Safe-Search greift nicht, fester Proxy, keine SSL-Interception

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
friede
Beiträge: 13
Registriert: Do 25.07.2019, 12:23

Safe-Search greift nicht, fester Proxy, keine SSL-Interception

Beitrag von friede »

Hallo liebe Mitstreiter,

ich arbeite ehrenamtlich in der Jugendarbeit, hier haben wir ein WLAN mit entsprechendem Webfilter eingerichtet. Damit der Webfilter greift, ist der Webzugriff nur via fest eingetragenem Proxy möglich. Dies funktioniert soweit auch, lediglich SafeSearch greift nicht.
Ich habe bereits versucht, nach dieser Anleitung den Google-DNS umzuleiten, dies hat leider nicht funktioniert.

Der DHCP verteilt die Interface-IP als Nameserver.
Die DNS-Einstellungen der UTM lauten:
Nameserver vor lokalem Cache prüfen EIN
Primärer Nameserver 127.0.0.1
Sekundärer Nameserver IP der vorgelagerten Fritzbox

Für sachdienliche Hinweise wäre ich sehr dankbar.

Grüße aus Weimar
Johann

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Hallo,

kann es sein, dass die webfilterbasierte SSL-Interception aktiviert ist? Dann ist es meine ich nach wie vor noch so, dass der SafeSearch-Schalter ignoriert wird.

Damit das mit dem DNS-Server funktioniert, müssen die Clients natürlich die UTM als DNS-Server verwenden.
Ansonsten sollten unter Anwendungen -> Nameserver -> unter Zonen um die 192 google-Zonen enthalten sein (wenn man wirklich auf Nummer sicher gehen will).

Ich hab mir (allerdings noch für die 11.7) ein Script gebastelt, das sämtliche Zonen lt. Anleitung hier (Stichwort SafeSearch VIP) auf der UTM anlegt - ist allerdings leider zu umfangreich für´s Forum.

Dasselbe gibt es glaube ich dann noch für Bing & Co. in wahrscheinlich ähnlichen Formen.

Vorteile:
Funktioniert browserunabhängig, sofern die Benutzer die UTM als DNS verwenden
User kommen eigentlich nicht darum herum, außer sie tragen sich die Google-Server z.B. in ihre hosts-Datei am Rechner ein oder verwenden andere DNS-Server

Nachteile:
Alle unterliegen dann der SafeSearch-Einschränkungen
Ändert sich die IP von forcesafesearch.google.com, dann muss man alle DNS-Zonen anpassen

friede
Beiträge: 13
Registriert: Do 25.07.2019, 12:23

Beitrag von friede »

HaPe hat geschrieben:kann es sein, dass die webfilterbasierte SSL-Interception aktiviert ist? Dann ist es meine ich nach wie vor noch so, dass der SafeSearch-Schalter ignoriert wird.
Ja, genauso ist es! Es läuft nebenbei ein WLAN für (erwachsene) Gäste, da ist diese Funktion ganz praktisch. Im Zweifelsfall verzichte ich aber lieber auf diese Funktion zugunsten des SafeSearch.
HaPe hat geschrieben:Ich hab mir (allerdings noch für die 11.7) ein Script gebastelt, das sämtliche Zonen lt. Anleitung hier (Stichwort SafeSearch VIP) auf der UTM anlegt - ist allerdings leider zu umfangreich für´s Forum.
Besteht die Möglichkeit, dass Sie mir das Skript zukommen lassen? Ich würde es mir gerne ansehen und ggf. implementieren. Mit einer globalen SafeSarch könnte ich leben :)

Vielen Dank für die Hilfe!

friede
Beiträge: 13
Registriert: Do 25.07.2019, 12:23

Beitrag von friede »

Guten Morgen,

ich habe SafeSearch in keiner Konstellation gangbar machen können. Folgende Szenarien wurden getestet:
SSL-Interception webfilterbasiert an, Proxy manuell
SSL-Interception webfilterbasiert an, Proxy transparent (http/https)
SSL-Interception aus, Proxy manuell
SSL-Interception aus, Proxy transparent (http)
Ich habe auch jedesmal den Webfilter auf Funktion geprüft (Waffenhersteller-Seite).

Ich habe nun schließlich (vorerst) das DNS-Forwarding von http://www.google.de und http://www.google.com auf 216.239.38.120 (forcesafesearch.google.com) eingerichtet.
Anleitung für diese Umleitung: viewtopic.php?t=7459#p19411
Erste Versuche des Skriptings für die anderen ccTLDs via CLI/SSH waren noch nicht erfolgreich, weitere Versuche folgen.

Im Anschluss werde ich Bing und Youtube versuchen, siehe auch hier: viewtopic.php?t=7459#p19411

Antworten