Anzeige:
Ergebnis 1 bis 6 von 6

Thema: OPNSense Proxy und Android Client

Baum-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Registrierter Benutzer
    Registriert seit
    Dec 2015
    Beiträge
    8

    Question OPNSense Proxy und Android Client

    Hallo liebe Community

    Ich habe eine OPN Sense Firewall aufsetzt und nach dem Wiki eingerichtet. Auch den Proxy. Fall es jemanden interessiert:
    https://wiki.opnsense.org/manual/how...hingproxy.html

    Surfen funktioniert einwandfrei über den Proxy. Mein Problem ist android.

    Zuerst hatte ich diese Logs:

    Access Log:


    2020-03-05T12:48:38.440000
    172 192.168.2.11 TCP_MISS/204 239 GET http://connectivitycheck.android.com/generate_204 - ORIGINAL_DST/172.217.16.142 -

    Genau diese Zeile ist es. Ich hatte extra alle Clients entfernt gehabt und nur das Handy auf den Proxy eingestellt gehabt.

    Das MISS heißt das es ein Cache Problem gibt.

    Daher habe ich auch den Cache Log:

    2020-03-05T12:48:38 | SendEcho ERROR: sending to ICMPv6 packet to [2a00:1450:4001:808::200e]: (65) No route to host

    Bei mir war OPNSense vor der Fritzbox mit IPv4 und IPv6 verbunden. Ich hatte daraufhin IPv6 auf beiden Geräten ausgeschaltet und nochmal versucht.

    Mit dem Ergebnis, wenn ich Nochmal WLAN mit eingestelltem Proxy einschalte:
    Access Log
    2020-03-05T13:14:11.770000 34 192.168.2.11 TCP_MISS/204 239 GET http://connectivitycheck.android.com/generate_204 - ORIGINAL_DST/172.217.18.110 -
    2020-03-05T13:14:11.100000 31 192.168.2.11 TCP_MISS/204 244 GET http://clients3.google.com/generate_204 - ORIGINAL_DST/172.217.22.110 -

    So und jetzt habe ich vorher natürlich die Gegenprobe gemacht. Nämlich ein paar Sekunden vorher WLAN ohne Proxy eingeschaltet gehabt:

    2020-03-05T13:14:04.020000 34 192.168.2.11 TCP_MISS/204 239 GET http://connectivitycheck.android.com/generate_204 - ORIGINAL_DST/172.217.18.110 -
    2020-03-05T13:14:03.480000 124 192.168.2.11 TCP_MISS/204 244 GET http://clients3.google.com/generate_204 - ORIGINAL_DST/172.217.22.110 -

    Mit ausnahme der ersten Zahl vorne (124 bzw 31) schaut alles gleich aus. In der Praxis ist der unterschied das unteres ohne eingestellten Proxy funktioniert. Oberer Log nicht.

    Der Cache Log loggt jetzt nichts mehr seit dem IPv6 deaktiviert ist.

    Cache selbst habe ich nach dieser Anleitung aktiviert:
    https://wiki.opnsense.org/manual/how...hingproxy.html

    wobei hier folgendes steht:
    As the cache is not created by default you will need to stop and start the service under Services ‣ Diagnostics, this will ensure correct creation of the cache.
    Den Punkt Services Diagnostics gibt es nicht mehr. Hier dürfte die Anleitung veraltet sein. Ich habe aber den Proxy selbst neu gestartet (unzählige male) und auch die ganze Firewall. Genau so wie die Netzwerkkarten (mußte ich um IPv6 erfolgreich zu deaktivieren)

    Und ich habe die letzte Woche auch alle google und android Seiten durchforstet. Bei der wpad.dat PAC datei berücksichtige ich:

    https://support.google.com/a/answer/2589954?hl=en
    und die hier
    https://support.google.com/chrome/a/.../6334001?hl=de

    Zertifikat ist ebenfalls auf das Handy geladen. Surfen geht am Handy über dem Proxy, genau so wie Whatsapp. vor allem aus whatsapp schliesse ich das die PAC datei (habe ich über die Weboberfläche erstellt) funktionieren dürfte.

    Hier mein PAC File

    Code:
    /*
      PAC file created via OPNsense
      To use this file you have to enter its URL into your browsers network settings.
    */
    function FindProxyForURL(url, host) {
    
    var dstip = dnsResolve(host);
    
    
    if (((shExpMatch(host, "(*.*.google.com|*.client-channel.google.com)")) || (shExpMatch(host, "(*.1e100.net|1e100.net)")) || (shExpMatch(host, "(*.22TEST.NET|22TEST.NET)")) || (shExpMatch(host, "(*.accuweather.com|accuweather.com)")) || (shExpMatch(host, "(*.ADITION.COM|A
    DITION.COM)")) || (shExpMatch(host, "(*.adobe.com|adobe.com)")) || (shExpMatch(host, "(*.android.com|android.com)")) || (shExpMatch(host, "(*.APPLE.COM|APPLE.COM)")) || (shExpMatch(host, "(*.APPLINZI.COM|APPLINZI.COM)")) || (shExpMatch(host, "(*.APPNEXT.COM|APPNEXT.COM)"
    )) || (shExpMatch(host, "(*.appspot.com|appspot.com)")) || (shExpMatch(host, "(*.avast.com|avast.com)")) ||  (shExpMatch(host, "(*.c.docs.google.com|*.*.docs.google.com)")) || (shExpMatch(host, "(*.clients.google.com|clients.google.com)")) || (shExpMatch(host, "(*.CMCM.COM|CMCM.COM)")) || (shExpMatch(host, "(*.crasHlytics.com|crashly
    tics.com)")) || (shExpMatch(host, "(*.DIGICERT.COM|DIGICERT.COM)")) ||  (shExpMatch(host, "(*.FACEBOOK.NET|FACEBOOK.NET)"))  || (shExpMatch(host, "(*.freevoipd
    eal.com|freevoipdeal.com)"))  || (shExpMatch(host, "(*.ggpht.com|ggpht.com)")) || (shExpMatch(host, "(*.GOOGLE-ANALYTICS.com|GOOGLE-ANALYTICS.com)")) || (shExpMatch(host, "(*.google.at2|google.at2)")) || (shExpMatch(host, "
    (*.google.at|google.at)")) || (shExpMatch(host, "(*.google.com|google.com)")) || (shExpMatch(host, "(*.google.de|google.de)")) || (shExpMatch(host, "(*.googleapis.com|googleapis.com)")) || (shExpMatch(host, "(*.googledrive.com|googledrive.com)")) || (shExpMatch(host, "(*
    .googlegroups.com|googlegroups.com)")) || (shExpMatch(host, "(*.GOOGLESYNDICATIO.com|GOOGLESYNDICATIO.com)")) || (shExpMatch(host, "(*.GOOGLESYNDICATION.COM|GOOGLESYNDICATION.COM)")) || (shExpMatch(host, "(*.GOOGLETAGMANAGER.com|GOOGLETAGMANAGER.com)")) || (shExpMatch(ho
    st, "(*.GOOGLETAGSERVICES.com|GOOGLETAGSERVICES.com)")) || (shExpMatch(host, "(*.googleusercontent.com|googleercontent.com)")) || (shExpMatch(host, "(*.GOOGLEUSERCONTENT.COM|GOOGLEUSERCONTENT.COM)")) || (shExpMatch(host, "(*.googlevideo.com|googlevideo.com)")) || (shExpM
    atch(host, "(*.gstatic.com3|gstatic.com3)")) || (shExpMatch(host, "(*.Gstatic.com|gstatic.com)")) || (shExpMatch(host, "(*.gvt1.com|gvt1.com)")) || (shExpMatch(host, "(*.ICLOUD.COM|ICLOUD.COM)")) || (shExpMatch(host, "(*.IMGUR.COM|IMGUR.COM)")) || (shExpMatch(host, "(*.K
    SMOBILE.COM|KSMOBILE.COM)")) ||  (shExpMatch(host, "(*.MOBILEVOIP.COM|MOBILEVOIP.COM)")) ||  (shExpMatch(host, "(*.mozilla.com|mozilla.com)")) || (shExpMatch(host, "(*.mozilla.net|mozilla.net)")) || (shExpMatch(host, "(*.mozilla.org|mozilla.org)")) || (shExpMatch(host, "(*.MOZILLAMESSAGING.COM|MOZILLAMESSAGING.COM)")) || (
    shExpMatch(host, "(*.MZSTATIC.COM|MZSTATIC.COM)")) || (shExpMatch(host, "(*.ONEDRIVE.COM|ONEDRIVE.COM)")) || (shExpMatch(host, "(*.opensuse.org|opensuse.org)")) || (shExpMatch(host, "(*.OPENSUSE.ORG|OPENSUSE.ORG)")) || (shExpMatch(host, "(*.origin.com|origin.com)")) || (
    shExpMatch(host, "(*.popcap.com|popcap.com)")) || (shExpMatch(host, "(*.QQ.COM|QQ.COM)")) || (shExpMatch(host, "(*.samsung.com|samsung.com)")) || (shExpMatch(host, "(*.samsungapps.com|samsungapps.com)")) || (shExpMatch(host, "(*.samsungcloud.com|samsungcloud.com)")) || (
    shExpMatch(host, "(*.samsungdm.com|samsungdm.com)")) || (shExpMatch(host, "(*.samsungknox.com|samsungknox.com)")) || (shExpMatch(host, "(*.samsungosp.com|samsungosp.com)")) || (shExpMatch(host, "(*.samsungotn.net|samsungotn.net)")) || (shExpMatch(host, "(*.sdkbox.com|sdk
    box.com)"))  || (shExpMatch(host, "(*.SKYPE.COM|SKYPE.COM)")) || (dnsDomainIs(host, "(*.THUNDERBIRD.NET|THUNDERBIRD.NET)")) || (shExpMatch(host, "(*.TWIMG.COM|TWIMG.COM)")) || (shExpMatch(host, "(*.TWITTER.COM|TWITTER.COM)")) || (shExpMatch(host, "(*.whatsapp.net|whatsapp.net)"
    )) || (shExpMatch(host, "(*.WINDOWS.COM|WINDOWS.COM)")) || (shExpMatch(host, "(*.youtube.com|youtube.com)")) || (isInNet(dstip, "2.18.68.182", "255.255.255.255")) || (isInNet(dstip, "31.13.84.49", "255.255.255.255")) || (isInNet(dstip, "52.50.15.50", "255.255.255.255"))
    || (isInNet(dstip, "62.41.73.105", "255.255.255.255")) || (isInNet(dstip, "77.72.174.147", "255.255.255.255")) || (isInNet(dstip, "95.129.135.5", "255.255.255.255")) || (isInNet(dstip, "104.25.47.114", "255.255.255.255")) || (isInNet(dstip, "104.25.48.114", "255.255.255.
    255")) || (isInNet(dstip, "104.25.159.15", "255.255.255.255")) || (isInNet(dstip, "104.25.192.102", "255.255.255.255")) || (isInNet(dstip, "169.47.42.198", "255.255.255.255")) || (shExpMatch(url, "ftp:")))) {
    return "DIRECT";
    }
    if (((shExpMatch(host, "*.*")) || (shExpMatch(host, "*.*.*")))) {
    return "PROXY 192.168.2.3:3128;PROXY 192.168.3.3:3128";
    }
    
       // If no rule exists - use a direct connection
       return "PROXY 192.168.2.3:3128;PROXY 192.168.3.3:3128";
    Bei Web Filtering habe ich keine Blacklist die ist deaktiviert. Bei der Weißen Liste habe ich obrige Domains in die Whitelist eingetragen. Laut der Beschriebung: https://docs.opnsense.org/manual/how...webfilter.html In "Unrestricted IP addresses" konnte ich sie nicht eintragen, da bekam ich einen Error.

    Ja, und jetzt bin ich wieder irgendwie am Ende. Keine Ahnung warum ich mit googleplay keinen Internetkontakt habe. (youtube klappt nicht, aber chrome und maps klappt. Beim Wlan wird ein Rufzeichen angezeigt

    Beim Proxy ist auch Clamav im Einsatz. ClamAV funktioniert soweit ich es erkenne. Die Updates werden gemacht und den Testvirus kann ich am PC weder auf https noch auf http herunterladen.

    Weiß hier zufällig jemand noch irgend etwas das ich übersehen habe?

    Vielen lieben Dank.

    Martin
    Geändert von mmmm (06.03.20 um 09:23 Uhr)

Ähnliche Themen

  1. Guter SIP Voip Client für Android ?
    Von Newbie314 im Forum Alternativen zu Linux
    Antworten: 7
    Letzter Beitrag: 25.03.15, 11:58
  2. Client -> HTTPS-Proxy -> Internet
    Von megathon im Forum Anbindung an die Aussenwelt
    Antworten: 2
    Letzter Beitrag: 02.03.06, 10:09
  3. Redhat als Proxy Client
    Von byt3rId3 im Forum Router und Netzaufbau
    Antworten: 0
    Letzter Beitrag: 31.05.03, 16:03
  4. FTP-Client via FTP-Proxy
    Von greif24 im Forum Linux als Server
    Antworten: 0
    Letzter Beitrag: 27.10.02, 16:34
  5. proxy client
    Von nfaa im Forum Linux als Server
    Antworten: 0
    Letzter Beitrag: 21.09.01, 20:14

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •