SSL Interception Transparent

[Andre.S]

Folgendes Szenario:

Netzwerkobjekte (Adresse) :
wlan-0-network (wlan0) hat Netz 192.168.11.0/24
internal-network (eth1) hat Netz 192.168.10.0/24

Netzwerkgruppe  internal-networks besteht aus wlan-0-network und internal-network

Jetzt Transparenten-Modus und SSL-Interception samt Zertifikatsüberprüfung an und Transparente Regel (include) für HTTPS von internal-networks nach internet.

Versuche ich jetzt aus dem WLAN auf einen Client im LAN zu gehen (Kopiergerät) bekomme ich eine Fehlerseite vom Proxy (Zertifikatsproblem).

Wie kann das sein? Die Include Regel sollte doch nur für das Ziel Internet gelten und nicht für das Ziel internal-network? Oder verstehe ich da etwas falsch?

[Bjoern]

Hallo,

der transparente Modus sieht das Paket und nimmt es damit auch auseinander. Hier würde ich ein exclude im transparenten Modus für beide Netze unter einander schreiben.

Gruß Björn

[Andre.S]

Das hat geholfen, Danke!

Im Log sehe ich jetzt Einträge der Art:
fwdNegotiateSSL: Error negotiating SSL connection on FD 50: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (1/-1/0)

Kann man irgendwo sehen welcher Client versucht hat welche Seite aufzurufen?

[David]

Dies können Sie in im LiveLog | Reiter Proxystatistiken sehen.

[Andre.S]

und auf der BlackDwarf? Hab letzten Donnerstag vergeblich überlegt was ich machen muss um den Reiter Proxy-Statistik zu bekommen - bis mir eingefallen ist, dass ich irgendwo mal gelesen hab das es den erst ab der RC100 gibt. Oder liege ich da falsch?

[Bjoern]

Hallo,

Black Dwarfs haben eine zu kleine Festplatte. Daher haben wir dies erst ab Größe RC100 aktiviert. Sie haben dennoch 2 Möglichkeiten.

1. Syslog Server und die Firewall mitloggen lassen
2. Das Logging auf die Regeln aktivieren und das Livelog aufrufen

Gruß Björn