Du bist es leid, ständig Werbung beim Browsen ansehen zu müssen? Du hättest deine häufig aufgerufenen Webseiten gerne noch ein Ticken schneller? Ein Proxy Server auf deinem QNAP-NAS kann dir genau dabei helfen. Doch die Funktionen eines Proxys reichen noch tiefer, der Einrichtungsaufwand leider auch. Sobald du aber einen korrekt funktionierenden Proxy Server in deinem lokalen Netzwerk hast, profitieren auf Wunsch gleich alle Clients davon.
Eine kurze Warnung gleich vorweg: Da mittlerweile beinahe 100 % aller Webseiten deren Content über das HTTPS-Protokoll ausliefern, benötigst du dafür einen kleinen Workaround. HTTPS ist nämlich verschlüsselt und ermöglicht nur direkt dem Empfänger, die Inhalte anzuzeigen. Der Proxy selbst erhält darin keinen Einblick. Aus diesem Grund kann HTTPS-Datenverkehr nur in geringem Ausmaß vom Proxy Server profitieren. Möchtest du jedoch sämtliche Daten zwischenspeichern oder filtern, muss dein Proxy die verschlüsselten Pakete aufbrechen. Softwareseitig funktioniert das relativ simpel. Allerdings musst du alle Proxy-Nutzer darüber aufklären, dass die Verbindungen zwischen Proxy und dem Zielrechner nicht mehr verschlüsselt sind. Idealerweise hältst du das auch schriftlich fest. Im privaten Netzwerk ist das in der Regel unproblematischer.
Im Unternehmensumfeld solltest du dir das aber lieber zwei- oder sogar dreimal überlegen, da das Entschlüsseln einer HTTPS-Verbindung zumindest in unseren Gefilden gesetzlich sehr problematisch ist. Aus diesem Grund behandelt unser Tutorial ausschließlich die konventionelle Nutzung des QNAP Proxys. Zwar wird dadurch nicht jede Übertragung zwischengespeichert, trotzdem lässt sich damit der Traffic sowie die Netzwerklast reduzieren.
Die Kernfunktionen eines (Reverse-)Proxy-Servers
Ein Proxy-Server im lokalen Netzwerk kann sämtliche praktische Funktionen erfüllen und allen Nutzern im LAN sicheres und schnelles Browsen ermöglichen.
Datenschutz und Verschlüsselung
Da sämtlicher Datenverkehr in deinem Netzwerk zuerst auf dem Proxy landet, ist es möglich, dort diverse Sicherheitsmaßnahmen zu aktivieren. Du kannst beispielsweise einen Virenscanner oder Paketfilter nutzen, um hoch- oder heruntergeladene Daten zu prüfen, bevor diese den Zielrechner erreichen. Mit dieser Option solltest du zwar immer noch darauf achten, was du im Web anklickst, aber sollte dennoch einmal Schadcode auftauchen, wird dein Proxy einschreiten.
Cache
Der Vorteil eines Proxy-Servers schlechthin ist die Caching-Funktion. Mit einem schnellen Cache, idealerweise einer SSD kann dein QNAP-NAS sämtliche Daten zwischenspeichern und bei Bedarf schneller ausliefern, als jeder Server im WWW das könnte. Sobald du eine Webseite über den Proxy ansurfst, können dort sämtliche übertragenen Daten gespeichert werden. Bei der nächsten Anfrage kommt die Seite direkt von deinem Proxy und nicht mehr vom weit entfernten Webserver. Durch die Caching-Funktion reduzierst du außerdem die Menge der übertragenen Daten, was vor allem bei Tarifen mit Kontingent (ja, vereinzelt gibt es diese noch) von Vorteil ist. Cache kann aber auch zum Problem werden, falls sich Inhalte einer Webseite häufig und schnell ändern. Im schlimmsten Fall liefert dein Proxy dann nämlich eine veraltete Version dieser Seite. Dafür kannst du jedoch Ausnahmen festlegen, sodass du dieses Problem schnell in den Griff bekommst.
Komprimierung
Die Komprimierungsfunktion eines Proxys reduziert nicht nur den Datenverbrauch im World Wide Web, sondern kann außerdem die Geschwindigkeit erhöhen. Immerhin werden dadurch weniger Daten übertragen. In der Regel fällt das bei schnellen Internetverbindungen aber nicht auf, sodass Komprimierung im Privatbereich eher kontraproduktiv ist. Zwar ist das sogenannte Gzip-Verfahren relativ CPU-schonend, aber Rechenleistung benötigt das Kompressionsverfahren dennoch. Vor allem dann, wenn mehrere Anwender den Proxy nutzen, kann in Summe die CPU doch ordentlich ausgelastet werden.
Solltest du eine Webseite betreiben oder einfach nur diverse Dienste auf einem oder mehreren QNAP-NAS hosten, bringt dir ein Proxy auch hier einige Vorteile. Zwar wirst du diese als Privatanwender kaum benötigen, aber Hand aufs Herz, du hast das ganze NAS bezahlt, also willst du auch das ganze NAS nutzen.
Lastenausgleich (Load Balancing)
Ein Proxy-Server im lokalen Netzwerk kann Anfragen aus dem Internet so verteilen, dass alle vorhandenen NAS beziehungsweise Server gleichmäßig ausgelastet werden. Auf diese Weise können User von außen deine Dienste in maximal möglicher Geschwindigkeit nutzen, ohne auf Engpässe zu stoßen – außer alle Server laufen bereits am Limit. Ein weiterer großer Vorteil liegt darin, dass sogar ein NAS ausfallen kann und an dieser Stelle einfach das andere dessen Aufgabe übernimmt. Natürlich setzt das einen relativ großen Konfigurationsaufwand voraus.
Zertifikate auslagern
Für den Fall, dass du gleich mehrere Webserver und Webseiten betreibst, kannst du die SSL-Zertifikate direkt auf dem Proxy belassen. Das entlastet die Webserver und sorgt fallweise für einen kleinen Geschwindigkeitsschub. Dadurch erreichst du möglicherweise nicht nur einen besseren Page-Speed-Index, sondern deine Nutzer können Seiten schneller aufrufen. Zudem kannst du auf diese Weise alle Zertifikate an einer Stelle verwalten und musst nicht ständig zwischen mehreren Webservern wechseln.
Anonymisierung
Was eigentlich auch für Clients gilt, eröffnet im Serverumfeld noch interessantere Möglichkeiten. Mit einem Proxy als erste Anlaufstelle für Anfragen aus dem Web kannst du dahinter liegende Server effektiv verstecken. Ruft jemand deine Webseite auf, landet dieser erst auf dem Proxy. Dieser liefert anschließend die Inhalte und der User erhält weder Einblick noch Zugriff auf die dahinter liegende Serverlandschaft. Versteckte Server können nicht oder nur mit erheblichem Aufwand angegriffen werden. Der Proxy hingegen schon, sodass dieser stets bestmöglich abgesichert sein sollte.
Installation des Webservers
Bevor du mit der Installation des Proxy Servers auf deinem NAS beginnst, benötigst du zuerst den Webserver. Ansonsten können zwischengespeicherte Webseiten nicht vom NAS bereitgestellt werden.
Öffne dafür die Systemsteuerung in deinem QNAP-Dashboard und rufe den Bereich „Webserver“ auf. Aktiviere den Webserver, indem du bei „Webserver aktivieren“ einen Haken setzt und unten auf den Übernehmen-Button klickst. Optional kannst du noch die Komprimierung de- und HTTPS aktivieren, da du beides im lokalen Netzwerk nicht zwingend benötigst und die Funktionen nur Rechenleistung benötigen.
Dein NAS ist nun in der Lage, Webseiten bereitzustellen. Jetzt geht es an die Installation des Proxy Servers.
Installation und Konfiguration des Proxy Servers
Wechsle nun ins App Center und suche über die Suchfunktion nach „Proxy“. Installiere anschließend die App mit einem Klick auf den Installieren-Button.
Sobald die Installation abgeschlossen ist, klicke auf „Öffnen“. Jetzt kannst du dich entweder durch die Willkommens-Slideshow klicken oder diese direkt mit einem Klick auf das Schließen-Icon rechts oben schließen.
Gleich zu Beginn lassen sich diverse Einstellungen zu Cache-Größe und Speicherort festlegen. Verfügt dein NAS über mehrere Volumes, ist es sinnvoll, das schnellste für den Proxy-Cache zu nutzen. Eine SSD ist für diesen Zweck optimal geeignet. Bedenke jedoch, dass Caching eine hohe Schreiblast auf der SSD verursacht und diese dadurch schneller altern kann. Für den Fall, dass du erst einen Speicher installieren möchtest, solltest du die TBW-Werte der Produkte beherzigen. Für Caching-Zwecke sollte dieser möglichst hoch ausfallen.
Lege jetzt die gewünschten Werte für die Cache-Verzeichnisgröße sowie die minimale und maximale Dateigröße fest. Die Verzeichnisgröße bestimmt den Umfang zwischengespeicherter Daten. Je nach Nutzerzahl kann dieser variieren, jedoch ist es nicht notwendig, hier mehrere Terabyte zuzuweisen. Sollte der Cache schneller voll sein als geplant, kannst du die Werte hier auch im Nachhinein noch nachjustieren.
Hast du in deinem QNAP NAS eine größere Menge an Arbeitsspeicher verbaut, kannst du außerdem „Zusätzliches Speicher-Caching aktivieren“. Dadurch landen häufig genutzte Dateien direkt im Arbeitsspeicher und sind noch schneller abrufbar. Außerdem verringert sich dadurch die Schreiblast auf deine SSD. Der einzige Nachteil daran ist, dass der dafür genutzte Arbeitsspeicher nicht für andere Zwecke zur Verfügung steht. Bestätige deine Einstellungen abschließend mit dem Übernehmen-Button.
Benutzerkonten und Zugriffsrechte verteilen
Im nächsten Schritt kannst du festlegen, welcher Benutzer und welcher Rechner den Proxy Server nutzen darf. Im Bereich „Zugriffssteuerung“ lassen sich IP- oder MAC-Adressen eintragen, sodass nur ganz bestimmte Geräte Zugriff erhalten. Über den Erstellen-Button rechts oben kannst du an dieser Stelle neue Einträge hinzufügen. Es lassen sich außerdem ganze IP-Adressbereiche eintragen.
Wähle entweder „Zulassen“ oder „Ablehnen“, je nachdem, ob das jeweilige Gerät zugreifen darf oder nicht. Werden die IP-Adressen beispielsweise automatisch in deinem Heimnetzwerk vergeben und du möchtest trotzdem einen bestimmten Rechner explizit erlauben oder ablehnen, musst du den Weg über die MAC-Adresse gehen.
So findest du die MAC-Adresse eines Windows-Rechners heraus
Sollte es erforderlich sein, einen PC nicht über die IP-Adresse zu black- oder whitelisten, kannst du die MAC-Adresse unkompliziert über die Eingabeaufforderung auslesen.
Öffne mit [WINDOWS-TASTE] + [R] das Ausführen-Fenster. Tippe dort cmd ein und bestätige mit der [EINGABETASTE]. Gib anschließend den Befehl
ipconfig -all
ein und bestätige erneut mit der [EINGABETASTE]. Anschließend spuckt dir die Kommandozeile sämtliche Daten zu allen vorhandenen Netzwerkadaptern aus. Im Feld Beschreibung kannst du die jeweilige Verbindung beziehungsweise den Netzwerkadapter ablesen. Handelt es sich dabei um jenen Adapter, mit dem du eine Verbindung ins lokale Netzwerk und weiter ins Internet herstellst, lies dort im Feld Physische Adresse die MAC-Adresse ab.
Sobald du diese dann in deinem QNAP Proxy Server einträgst, tausche einfach die Bindestriche durch Doppelpunkte aus. Ansonsten lässt sich der Eintrag nicht hinzufügen.
Benutzerauthentifizierung verwenden
Nicht immer ist es sinnvoll, nach IP- oder MAC-Adresse zu filtern. Oftmals kommt es vor, dass Nutzer A einen Proxy verwenden möchte, Nutzer B aber nicht. Darüber hinaus ist es vor allem in größeren Netzen wahrscheinlich, dass nur eine bestimmte Gruppe den Proxy Server nutzen soll oder darf. In diesen Szenarien kannst du im Tab „Authentifizierung“ bestimmte Nutzer oder Gruppen festlegen.
Aktiviere dafür die Option „Diese angegebenen Nutzer erlauben“ und wähle in der folgenden Liste die gewünschten Nutzer aus. Bestätige anschließend mit dem Übernehmen-Button.
Virenschutz aktivieren
Der QNAP Proxy bietet dir außerdem die Möglichkeit, den integrierten Virenscanner zu nutzen. Du findest die dazugehörende Option ebenfalls in der linken Spalte, selbstredend im Bereich „Virenschutz“. Klicke darauf und betätige den Schalter im oberen Bereich.
Möchtest du bestimmte Nutzerkonten oder Dateitypen von der Überprüfung ausschließen, kannst du einfach entsprechend einen Haken bei der jeweiligen Option setzen. Darüber hinaus lässt sich die maximale Dateigröße, die der Virenscanner prüft, festlegen. Größere Werte erfordern mehr Arbeitsspeicher während der Prüfung, aber als QNAP-User hast du davon ja meist ausreichend. Gerade bei ZIP- oder RAR-Archiven kann die Größe gerne mal in die Höhe schnellen. Aber gerade darin enthalten sich häufig schädliche Dateien. Es schadet demnach nicht, den Wert von 128 MB etwas zu erhöhen. Klicke abschließend auf „Übernehmen“, um deine Einstellungen zu speichern.
Webadressen auf die schwarze Liste setzen
Nicht alle Seiten im World Wide Web sind sicher – in vielerlei Hinsicht. Manche verteilen Viren und Trojaner, klauen die Kreditkartendaten deiner Nutzer oder zeigen nicht ganz so jugendfreie Inhalte. Gerade in Bildungseinrichtungen oder Unternehmen ist deshalb eine Seitensperre gang und gäbe. Auch dein QNAP Proxy unterstützt eine schwarze Liste.
Um diese zu aktivieren, wechsle im Proxy Server in der linken Spalte auf „Schwarze Liste“ und aktiviere diese mit dem obigen Schalter. Klicke anschließend auf den Button „Schwarze Liste aktualisieren“, um eine bereits vordefinierte Auswahl potenziell unerwünschter Seiten herunterzuladen. Anschließend kannst du Webseiten nach Kategorie sperren. Leider ist es an dieser Stelle aber nicht möglich, eigene Einträge der Blacklist hinzuzufügen. Die vordefinierte Liste ist aber ohnehin überaus umfangreich und blockiert je nach Auswahl sämtliche bekannte und weniger bekannte Seiten.
Wähle die zu sperrenden Kategorien aus, wundere dich kurz, warum jemand Kochseiten sperren sollte, und bestätige deine Auswahl mit dem Übernehmen-Button. Ab jetzt werden sämtliche Aufrufe dieser Webseiten direkt vom Proxy blockiert – sofern dieser auf den Rechnern eingerichtet ist.
Proxy auf einem Windows 11 Rechner einrichten
Standardmäßig nutzt Windows keinen Proxy Server, selbst dann, wenn die IP-Adresse automatisch vom Router zugewiesen wird. Letzterer weiß nämlich nicht, dass in deinem lokalen Netzwerk ein Proxy existiert. Hier musst du die Einträge manuell hinzufügen. Öffne dafür die Proxyeinstellungen, indem du im Startmenü nach dem Begriff suchst und anschließend daraufklickst.
Wähle anschließend im Bereich „Manuelle Proxyeinrichtung“ den Einrichten-Button. Hier kannst du nun den Schalter „Proxyserver verwenden“ aktivieren, die IP-Adresse deines QNAP-NAS eingeben sowie den Port 3128 eintragen. Letzterer ist der Standardport für den QNAP Proxy. Möchtest du einen anderen Port nutzen, kannst du diesen im Bereich „Einstellungen“ im QNAP Proxy Server festlegen. Bedenke, dass du nach einer Änderung entweder den Proxy oder das gesamte NAS neustarten musst, damit die Änderungen übernommen werden.
Möchtest du bestimmte Seiten vom Proxy ausschließen, kannst du diese im entsprechenden Feld eintragen. Mehrere Einträge trennst du einfach mit einem Semikolon (;). Entwickelst du Webseiten auf deinem Rechner oder laufen sonstige Dienste, die den HTTP-Port beanspruchen auf deinem Rechner, kannst du diese ebenfalls vom Proxy ausnehmen. Setze dafür einen Haken im Feld „Proxyserver nicht für lokale Adressen (Intranet) verwenden“. Klicke abschließend auf „Speichern“.
Sobald du jetzt einen Browser öffnest beziehungsweise eine Webseite aufrufst, musst du dich erst am Proxy anmelden – sofern du die Authentifizierung auf dem Proxy aktiviert hast. Gib deine Zugangsdaten für deinen Account auf dem QNAP-NAS ein
Mac OS und der Proxy Server
Natürlich ist es auch auf dem Mac möglich, einen Proxy Server zu nutzen. Die Einstellungen dafür findest du in den Systemeinstellungen. Öffne diese und wechsle in den Bereich Netzwerk.
Wähle anschließend in der linken Spalte deine Netzwerkverbindung, über die du dich mit dem Internet verbindest, aus. Klicke nun auf „Weitere Optionen“ und wechsle darauf in den Tab „Proxies“. Hier kannst du für sämtliche Protokolle einen Proxy definieren. In der Regel sollte hier aber der „Web-Proxy (HTTP)“ und ein „Sicherer Web-Proxy (HTTPS)“ ausreichen. Setze bei den entsprechenden Einträgen einen Haken und gib anschließend die IP-Adresse deines NAS sowie den Port 3128 ein. Ist die Benutzerauthentifizierung aktiviert, gib außerdem deine Zugangsdaten für deinen Account auf dem NAS ein. Du kannst übrigens auch Ausnahmen hinzufügen – also Seiten, die nicht auf dem Proxy zwischengespeichert werden. Das ist vor allem für Webseiten mit häufig sich ändernden Inhalten sinnvoll, etwa Facebook oder News-Seiten. Speichere die Einstellungen mit einem Klick auf „OK“ und anschließend auf „Anwenden“.
Proxy Server auf dem Android Smartphone nutzen
Auf deinem Android Smartphone kannst du für jede WLAN-Verbindung einen Proxy Server festlegen. Öffne hierfür die Einstellungen und tippe auf den Punkt „Netzwerk & Internet“. Tippe nun auf dein aktuell verbundenes WLAN, sodass du im Bereich „WLAN“ landest. Tippe etwas länger auf den Namen deines Drahtlosnetzwerks, sodass sich ein Kontextmenü öffnet. Wähle dort „Netzwerk ändern“ und klappe „Erweiterte Einstellungen“ aus.
Jetzt kannst du im Feld „Proxy“ auf „Manuell“ umschalten und die IP-Adresse deines NAS sowie gegebenenfalls deine Zugangsdaten eingeben. Speichere deine Einstellungen mit „Speichern“.
Und wenn ich doch HTTPS-Datenverkehr cachen möchte?
Wenn du den Proxy Server beispielsweise nur für dich selbst betreibst, ist dir das Risiko einer unverschlüsselten Verbindung im lokalen Netz vermutlich egal. In diesem Fall solltest du den Proxy Server aber entweder in einem Container, einer virtuellen Maschine oder über die Linux Station aus dem App Center installieren. Solltest du den Proxy Server bereits über das App Center installiert haben, kannst du diesen getrost wieder deinstallieren. Ebenso solltest du den Webserver wieder deaktivieren, da du ansonsten den Port blockierst. Egal, wofür du dich entscheidest, die Schritte für die Installation laufen sehr ähnlich ab. In unserem Beispiel installieren wir die Ubuntu Linux Station. Diese benötigt als vollwertiges Linux zwar etwas mehr Arbeitsspeicher, jedoch benötigen wir keinen Container oder virtuelle Maschine. Die Einrichtung geht somit schneller vonstatten.
Rufe das App Center auf, suche nach der „Ubuntu Linux Station“ und installiere diese über den Installieren-Button. Öffne nach erfolgter Installation die Linux Station, wähle in der linken Spalte die Version 20.04 und klicke rechts auf den Install-Button. Zwar handelt es sich dabei um eine ältere Distribution, jedoch erhält auch diese Version den sogenannten Long Term Support (LTS) – und die aktuelle 22.04 wird bei QNAP noch einige Zeit dauern. Die Installation dauert etwas, da das gesamte rund 3 GB große DVD-Image heruntergeladen und installiert wird. Zeit für Kaffee oder einen Energydrink – die nun folgende Konfiguration hat es nämlich in sich.
Sollte die Installation beim ersten Versuch fehlschlagen, installiere Ubuntu einfach noch mal. In unserem Fall lief die Installation darauf bis zum Ende durch.
Ubuntu konfigurieren
Sobald die Installation abgeschlossen ist, kannst du diverse Parameter in der Linux Station festlegen. Etwa die Menge an Arbeitsspeicher, die Auflösung oder die Anzahl an CPU-Kernen. Ein Proxy benötigt nicht sonderlich viel Rechenleistung im Heimnetzwerk, sodass du mit einer Handvoll CPU-Kernen und etwa 2-4 GB Arbeitsspeicher bereits gute Performance erzielst. Du kannst außerdem noch die Auflösung erhöhen, die standardmäßig ausgewählten 1280×800 sorgen nämlich für ein ordentlich unscharfes Bild im Browser. Nutzt du mehrere Netzwerkadapter auf deinem QNAP-NAS, ist es außerdem noch notwendig, untenstehend den richtigen Adapter auszuwählen.
Bestätige deine Einstellungen mit dem Apply-Button und klicke abschließend auf den Link bei „Connection URL“.
Linux-Einrichtungsassistenten abschließen
Melde dich in Ubuntu über einen Klick auf den Admin-User an. Alternativ kann es sich dabei um deinen aktuell eingeloggten QNAP-Account handeln. Gib das dazugehörende Passwort ein und bestätige mit der [EINGABETASTE]. Willkommen in deinem neuen Linux. Die Einrichtung diverser Online-Accounts kannst du über den Button rechts oben überspringen. Livepatch kannst du ebenso mit einem Klick auf „Next“ überspringen.
Möchtest du keine Telemetriedaten senden, wähle „No, don’t send system info“ und klicke erneut auf „Next“. Die Lokalisierungsdienste kannst du ebenso mit „Next“ überspringen. Ein letzter Klick auf „Done“ schließt den Einrichtungsassistenten ab. Jetzt kannst du Linux nach Belieben nutzen.
Squid Proxy auf Linux installieren
Für unser Vorhaben nutzen wir den Squid Proxy, der ebenfalls unter der Haube des QNAP Proxy steckt. Dank Linux sind die Konfigurationsmöglichkeiten jedoch umfangreicher und es lassen sich auch Plugins installieren – etwa jenes, welches du für die Entschlüsselung einer SSL-Verbindung benötigst.
Zuerst geht es in die Konsole. Öffne diese, indem du links unten auf das App-Menü klickst. Scrolle eine Seite nach unten und wähle dort „Terminal“.
Jetzt öffnet sich ein Eingabefenster, in das du zahlreiche Befehle tippen kannst. Leider funktioniert im Browserfenster der Linux-Station kein Copy & Paste, sodass du hier penibel genau abtippen musst. Achte auch auf die Leerzeichen. Eine weitere Möglichkeit wäre, dass du unser Tutorial direkt in der Linux Station über den integrierten Browser aufrufst und dort die Kommandos kopierst und im Terminal einfügst.
sudo su
macht dich zum sogenannten Superuser mit einem großen Umfang an Rechten. Gib dein Passwort ein und bestätige mit der [EINGABETASTE].
wget -qO - https://packages.diladele.com/diladele_pub.asc | sudo apt-key add -
fügt den benötigten Paketmanager deiner Linux-Installation hinzu.
echo "deb https://squid55.diladele.com/ubuntu/ focal main" \ > /etc/apt/sources.list.d/squid55.diladele.com.list
lädt Squid in die App-Liste und ermöglicht den nachfolgenden Download. Sollte an dieser Stelle ein „Permission Denied“ aufscheinen, kannst du das ignorieren.
apt-get update && apt-get install -y \ squid-common \ squid-openssl \ squidclient \ libecap3 libecap3-dev
Installiert die Pakete des Squid Proxy Servers.
Möglicherweise erscheint die Abfrage, ob du weitermachen möchtest. Bestätige diese einfach mit [Y]. Das Setup erinnert dich hier lediglich an den benötigten Speicherplatz. Mit etwas Pech ist hier noch ein englisches Tastaturlayout festgelegt, sodass [Y] und [Z] vertauscht sind. Anschließend kannst du
squid -v
eintippen, um zu sehen, ob die App erfolgreich installiert und konfiguriert wurde. Dir werden nun sämtliche Features des Proxys aufgelistet. In diesem Wirrwarr aus Plugins und Erweiterungen sollten die beiden folgenden Features zu finden sein:
--with-openssl --enable-ssl-crtd
Jetzt kannst du dich an den nächsten Schritt wagen. Du benötigst für die einwandfreie Funktion des Proxys ein sogenanntes SSL-Zertifikat.
SSL-Authority erstellen
Damit dein Browser nicht ständig Warnungen aufgrund eines veränderten SSL-Zertifikats ausspuckt, benötigst du ein eigenes. Dieses gaukelt deinem Browser vor, dass alles in Ordnung ist. Zuerst ist es aber notwendig, eine sogenannte Certificate Authority einzurichten. Dabei handelt es sich vereinfacht um eine Zertifikatsregistrierungsstelle, die zukünftig erstellte Zertifikate absegnet. Ubuntu bringt bereits das notwendige Tool standardmäßig mit. Gib in der Konsole folgenden Befehl ein und bestätige zwei Mal mit der [EINGABETASTE].
/usr/lib/ssl/misc/CA.pl -newca
Jetzt lässt sich ein Passwort für das Hauptzertifikat festlegen. Wähle eines, bestätige, tippe das Passwort erneut ein und bestätige nochmals. Im nächsten Schritt verlangt das Tool deinen Ländercode – also etwa DE für Deutschland sowie ein Bundesland. Hier kannst du aber einfach nach Belieben wählen. Ebenso freie Hand hast du beim „Locality Name“, also der Stadt.
Gib als Nächstes ein (fiktives) Unternehmen an, welchem das Zertifikat ausgestellt wird. Da du dieses ohnehin nur im privaten Netzwerk nutzt, kannst du auch hier einen Fantasienamen vergeben. Als wäre das noch nicht genug, möchte das Tool auch noch die Abteilung wissen. Abschließend kannst du den Servernamen oder etwa deinen eigenen Namen eingeben und bestätigen. Es folgt noch die E-Mail-Adresse. Da hier ein englisches Tastaturlayout genutzt wird, tippe das @-Zeichen deiner Adresse mit der Tastenkombination [GROSSSCHREIBTASTE] + [2].
Du hast es bald geschafft. Überspringe das „challenge password“ sowie den „optional company name“ mit der [EINGABETASTE]. Das Zertifikat liegt nun nach Eingabe deines vorhin festgelegten Passworts bereit. Mit
/usr/lib/ssl/misc/CA.pl -newreq
kannst du ein neues Zertifikat erstellen, das im nächsten Schritt signiert wird. Achte darauf, dass du hier dieselben Daten eingibst wie vorhin. Der Ablauf ist identisch zum vorherigen Befehl. Signiere das Zertifikat per
/usr/lib/ssl/misc/CA.pl -sign
und gib erneut dein vorhin festgelegtes Passwort ein. Beantworte außerdem die Frage, ob du das Zertifikat signieren möchtest, mit [Y] (beziehungsweise [Z] auf der deutschen Tastatur). Bestätige mit der [EINGABETASTE] und segne die Frage, ob du weitermachen möchtest, ebenfalls mit [Y] ab.
Wechsle jetzt in deinen Home-Ordner, indem du in der linken Leiste auf das Ordner-Icon klickst. Rechtsklicke in einen leeren Bereich und wähle „Open in Terminal“. Jetzt bist du mit dem Konsolenfenster direkt in deinem Home-Verzeichnis, wo sich auch die Zertifikatsdatei befindet. Mit folgendem Befehl erstellst du ein browserkompatibles Zertifikat, das du später auf deinen Rechnern importieren kannst:
openssl x509 -in newcert.pem -outform DER -out squidTrusted.der
Der Befehl spuckt eine .der-Datei aus, die du am besten gleich auf einen USB-Stick oder anderen Datenträger beziehungsweise Netzlaufwerk kopierst.
Zertifikate für Squid bereitstellen
Damit der Proxy Server das Zertifikat auch nutzen kann, ist es notwendig, dieses in dessen Stammordner zu kopieren. Gib daher folgende Befehle ein und bestätige diese mit der [EINGABETASTE]:
sudo mkdir /etc/squid/certs
Erstellt ein neues Verzeichnis für die Zertifikate im Stammordner des Proxys. Beim ersten Sudo-Befehl in einem neuen Terminalfenster benötigst du wieder dein Passwort.
sudo mv newcert.pem /etc/squid/certs
Verschiebt die Zertifikate aus dem aktuellen Ordner in den soeben erstellten Zertifikatsordner.
sudo chown proxy:proxy -R /etc/squid/certs
Setzt den Besitzer des Zertifikatsordners auf den Proxy.
Glückwunsch, der schwierige Teil des Vorhabens ist abgeschlossen. Jetzt musst du nur noch den Proxy konfigurieren.
Squid konfigurieren
Die Konfigurationsdatei liegt im Verzeichnis /etc/squid. Um dorthin zu gelangen, tippe folgenden Befehl ein:
cd /etc/squid
Die Datei selbst öffnest du mit
gedit squid.conf
Suche in der Datei mit [STRG] + [F] nach http_port 3128 und ersetze die gesamte Zeile durch folgenden Inhalt. Achte darauf, dass die gesamte Einstellung in einer einzigen Zeile landet.
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/certs/newcert.pem key=/etc/squid/certs/newkey.pem capath=/home/sleek/demoCA/
Füge außerdem an einer beliebigen Stelle noch folgendes Snippet ein, um Squid den Pfad zu den Zertifikaten mitzuteilen:
sslproxy_capath /home/[DEINBENUTZERNAME]/demoCA/
Jetzt gilt es nur noch, die SSL-Entschlüsselung zu aktivieren. Scrolle in der Konfigurationsdatei ganz nach unten und füge folgende Einstellungen in einer neuen Zeile ein:
acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump bump all sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 4MB sslcrtd_children 5 ssl_bump server-first all sslproxy_cert_error allow all
Klicke abschließend auf den Save-Button in der Menüleiste und schließe den Texteditor.
Ende in Sicht: Squid starten und testen
Abschließend ist es notwendig, dass du den Squid Proxy Server startest. Mit folgenden Befehlen aktivierst du den Proxy, startest diesen und installierst diesen als Hintergrunddienst. So musst du nicht nach jedem Hochfahren den Proxy starten.
sudo systemctl enable squid sudo systemctl start squid sudo systemctl status squid.service
Nachdem der Proxy hochgefahren ist, kannst du dich an die Konfiguration der Clients machen. Hier muss nämlich das Zertifikat noch hinzugefügt werden. Ansonsten würdest du bei jeder aufgerufenen Webseite erst einmal einen Hinweis über ein ungültiges Zertifikat erhalten.
Zertifikat im Browser hinzufügen
Kopiere die .der-Datei von vorhin auf deinen Rechner. Rufe nun deinen Browser auf. In unserem Beispiel zeigen wir dir die Vorgehensweise anhand Microsoft Edge, da der Ablauf unserer Ansicht nach hier am kompliziertesten ist.
Rufe die Datenschutzeinstellungen auf, indem du in der Adresszeile Folgendes aufrufst:
edge://settings/privacy
Klicke nun im Abschnitt „Sicherheit“ auf „Zertifikate verwalten“ und anschließend auf „Importieren“. Wähle im Zertifikatimport-Assistenten den Weiter-Button und auf „Durchsuchen“. Navigiere zu deiner .der-Datei und doppelklicke auf diese. Klicke erneut auf „Weiter“, stelle sicher, dass „Alle Zertifikate in folgendem Speicher speichern“ gewählt ist und betätige abschließend erneut den Weiter-Button sowie „Fertig stellen“. Klicke abschließend auf „OK“ und „Schließen“. Jetzt kannst du wie in den oberen Abschnitten beschrieben, den Proxy Server auf deinem Rechner einrichten und nutzen.
Bei anderen Browsern wie Chrome oder Opera findest du den Zertifikat-Import ebenfalls unter den Einstellungen.
No replies yet
Neue Antworten laden...
Gehört zum Inventar
Beteilige dich an der Diskussion in der Basic Tutorials Community →