Исправление julixs, (текущая версия) :
Ну дык прочти доки внимательнее.
https прозрачно без доп. сертификатов только до имени сервера.
Так это и требуется, но не работает без импорта сертификата на клиенты. Ожидалось включение проверки SSL включение SNI и дальнейшая работа с ACL. На деле https ресурсы доступны на клиенте только при импорте сертификата. Может я что то не правильно понял из доков но пока оно работает именно так.
Задачей не стоит лезть в ссл трафик. И хотелось бы обойтись без манипуляции с клиентами и сертификатами. На дебиан это работает, я не сомневаюсь что и на pf/opnsense тоже, но в доке обязательным условием стоит экспорт импорт сертов(.
https://wiki.opnsense.org/manual/how-tos/proxytransparent.html
Step 8 - Configure OS/Browser
Since the CA is not trusted by your browser, you will get a message about this for each page you visit. To solve this you can import the Key into your OS and set as trusted. To export the Key go to System ‣ Trust ‣ Authorities and click on the icon to export the CA certificate. Of course one may choose to accept the certificate for each page manually, but for some pages that may not work well unless not bumped.
<<<
Исправление julixs, :
Ну дык прочти доки внимательнее.
https прозрачно без доп. сертификатов только до имени сервера.
Так это и требуется, но не работает без импорта сертификата на клиенты. Ожидалось включение проверки SSL включение SNI и дальнейшая работа с ACL. На деле https ресурсы доступны на клиенте только при импорте сертификата. Может я что то не правильно понял из доков но пока оно работает именно так.
Задачей не стоит лезть в ссл трафик. И хотелось бы обойтись без манипуляции с клиентами и сертификатами. На дебиан это работает, я не сомневаюсь что и на pf/opnsense тоже, но в доке обязательным условием стоит экспорт импорт сертов(.
https://wiki.opnsense.org/manual/how-tos/proxytransparent.html
Step 8 - Configure OS/Browser
Since the CA is not trusted by your browser, you will get a message about this for each page you visit. To solve this you can import the Key into your OS and set as trusted. To export the Key go to System ‣ Trust ‣ Authorities and click on the icon to export the CA certificate. Of course one may choose to accept the certificate for each page manually, but for some pages that may not work well unless not bumped.<<<
Исходная версия julixs, :
Ну дык прочти доки внимательнее.
https прозрачно без доп. сертификатов только до имени сервера.
Так это и требуется, но не работает без импорта сертификата на клиенты. Ожидалось включение проверки SSL включение SNI и дальнейшая работа с ACL. На деле https ресурсы доступны на клиенте только при импорте сертификата. Может я что то не правильно понял из доков но пока оно работает именно так.