TurboBlaze Опубликовано 8 февраля, 2022 · Жалоба Трафик редиректится через WPAD (настроено у меня), телефоны, планшеты не понимают WPAD (требуется ручная настройка proxy). Провайдер в танке :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 8 февраля, 2022 · Жалоба В 08.02.2022 в 11:13, TurboBlaze сказал: Трафик редиректится через WPAD (настроено у меня), телефоны, планшеты не понимают WPAD (требуется ручная настройка proxy). Провайдер в танке :) WPAD удобно, но небезопасно. Поэтому давно уже многими отключен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Udavf Опубликовано 8 февраля, 2022 · Жалоба On 2/8/2022 at 3:51 PM, ixi said: WPAD удобно, но небезопасно. Поэтому давно уже многими отключен А учитывая что эти подонки заставляют ставить корневой сертификат, WPAD меньшая из проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TurboBlaze Опубликовано 8 февраля, 2022 · Жалоба Распил денег под Новый Год и захват школ под свое влияние. WPAD это костыль, как и все остальные подходы к ЕСПД. Можно пойти по пути своего Squid на отдельном АРМ, родительским приписывать РТК Proxy, с последующим заворотом трафика на внутренний Squid. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Udavf Опубликовано 8 февраля, 2022 · Жалоба On 2/8/2022 at 4:42 PM, TurboBlaze said: Можно пойти по пути своего Squid на отдельном АРМ, родительским приписывать РТК Proxy, с последующим заворотом трафика на внутренний Squid. Ну за это писали выше в теме. Я пробовал, не завелось, но я пока не осмыслил принцип работы iptables, может ошибся, буду еще пробовать. Ты пробовал, работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 8 февраля, 2022 · Жалоба В 08.02.2022 в 16:29, Udavf сказал: А учитывая что эти подонки заставляют ставить корневой сертификат Вы про гугл или эппл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Udavf Опубликовано 8 февраля, 2022 (изменено) · Жалоба On 2/8/2022 at 4:46 PM, ixi said: Вы про гугл или эппл? Я про то что уязвимости wpad не так страшны, как то, что в каждом устройстве внедрен сертификат от уебановнациональной компании, которая не может даже прозрачную проксификацию сделать... Изменено 8 февраля, 2022 пользователем Udavf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 8 февраля, 2022 · Жалоба В 08.02.2022 в 16:51, Udavf сказал: Я про то что уязвимости wpad не так страшны, как то, что в каждом устройстве внедрен сертификат от уебанов, которые не могут даже прозрачную проксификацию сделать... им прозрачно не надо, им надо фильтровать трафик... а вот зачем на личные телефоны всё это ставить и их подключать к сей сети, \то тайна великая есть (рассказывать, что в школе выдали ай фон, не надо...) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TurboBlaze Опубликовано 8 февраля, 2022 (изменено) · Жалоба Udavf, не пробовал, так как лицей полностью закрыли на дистант с 8 по 17 февраля включительно. Пришлось назад PPPoE подключения из бэкапа восстанавливать, так как Skype не завелся с ЕСПД. У Вас маршрутизатор работает на OpenWRT? Там проще с firewall и iptables. Приблизительные правила я написал в этом сообщении (хотя, по ходу, нужно использовать правило с DNAT) В 08.02.2022 в 16:51, Udavf сказал: wpad не так страшны как по мне дичь, но нужно было быстро придумать схему. Пошел по легкому пути. В 08.02.2022 в 16:53, st_re сказал: им прозрачно не надо, им надо фильтровать трафик... он и на PPPoE хорошо фильтруется до сих пор - провайдер тот же РТК. В 08.02.2022 в 16:53, st_re сказал: а вот зачем на личные телефоны всё это ставить и их подключать к сей сети, \то тайна великая есть (рассказывать, что в школе выдали ай фон, не надо...) а почему бы и не подключить (задачи бывают разные)? У нас интерактивные панели на Android + учителей музыки моноблоки на Mac OS и как воспользоваться интернетом от Ростелекома? Правильно, через одно место xD В 06.02.2022 в 20:02, Udavf сказал: И после этого проблемы скорее всего будут, потому что заметил что в телефоне каждая открываемая ссылка сперва идет через редиррект на check.cert.cc, потом грузится. Это не только на телефоне, но и везде (в частности наблюдал на ПК). Изменено 9 февраля, 2022 пользователем TurboBlaze Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 8 февраля, 2022 · Жалоба On 2/8/2022 at 9:33 PM, TurboBlaze said: он и на PPPoE хорошо фильтруется до сих пор - провайдер тот же РТК. Если я правильно понял задача в принципе стоит мониторить содержимое трафика и фильтровать в т.ч. на уровне контента. Заодно видимо хотят не пропускать любое туннелирование, попытки обхода фильтрации и не одобренный софт, зависимый от собственных протоколов/серверов. Ну и стучать по необходимости, куда ж без этого. Потому как фильтрация при помощи DNS/IP на уровне доменов и без этого у них же самих работала, а для безопасного поиска достаточно было забить редиректы на СкайДНС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TurboBlaze Опубликовано 8 февраля, 2022 · Жалоба Хотеть не вредно, goodbidpi в помощь ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 9 февраля, 2022 · Жалоба В 08.02.2022 в 21:02, TurboBlaze сказал: Хотеть не вредно, goodbidpi в помощь ;) И что он сделает в этом случае? это не мягкая фильтрация операторами, а полноценный MITM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TurboBlaze Опубликовано 9 февраля, 2022 · Жалоба По крайней мере YouTube открывался без проблем на том же ЕСПД. Глубже не тестировал, так как не было времени разбираться почему видео звонок в Skype не заработал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TurboBlaze Опубликовано 9 февраля, 2022 (изменено) · Жалоба Нашел наш случай и как правильно оформить правило DNAT - подробнее см. здесь https://forum.ubuntu.ru/index.php?topic=238849.0 Изменено 9 февраля, 2022 пользователем TurboBlaze Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DuKle Опубликовано 15 февраля, 2022 · Жалоба Доброго времени суток! Нашу школу к огромному сожалению тоже засунули под этот ЕСПД. В качестве головной железки в локальной сети имеется роутер микротик. Неделю пробовал всякие разные варианты, добился не полной работы инета на машинах: открываются сайты поддерживающие и http, и https. Например яндекс. Остальные сайты которые только https, не открываются, но отлично пингуются. Даже задержки можно назвать не критическими. Микротик видимо категорически не дружит с https прокси. Коллеги,подскажите какой роутер можно приобрести заместо микротика,который дружит с https прокси? Который поддерживает несколько vlan (у меня их 8 в сети). Еще заинтересовал способ со squid на отдельной арм... завелось у кого-нибудь так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artembark Опубликовано 21 февраля, 2022 (изменено) · Жалоба В 15.02.2022 в 19:35, DuKle сказал: Микротик видимо категорически не дружит с https прокси. Коллеги,подскажите какой роутер можно приобрести заместо микротика,который дружит с https прокси? Который поддерживает несколько vlan (у меня их 8 в сети). У нас RB3011UiAS и все работает. Также отправил заявку в РТ на снятие услуги ограничения доступа с одного из ip, добавил на интерфейс микротика второй ip и теперь nat-ом в зависимости от внутреннего ip-адреса клиента выпускаю во внешнюю сеть либо с ip адреса с фильтрацией, либо без. Она конечно тоже через тот же прокси идет, но открывается побольше. Поэтому если у вас нет необходимости использовать устройства в школе и где-то еще, то в принципе один раз настроил прокси и установил сертификат и всё работает. Ну и если нет большого количества программ, которые не умеют по умолчанию пользоваться системным прокси. Также не знаю, было ли где уже, но на странице с блокировкой внизу белым текстом написана ее причина. Нажимаете CTRL+A или просто проводите там мышкой зажатой. У нас так гугл доки некоторые у учителей не открываются из-за кодовых фраз некоторых. Изменено 21 февраля, 2022 пользователем artembark дополнено Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioan43 Опубликовано 22 февраля, 2022 · Жалоба Какой вариант можно придумать, чтоб на клиентах хотяб прокси не настраивать? пфсенс может? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksandr68 Опубликовано 22 февраля, 2022 · Жалоба Тоже прислали письмо, что можно подключить нефильтрованные ip, а вот как это сделать не объяснили. Второй день бьюсь, ничего не получается. Имеется бюджетный TP-Link TL-WR820N, У которого шлюз настроен 10.68.ххх.15, а внутрь он автоматом раздает 192.168.0.100- 192.168.0.199. Нам выдан пул ip 10.68.ххх.16-10.68.ххх.76. Как их настроить, что бы можно было заявку отправить? И NAT в роутере отключал и другие настройки менял. И разные вариации в сетевых настройках IPv4 компьютера прописывал. И с прокси игрался, и никак. От РТ техподдержка ответила лишь то, что типа нужно DHCP отключить, и это все их разъяснение. Уже и такая мысль посещала, поставить до роутера свитч неуправляемый и к нему уже подключать клиентов с нужными ip адресами. Кстати, форум этот доступен, но тема конкретно эта, блокируется у нас контентным фильтром)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Udavf Опубликовано 22 февраля, 2022 (изменено) · Жалоба On 2/22/2022 at 12:29 PM, Aleksandr68 said: Тоже прислали письмо, что можно подключить нефильтрованные ip, а вот как это сделать не объяснили. Второй день бьюсь, ничего не получается. Имеется бюджетный TP-Link TL-WR820N, У которого шлюз настроен 10.68.ххх.15, а внутрь он автоматом раздает 192.168.0.100- 192.168.0.199. Нам выдан пул ip 10.68.ххх.16-10.68.ххх.76. Как их настроить, что бы можно было заявку отправить? И NAT в роутере отключал и другие настройки менял. И разные вариации в сетевых настройках IPv4 компьютера прописывал. И с прокси игрался, и никак. От РТ техподдержка ответила лишь то, что типа нужно DHCP отключить, и это все их разъяснение. Уже и такая мысль посещала, поставить до роутера свитч неуправляемый и к нему уже подключать клиентов с нужными ip адресами. Кстати, форум этот доступен, но тема конкретно эта, блокируется у нас контентным фильтром)) В LAN порт роутера включаешь провод от их коробки. Меняешь IP роутера к примеру на 10.68.ххх.16, маску тоже там же. DHCP на роутере настраиваешь соответственно от 10.68.ххх.17-10.68.ххх.76, там же еще забиваешь шлюз 10.68.ххх.15 или какой эти выблядки там прислали. Для тех что без фильтрации резервируешь IP-адреса. Отправляешь скан на бланке школы с печатью и подписью директора: Необходимо предоставить нефильтрованный доступ к следующим IPадресам 10.20.30.40.......... Доступ учеников к данным АРМ отсутствует, так как они используются администрацией ОУ, к примеру. Изменено 22 февраля, 2022 пользователем Udavf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rodya Опубликовано 22 февраля, 2022 (изменено) · Жалоба On 2/21/2022 at 4:38 PM, artembark said: У нас RB3011UiAS и все работает. Также отправил заявку в РТ на снятие услуги ограничения доступа с одного из ip, добавил на интерфейс микротика второй ip и теперь nat-ом в зависимости от внутреннего ip-адреса клиента выпускаю во внешнюю сеть либо с ip адреса с фильтрацией, либо без. Она конечно тоже через тот же прокси идет, но открывается побольше. Поэтому если у вас нет необходимости использовать устройства в школе и где-то еще, то в принципе один раз настроил прокси и установил сертификат и всё работает. Ну и если нет большого количества программ, которые не умеют по умолчанию пользоваться системным прокси. Также не знаю, было ли где уже, но на странице с блокировкой внизу белым текстом написана ее причина. Нажимаете CTRL+A или просто проводите там мышкой зажатой. У нас так гугл доки некоторые у учителей не открываются из-за кодовых фраз некоторых. Я так понимаю, вы в итоге настраивали прокси на каждом ПК? ну это тот еще гемор... Натить на два адреса парк ПК - это решение только половины проблемы... P.s. wpad отказывается работать на win7 Изменено 22 февраля, 2022 пользователем rodya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GoodSoul Опубликовано 22 февраля, 2022 · Жалоба У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9) Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS). Каскад из прокси тоже делал. Работает. Провайдер Айзет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artembark Опубликовано 22 февраля, 2022 · Жалоба В 22.02.2022 в 18:57, rodya сказал: Я так понимаю, вы в итоге настраивали прокси на каждом ПК? ну это тот еще гемор... Натить на два адреса парк ПК - это решение только половины проблемы... P.s. wpad отказывается работать на win7 Практически никаких проблем, на самом деле. Почти все ПК настраивали сами учителя) Сделал пакетный bat файл с командами на настройку прокси и скачал msi установщик сертификата с espd.rt.ru, все это положил в сетевую папку и в общем чате попросил всех запустить эти два файла. Все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TurboBlaze Опубликовано 23 февраля, 2022 · Жалоба В 22.02.2022 в 20:28, GoodSoul сказал: Каскад из прокси тоже делал. Работает. У меня HTTPS не заработал по схеме прозрачный Squid + parent прокси РТК. HTTP открывает, а HTTPS нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 23 февраля, 2022 · Жалоба В 03.02.2022 в 18:56, kaeskat сказал: Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ. Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата. Но это если нам ехать, а не "осваивать"... все будет , потерпите немножко. регистрацию доменов , ip и tls национализируют , сайты с российских сетей и сертификатом не от минсвязи запретят открывать на ТСПУ. В 22.02.2022 в 19:28, GoodSoul сказал: У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9) Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS). Каскад из прокси тоже делал. Работает. Провайдер Айзет. логины обучающихся это сами ручками в ad заводите или какая-то интеграция с электронным дневником? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GoodSoul Опубликовано 23 февраля, 2022 · Жалоба В 23.02.2022 в 08:38, LostSoul сказал: В 03.02.2022 в 21:56, kaeskat сказал: Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ. Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата. Но это если нам ехать, а не "осваивать"... Expand все будет , потерпите немножко. регистрацию доменов , ip и tls национализируют , сайты с российских сетей и сертификатом не от минсвязи запретят открывать на ТСПУ. В 22.02.2022 в 22:28, GoodSoul сказал: У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9) Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS). Каскад из прокси тоже делал. Работает. Провайдер Айзет. Expand логины обучающихся это сами ручками в ad заводите или какая-то интеграция с электронным дневником? Полуавтомат. Скачал csv из сетевого, есть скрипт, который создаёт логины автоматически и пароли и добавляет в AD. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...