Перенаправление http
-
Для решения переброса определенных доменов в другое место, я бы использовал подмену DNS записей с нужными IP.
Ну как вариант если провайдеры все-таки сами не поменяют DNS запросы, можно составить просто списки с fqdn записями доменов и пытаться их уже отправлять на нужный маршрутизатор. Из минусов можно получить проблему CDN серверов, ведь многие используют CloudFlare, где на одном IP может быть множество различных сайтов.
-
Посмотрите как устроен proxy.pac на сайте антизапрета. В нем есть список заблокированных РКН IP-адресов. Когда браузер пытается открыть некий URL, последний разрешается в IP-адрес. Если адрес в списке, то запрос идет через прокси антизапрета, если нет - напрямую.
Вы можете сделать по аналогии, т. е. поднять туннель до внешнего сервера, поднять на этом сервере прокси, отредактировать оригинальный proxy.pac так, чтобы он возвращал ваш прокси, а не антизапрета, раздать proxy.pac пользователям.
-
И по этой причине приходится постоянно переписывать URlы.
Блокируют обычно подменой IP адресов. Можно попробовать подменить обратно в DNS resolver(forwarder) –> Domain Overrides
Реализовать это openvpn тунелем на удаленный серсвер, но как перенаправить трафик только по конкретно интересующим доменам, а не весь трафик
ОpenVPN по дефолту трафик никуда не перенаправляет. Тут нет причин для беспокойства. Единственно, что преренаправление можно сделать только по IP.
-
И по этой причине приходится постоянно переписывать URlы.
Блокируют обычно подменой IP адресов. Можно попробовать подменить обратно в DNS resolver(forwarder) –> Domain Overrides
Реализовать это openvpn тунелем на удаленный серсвер, но как перенаправить трафик только по конкретно интересующим доменам, а не весь трафик
ОpenVPN по дефолту трафик никуда не перенаправляет. Тут нет причин для беспокойства. Единственно, что преренаправление можно сделать только по IP.
То есть, я могу поднять тоннель на удаленный сервер, указать в разделе Domain Override нужный мне домен, а ip для него будет тоннельный ip удаленного сервера, а им в свою очередь сможет выступить тот же pfsense, и всё? Вуаля?
-
Возможно, PbIXTOP знает больше…. Вообще, не взлетит. По такой схеме плюсом ко всему нужен прокси сервер на удалённом сервере, например на apache/nginx.
IP домена надо указывать тот, который знает подавляющая часть интернета.... Я полагаю, Вам больше интересен, вариант с возможностью резервирования, по возможности из коробки. Поймите, что из себя представляет тоннель и применяйте. Группируйте шлюзы, продумывайте правила.
-
Возможно, PbIXTOP знает больше…. Вообще, не взлетит. По такой схеме плюсом ко всему нужен прокси сервер на удалённом сервере, например на apache/nginx.
IP домена надо указывать тот, который знает подавляющая часть интернета.... Я полагаю, Вам больше интересен, вариант с возможностью резервирования, по возможности из коробки. Поймите, что из себя представляет тоннель и применяйте. Группируйте шлюзы, продумывайте правила.
Насколько я понимаю, на тоннельный айпи прилетит http строка с именем домена, и по логике вещей удаленный сервер должен у себя в таблицах доменов посмотреть какой айпи этому домену соответствует, и если что послать дальше. но даже если я сейчас сморозил бред, поднять http прокси на удаленном сервере вроде не проблема.
-
Прилетает 4 байта, которые именуются IP.
Сопоставление имён, тоже происходит чуть чуть иначе.
И с прокси, Вы погорячились.Делайте как знаете, если всё и так знаете.
-
Rubic спасибо, показал ещё неплохое решение с pac файлом.
Domain Overrides, тоже неплохое решение - если указать DNS ресолвер внутри тунеля, провайдер несможет подменить оригинальный ответ DNS.
Все хосты FQDN, которые вам необходимо разблокировать необходимо прописать в созданный alias-host.
И создать правило на LAN интерфейсе, чтоб при обращении к данному alias (DESTANATION) и использовать GATEWAY тунеля в этом правиле.Правда надо незабывать про NAT, как локально так и удаленно.
-
Rubic спасибо, показал ещё неплохое решение с pac файлом.
Сами то юзали? Инертно, децентрализовано и полное отсутствие какого либо дебага.
-
-
Ничего не имею против офиса. Я имел ввиду когда 20 компьютеров на 50 обезьян, у которых каждая секунда на счету. И всё это помноженное на 5.
Для себя с того же антизапрета я узнал о 3proxy. Дивная, надо сказать, вещь. Тут бы он много упростил задачу, но он не даёт возможности автоматического резервирования.
-
Rubic спасибо, показал ещё неплохое решение с pac файлом.
Domain Overrides, тоже неплохое решение - если указать DNS ресолвер внутри тунеля, провайдер несможет подменить оригинальный ответ DNS.
Все хосты FQDN, которые вам необходимо разблокировать необходимо прописать в созданный alias-host.
И создать правило на LAN интерфейсе, чтоб при обращении к данному alias (DESTANATION) и использовать GATEWAY тунеля в этом правиле.Правда надо незабывать про NAT, как локально так и удаленно.
Не взлетело(
Создал alias со списком доменов, создал правило на лан интерфейсе где в DESTANATION указал этот alies. Шлюзом выбрал интерфейс с впнкой. Но трафик продолжает ходить по основным шлюзам. Натил, перезапускал роутер. чет не помогло.
Взлетело статическими маршрутами. Пока ip у домена не меняется, все работает и вроде бы всё устраивает.
-
Создал alias со списком доменов
Алиасы создавали тут
Firewall-Aliases-URLs?
Не взлетело(
И не могло:
Enter as many URLs as desired. After saving, the URLs will be downloaded and the items imported into the alias. Use only with small sets of IP addresses (less than 3000).URL алиасы в pfSense - просто ссылки для облегчения загрузки списков IP :(