DSM 5.2 mit Proxy Server App - IE funktioniert, Firefox nicht....

[DustFireSky]

Hallo liebe Leute,

ich habe auf der DS 412+ über das Paketzentrum den Proxy Server installiert und diesen auch soweit eingerichtet. Das heißt die Log Dateien gehen an einen Syslog Server und eine Wpad.dat Datei sollte automatisch an alle Rechner im LAN über DHCP verteilt werden. Der DHCP Server ist ebenso eingerichtet und funktioniert und auch dort wurde die Automatische Proxy Erkennung eingerichtet.

Die Standardeinstellung der Clients mit Windows ist ja, das diese unter Systemsteuerung => Internetoptionen => Verbindungen => LAN Einstellungen => nur der Haken bei "Einstellungen automatisch erkennen" gesetzt ist. Da ich jetzt nicht wirklich Lust habe jeden einzelnen Client konfigurieren zu müssen wollte ich das auch alles automatisch laufen lassen.

Das Problem ist aber jetzt, wenn ein Rechner eine IP über den DHCP Server bezieht die Restriktionen nur im Internet Explorer funktionieren. Ich hatte zum testen eine URL verboten. Im Internet Explorer zeigt er mir die Seite nicht an, wie gewollt, aber im Firefox komme ich ohne Probleme drauf. Ich habe mir natürlich die Konfiguration des Firefox angesehen und dieser steht bei den Proxy Einstellungen auch auf "Automatisch erkennen". Nur warum funktioniert das dann im Firefox nicht ?

Kurz und knapp:

IE verwendet den Proxy, Firefox nicht...

Was muss ich machen, das der Firefox diesen auch benutzt ?

Wenn ich in den Internetoptionen die Konfigurationsdatei manuell eintrage geht das auch im Firefox, würde aber bedeuten, das ich das bei jedem Client manuell eintragen muss. Wäre eine lästige Angelegenheit...

Hat das schon jemand gemacht ? Hatte jemand das gleiche Problem und konnte es lösen ?

 

[DustFireSky]

Hat sich erledigt. Habe es geschafft.

 

[g202e]

Wäre nett, wenn du die Lösung bekannt gibst....

 

[DustFireSky]

Was braucht man, wenn man einen Proxy Server bereitstellen möchte, der automatisch, ohne das man jeden Client konfigurieren muss über den Proxy funkt und das in JEDEM Browser funktioniert ?

1. DHCP Server
2. Proxy Server
3. DNS Server

Das klappt alles mit den DS Paketen von Synology! Man muss also nicht über SSH verbinden und dann an den Dateien herum experimentieren.

Da ich natürlich nicht wissen kann, was Ihr für IP Netze bei Euch eingerichtet habt mache ich das Beispiel anhand des 192.168.1.0 Netzes.


Wir stellen uns jetzt mal vor, die DS hätte die feste IP: 192.168.1.5 und alle anderen Clients beziehen über den DHCP Server der DS die IP 192.168.1.100 - 192.168.1.200.
Das muss so sein, denn sonst läuft das ganze nicht. Wer also einen Router hat, der die Verbindung ins WAN aufbaut, der sollte bei diesem Gerät DHCP ausschalten. Wer also einen Speedport, Fritzbox oder ein ähnliches Gerät hat, weiß was zu tun ist.

Spätestens dann wenn Ihr mit PXE hantiert müsstest Ihr so oder so den DHCP Server der DS nutzen.


Wir fangen also bei dem Proxy Server an:

Register: Einstellungen
1. Installiert den ganz normal.
2. Entweder lasst Ihr den Standardport stehen oder ändert diesen, das ist Euch überlassen.
3. Die Protokollierung sollte man einschalten, gerade um zu schauen, warum er nicht cached oder die Verbindung verweigert wird. Ein muss ist das aber nicht.

Register: Cache
1. Wer damit herum experimentieren möchte kann dies gerne tun, ich habe alles auf Standard gelassen.

Register: Zugriffskontrolle
1. Es wird nun langsam interessant. Ihr werdet einen vor eingetragenen Eintrag vorfinden, der so gut wie alle Heimnetze grob umfasst. Ich persönlich brauchte nur IPV4 und zwar das 192.168.1.0/24 Netz. Da ich nicht weiß was Ihr habt müsst Ihr das manuell ändern.
2. Erstellt nun einen weiteren Eintrag, den wir später zum testen verwenden werden (Könnt Ihr später wieder löschen wenn alles funktioniert).

Klickt also auf erstellen und gebt bei
Aktion => "Verweigern" an.
Typ ist "Ziel-Hostname"
Hostname ist "bild.de"

Ihr könnt auch ganze Domainbereiche verbieten, die auf .to enden. Dann einfach ".to" schreiben.

Es versteht sich von selbst das diese Angaben ohne die " Zeichen eingetippt werden müssen.

Register: Proxy-Bereitstellung
1. Setzt den Haken bei "Automatische Web-Proxy Erkennung aktivieren". Es sollte danach automatisch die URL erzeugt werden. Sollte das nicht der Fall sein, sofort auf Übernehmen klicken und Ihr werdet daran erinnert, das der Web-Server Dienst nicht gestartet ist und dieser laufen muss, damit das funktioniert. Sagt "JA" und er wird gestartet.

DHCP Server konfigurieren



Ich fasse mich hier kurz. Primärer DNS Server sollte die DS sein. Dort die IP eintragen. Zweiter DNS Server ist euer Router. Vergebt eine Domäne. Wie Ihr die nennt ist egal, denkt euch was aus oder Ihr habt bereits eine. Für Heimnetze bietet sich aber ein ****.local oder ****.intra an. Wie Ihr das nennt müsst Ihr wissen. Bedenkt aber, das diese Angabe später wichtig wird, wenn wir den DNS Server einrichten. Also denkt Euch was aus, das auch so bleiben soll.

Tragt zum Beispiel: meinheimnetz.local ein.

Die URL die unten zu finden ist sollte so lauten wie da steht. Wenn Ihre Domäne also meinheimnetz.local heißt, muss da wpad.meinheimnetz.local drin stehen. Warum und wieso, dazu kommen wir später.

DNS Server konfigurieren

Register: Zonen

1. Klickt auf "erstellen" und wählt "MasterZone"
2. Tragt bei Domain Name den Namen von eben ein: meinheimnetz.local
3. IP ist die DS IP
4. Ok klicken.

1. Markieren Sie nun den Eintrag und klicken auf Bearbeiten und dann auf Ressourceneintrag
2. Es dürften zwei Einträge bereits vorhanden sein. ein A Eintrag und ein NS Eintrag
3. Klicken Sie auf erstellen und sagen A.
4. Bei dem Namensfeld tippen sie z.b. folgendendes ein => "nas" sodass daraus => "nas.meinheimnetz.local" wird. IP Adresse ist wieder die DS IP. OK klicken.
5. Erstellen Sie nun einen Eintrag mit CNAME und tragen Sie wpad bei Name ein. Autorisierter Name ist "nas.meinheimnetz.local"

Somit wären wir mit dem Grundgerüst der ForwardZonen soweit fertig.
Nun geht es weiter mit den ReverseZonen.

1. Klickt auf "erstellen" und wählt "MasterZone"
2. Ändert die Foward Zone in Reverse Zone
3. Tragt bei Domain Name die ersten drei Oktetten eures Netzes in umgekehrter Reihenfolge ein. BSP: 1.168.192
4. Ok klicken.

1. Markieren Sie nun den Eintrag und klicken auf Bearbeiten und dann auf Ressourceneintrag
2. Klicken Sie auf erstellen und sagen NS Type.
3. Das Namefeld lassen Sie LEER! Bei Host/Domäne folgendes eintragen => ns.meinheimnetz.local
4. OK klicken.
5. Erstellen Sie nun einen Eintrag mit PTR und tragen Sie bei Name die IP der DS ein. Hierbei ist zu beachten, das nur die letzte Stelle darein kommt. BSP: DS IP 192.168.1.5. Wenn die DS IP mit 5 endet tragt Ihr bei Name einfach 5 ein. Host/Domäne ist nas.meinheimnetz.local

Windows 7&8++

Navigieren Sie unter Windows zu Systemsteuerung => Internetoptionen => Verbindungen => LAN Einstellungen und stellen Sie sicher, das nur der Haken bei "Einstellungen automatisch erkennen" gesetzt ist. Das sollte falls Sie daran nie etwas verstellt haben sowieso so sein.

Außerdem stellen Sie sicher, das Sie Ihre IP über DHCP beziehen.

Testen:

Öffnen Sie über Windowstaste + R das Ausführen Fenster und tippen cmd ein.

Befehl ausführen: nslookup wpad.meinheimnetz.local

Er sollte Ihnen nun die Ip Adresse ausspucken und ebenso das es sich dabei um eine Alias handelt.

Auch sollte es möglich sein über:

ping wpad.meinheimnetz.local erfolgreiche Ping Antworten zu bekommen.


Schnappen Sie sich einen Browser Ihrer Wahl und versuchen Sie www.bild.de zu öffnen. Wer alles richtig gemacht hat wird feststellen, das dem Proxy das gar nicht gefällt und er wird dies verweigern. Sie erinnern sich, wir hatten das anfangs bei dem Proxy als Regel definiert. Das sollte in den gänigen Browsern funktionieren. Im IE und Firefox klappt es definitiv.

Wer jedoch eine feste IP am Client verwendet, dem wird auffallen, das der IE nach wie vor noch die www.bild.de Seite blockt, der Firefox aber nicht. Um das zu umgehen muss dem Client ein DNS Suffix mitgegeben werden. Wie gesagt müsst Ihr das nur händisch machen, falls Ihr feste IP's bei den Clients benutzt. Um das Suffix einzutragen geht Ihr in die Systemeigenschaften in den Tab Computer und ganz unten auf ändern. Im folgenden Fenster auf "weitere". Bei Primäres DNS-Suffix des Computers tragt Ihr meinheimnetz.local ein. Der Haken direkt darunter muss auch gesetzt sein. Alles mit OK bestätigen und neustarten. Danach werdet Ihr in jedem Browser oder generell über HTTP über einen Proxy ins Netz gehen.

Das war es auch. Ich weiß natürlich das es elegantere Lösungen gibt und vielleicht hätte man das auch anders handhaben können... Ich war nur froh, das es endlich läuft.

 

[DustFireSky]

Kleiner Nachtrag.

Wer das Problem hat, das er sich über den Proxy nicht mehr im DSM Manager anmelden kann, weil der Proxy die Verbindung verweigert ändert die wpad.dat im Verzeichnis /web in folgendes:

function FindProxyForURL(url, host)
{
if (isInNet(host, "192.168.1.0","255.255.255.0")) // Local IP
return "DIRECT";
else
return "PROXY 192.168.1.5:3128";
}

Somit wird der Content der lokalen IP Adressen direkt wieder gegeben und nicht über den Proxy geleitet. Es gab dabei nämlich das Problem, das im Firefox z.b. die HTTPS Verbindung nicht mehr aufgebaut werden konnte, wenn die wpad.dat unverändert blieb. Bei diesem Beispiel könnt Ihr auch den Haken bei "HTTP Verbindungen automatisch zu HTTPS umleiten" aktiviert lassen.

Nach der Änderung den Rechner neustarten. Danach solltet Ihr wieder problemlos iin den DSM kommen.

 

[iLion]

Hallo DustFireSky,

bisher hatte ich den Proxy immer als manuell konfiguriert laufen. Durch Deinen Hinweis auf den wpad Eintrag im DNS klappt nun auch die automatische Konfiguration. Die Änderung für den https Zugriff war bei mir auch notwendig. Bei der manuellen Konfiguration war das nicht nötig, weil man den Eintrag ja nur den http Verbindungen zu geordnet hat. Jetzt gibt es aber ein neues Problem. Ich nutze 1Password für Mac und eine Safari Erweiterung. Diese kommuniziert über den localhost mit der 1Password App. Bei der manuellen Konfiguration gibt es erneut kein Problem mit dem Proxy, ggfs. kann man in den Netzwerkeinstellungen noch eine Ausnahme für 127.0.0.1 eintragen. Bei der automatischen Konfiguration hilft das aber nicht und die Erweiterung bekommt keine Daten mehr. Laut AgileBits Support müsste 127.0.0.1 ebenfalls in die WPAD mit "DIRECT" eingetragen werden. Aber wie formatiert man das? Kann die WPAD "else if"? Oder schreibt man dann mehrere IF Abfragen hintereinander? Wo kann man was zu dem Aufbau der Datei nachlesen?

 

[DustFireSky]

Es gibt verschiedene Schreibweisen und Möglichkeiten.

Hier ein Beispiel mit der ODER Bedingung.

function FindProxyForURL(url, host)
{
if (isInNet(host, "192.168.1.0","255.255.255.0")) || (isInNet(host, "127.0.0.1","255.255.255.0"))
return "DIRECT";
else
return "PROXY 192.168.1.5:3128";
}

Hier ein Beispiel mit ELSE IF:

function FindProxyForURL(url, host)
{
if (isInNet(host, "192.168.1.0","255.255.255.0"))
return "DIRECT";
else if (isInNet(host, "127.0.0.1","255.255.255.0"))
return "DIRECT";
else
return "PROXY 192.168.1.5:3128";
}

Da habe ich aber auch noch eine Frage. Hast du dir die Logs mal angesehen ? Hast du auch soviele TCP_MISS Einträge darin ? Wenn ich das richtig verstanden habe, sind TCP_HIT Einträge gespeicherte (gecachte Dateien von der Platte) und TCP_MEM aus dem RAM. Aber warum zum Geier cached der bei mir 3/4 der Einträge nicht ? Hast du das selbe Problem ? Wenn nein, wie ist deine Konfig ?

EDIT://

Eine Seite mit allen Möglichen Befehlen habe ich selber noch nicht gefunden. Hatte aber auch nicht lange gesucht. Hier findest du allerdings ein paar Anwendungsbeispiele:
http://www.linickx.com/better-proxy-settings-bluecoat-wpad-proxypac-dhcp-option-252

Wie ich gesehen habe, gibt es auch einen extra Befehl um abzufragen, ob es der localhost ist, dann dieses verwenden.

 

[iLion]

Ich habe die Protokollierung im Moment nicht aktiv, schaue ich mir aber mal kurzfristig an. Auf dieser Webseite habe ich noch eine andere Form gefunden, die auch funktioniert. Hast Du eine Ahnung warum da noch ein dnsResolve bei den isInNet Abfrage genutzt wird? Funktionieren tut das allerdings schon. Mit der automatischen Konfiguration kann ich so 1Password wieder nutzen. Wir müssen mal bei Synology ein Feature Request machen, damit man solche Änderungen über die Oberfläche des Proxy Servers eintragen kann. Ein falscher Klick und die wpad Datei ist mit den Vorgabewerten überschrieben.

 

[DustFireSky]

Wegen dem dnsResolve ....

Wahrscheinlich weil er mit isInNet(host, "192.168.1.0","255.255.255.0") nur nach der IP ausschau hält. Du weißt ja selber, das man Fritzboxen auch über den DNS Eintrag ansprechen kann (fritz.box). Für den Proxy wäre das keine lokale IP und würde trotzdem den Proxy verwenden. Damit der Proxy aber erkennt, das es sich wirklich um eine INTERNE LOKALE IP handelt muss das wohl sicherheitshalber mit der Auflösung zusammen umgesetzt werden damit aus fritz.box eine IP wird. Daran hatte ich bis jetzt gar nicht gedacht Liegt wohl auch daran, das ich immer die IP's direkt in den Browser tippe.

 

[nuw8order]

Ich habe mich strikt an deine Anleitung gehalten. Alle HTTPS-Anfragen werden aber vom Proxy-Server blockiert.

Und irgendwie funktioniert das DNS bei mir auch nicht wirklich, aber das schaue ich mir nochmal an. Einen wirklichen Fehler kann ich nicht erkennen.

 

[nuw8order]

Wieso kann ich meinen Beitrag nicht bearbeiten?

DNS funktioniert mittlerweile einwandfrei. Die Adress-Leases müssen logischerweise bei den Clients erneuert werden, damit alles klappt.

Nun ist nur noch der Proxy-Server ein kleines Hindernis: Blockiere ich Bild.de funktioniert das einwandfrei. Zusätzlich blockiert er allerdings auch sämtlich HTTPS-Requests. Ich schau mal weiter.

 

[MC_Bergsteiger]

Noch eine kleiner Ergänzung:
Es mag trivial sein, aber mich hatte es eben ein paar Stunden Rumprobieren und Recherchieren gekostet:

Wenn es weiterhin Probleme mit der automatischen Verteilung der Proxy-Informationen gibt, sollte auch mal die URL http://wpad/wpad.dat aufgerufen werden.
Wenn Ihr anstelle des Inhalts der wpad.dat-Datei einen 502-Fehler "Bad Gateway" erhaltet, solltet Ihr die Web-Server-Konfiguration checken ("Web Station" Synology App).

Bei mir war nach diversen System-Updates hier irgendwas im Argen und erst nach erneuter Installation des "Apache HTTP Server" Pakets funktionierte auch die Verteilung der WPAD-Datei wieder einwandfrei.