HTTP-Proxy mit WPAD

1. offizieller Beitrag

    Hallo,

    ich versuche nun seit geraumer Zeit meinen nicht transparenten HTTP-Proxy mit automatischer WPAD-Verteilung zum Laufen zu bringen, bisher aber ohne Erfolg. Mein aktueller Stand ist folgender:

    Es gibt zwei Möglichkeiten dem Browser mitzuteilen, dass er nach einer WPAD-Datei suchen soll:
    1) Über DHCP-Option 252 -> Kann angeblich nur der Internet-Explorer
    2) Über den DNS-Proxy -> Können Internet-Explorer und Firefox

    Die meisten Lösungsansätze, die ich im Netz gefunden habe, erklären einen Mischmasch aus beiden Varianten. Ich habe beide Methoden versucht, wichtig wäre mir nur, dass es für beide Browser funktioniert - egal über welche Methode. Die Ausgangslage ist bei beiden Varianten die gleiche. Ich habe in der Firewall die Ports für HTTP und HTTPS gesperrt und einen Test-User im HTTP-Proxy angelegt (wenn ich den Proxy in den Browser-Einstellungen manuell eintrage, funktioniert die Authentifizierung und das Surfen). Wenn ich von einem Client aus "ping wpad" mache, antwortet mir die Firewall (es wurde kein Host-Eintrag oder DNS-Eintrag in der Firewall gesetzt - bei mir geht das einfach so). Die WPAD-Datei ist unter https://www.efw-forum.de/wpad.dat bzw. unter http://wpad.local/wpad.dat downloadbar.

    Versuch DHCP-Option 252 (eingabe der Daten im Config-Feld):
    option wpad code 252 = text;
    option wpad "http://Endian_Firewall_IP/wpad.dat"

    => Ich habe sowohl die beiden Zeilen, als auch nur die erste Zeile versucht, ohne Ergebnis. Beim Internet-Explorer ist der Haken bei "Automatische Suche der Einstellungen" standardmäßig gesetzt. Firefox steht auf "Proxy-Einstellungen des Systems verwenden". Eigentlich sollen die beiden Einstellungen so bleiben, da ich sonst jeden Client umkonfigurieren müsste.

    Versuch DNS:
    Mein Problem ist, dass ich nicht weis, wo ich jetzt einen Eintrag setzen soll. Unter "Netzwerk -> Host hinzufügen" oder doch im DNS-Proxy unter "DNS Routing".


    Verwirrend finde ich nur, dass in der "Endian Knowledge Base", bei der Konfiguration des nicht transparenten Proxys, die WPAD-Datei versteckt angesprochen wird, mit der Behauptung: "Wenn Sie die EFW als DHCP- oder DNS-Proxy einsetzen, sind keine weiteren Einstellungen an der EFW vorzunehmen".

    Ich hoffe, ihr könnt mir helfen. Schon mal vielen, vielen Dank!

    computerbuddy

    Hallo noch mal,

    mittlerweile glaube ich, dass es an der WPAD-Datei liegt, welche nicht alle benötigten Informationen enthält. Könnte einer von euch, der eine funktionierende Konfiguration hat, seine WPAD-Datei vergleichsweise posten? Noch besser wäre der Hinweis, ob ihr überhaupt etwas zusätzlich einstellen musstet, oder ob bei euch WPAD ohne Umkonfigurieren funktioniert hat. Bin ratlos :?: .

    Hier mal meine WPAD-Datei:


    Auch wenn ich die Option 252 bei DHCP eintrage, sieht die Datei genauso aus. Mich wundert, dass nirgends der Port auftaucht....

    Gruß
    computerbuddy

    • Offizieller Beitrag

    Hallo,
    ich habe zwar keinen Transparent Proxy laufen . . . . aber das sieht schon komisch aus . .
    Da sollte schon die IP und der Port stehen . . . bei mir 192.168.110.50 Port 800

    Bei mir sieht das so aus:

    function FindProxyForURL(url, host)
    {
    if (isPlainHostName(host) || shExpMatch( url, "*192.168.110.50*" ) ) {
    return "DIRECT";
    }
    else if (host == "127.0.0.1") {
    return "DIRECT";
    }
    else if (isInNet(host, "192.168.110.0", "255.255.255.0")) {
    return "PROXY 192.168.110.50:800; DIRECT";
    }
    else if (isInNet(host, "192.168.110.0", "255.255.255.0")) {
    return "PROXY 192.168.110.50:800; DIRECT";
    }
    else {
    return "DIRECT";
    }
    }


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo,

    jetzt muss ich diesen Beitrag noch mal aufwärmen ;-). Gleich vorweg: Ich konnte das Problem bis heute nicht lösen, bin aber immer noch auf den Proxy mit Authentifizierung angewiesen. Hauptproblem ist immer noch, dass die automatisch generierte Proxy.pac von Endian keinen (sinnvollen) Inhalt enthält. Darum kam bei mir die Idee auf, die generierte Datei einfach durch eine eigene, statische zu ersetzen.

    Die Datei liegt unter "/home/httpd/html/proxy.pac". In dem Verzeichnis befinden sich zusätzlich die Verknüpfungen "wpad.dat" und "proxy.pa", welche auf die "proxy.pac" zeigen. Ich habe die ursprüngliche "proxy.pac" in "proxy_alt.pac" umbenannt und stattdessen meine selbst geschriebene Datei in das Verzeichnis kopiert (die selben Rechte wurden gesetzt). Bisher war es möglich unter "wpad/wpad.dat" die alte Datei zu downloaden. Jetzt erscheint die Fehlermeldung "Servererror - Keine Datei gefunden". Wenn ich eine PDF-Datei in das gleiche Verzeichnis kopiere und über "wpad/Beispiel.PDF" aufrufe, wird die PDF gedownloaded. MERKWÜRDIG!!!

    Noch ein interessantes Detail am Rande: Die ursprüngliche Proxy.pac enthält ja ein Script, welches die Proxy.pac generiert. Beim genauen Durchlesen der Datei ist mir aber immer wieder aufgefallen, dass ein bestimmter Befehl nur dann ausgeführt werden soll, wenn die Proxyeinstellung "Transparent" lautet (Ich brauche die Datei aber wenn er auf "Nicht Transparent" steht). Versuchsweise habe ich die Proxyeinstellung von Blau auf "Transparent" gesetzt und die Zugriffsrichtlinien angepasst und siehe da - die urpsrüngliche Proxy.pac wird mit Inhalt gefüllt. Nützt mir nur nichts, da ich ja eine Authentifizierung benötige.

    Für mich ergeben sich nun zwei Möglichkeiten. Entweder ich bringe der ursprünglichen Proxy.pac bei, bei "Nicht Transparent" richtig zu arbeiten, oder ich schiebe der EFW meine selbst geschriebene Datei unter (was wahrscheinlich einfacher ist).


    Ich freue mich auf eure Kommentare
    Computerbuddy