Dunkeln tappt.
Daher wenns möglich wäre, würde ich dieses Projekt gerne fortsetzen. Vielleicht erstmal nur mit HTTP und wenn das klappt, dann würde ich die Zertifikate ausrollen.
Mitglied: Looser27
Looser27 29.10.2020 um 11:42:21 Uhr
Goto Top
separate SSID ohne Proxy

Wenn du das für ein WLAN machen willst, wird es doppelt anstrengend, denn jedes neue Gerät braucht erstmal das Zertifikat, damit es funktioniert. Vor allem bei Gast-Netzwerken ist sowas too much.

Bei den aktuellen DSL-Geschwindigkeiten habe ich aber auch keinen Geschwindigkeitsverlust nach Abschalten des https-Proxies bemerkt.....von daher würde ich klar zu pihole & Co. raten ohne zusätzlichen Proxy.

Gruß

Looser
Mitglied: Skywal
Skywal 29.10.2020 um 11:56:55 Uhr
Goto Top
Für das Gast-Wlan würde ich nicht den Proxy einsetzen. Die Clients können dort sowieso nur ins Internet, daher würden die Zertifikate entfallen.
Ich würde das Ganze gerne einmal zum Laufen bringen und dokumentieren. Auch wenns nur fürs Verständnis ist und nicht der Sinnhaftigkeit halber.
Mitglied: Looser27
Looser27 29.10.2020 um 12:01:40 Uhr
Goto Top
Have fun face-wink
Mitglied: Ad39min
Ad39min 29.10.2020 um 14:19:00 Uhr
Goto Top
Zitat von @Skywal:
Mit Netplan habe ich ein virtuelles Netzwerkinterface erstellt:
        ens160:
>             addresses: 
>                 - 20.0.20.19/24
>             gateway4: 20.0.20.1
>             nameservers:
>                 addresses: [20.0.20.1]
>     vlans:
>         vlan.40:
>             id: 40
>             link: ens160
>             addresses: [20.0.40.100/24]


Der 20.0.0.0/8 IP-Block gehört der ARIN. Ich gehe mal kaum davon aus, dass Du für private VLANs dort öffentliche IP-Adressen angemietet hast.

Bitte verwende für interne Adressen welche aus den per RFC1918 definierten Bereichen. Am einfachsten kannst Du dies umsetzen indem Du jeweils am Anfang die 20 durch die 10 ersetzt.
Mitglied: Skywal
Skywal 29.10.2020 um 14:57:00 Uhr
Goto Top
Ja, das könnte ich bei meiner nächsten Aufräumaktion machen face-smile