PfSense режет обновления для Mikrotik
-
Не могу никак разрешить обновление Mikrotik через squid в PfSense.
Только если прописать ip микротика в обход прокси, то сразу скачивает.
Внес в белый спиок сайт mikrotik.com, по tcpdump вычислил 2 адреса, куда ломится микротик за обновлениями (159.148.147.204 и 159.148.172.226) внес их тоже в белый список, даже добавил mikrotik.com в обход прокси, но бесполезно.
Подскажите, что я еще упустил? -
Микротик пытается идти через прокси?
Есть ли https slicing? Если - да, то:
Верит ли микротик вашему СА которым переподписаны все сайты? -
@dragoangel , пытается, выбора у него нет, все заворачивается на прокси.
По второму вопросу splice-all, но вот как проверить доверяет или нет? -
Ну это уже вопрос к форуму микротик, не так ли?) Если вы не добавили СА в доверенные, то сам верить он ему не начнет, так работает https. Я не спец в RouterOS, но думаю погуглив вы найдете инфу как заимпортить СА в Trusted Certs. Проверить это можно вроде как через fetch get. Но опять таки я не спец RouterOS!
Но на случай если у вас нет времени или не выйдет: вы всегда можете настроить squid на transparent https proxy (который не влазит внутрь https) для определенных доменов, а все остальные делать slice. Более того, я НАСТОЯТЕЛЬНО рекомендую делать именно так и никак иначе. Возьмите за основу список whitelist из Android adguard для https и не делайте его slice. И НИКОГДА НЕ ДЕЛАЙТЕ Slice EV сертификатов. Если конечный пользователь не уведомлен о MITM, он подаст на вас в суд, и выиграет его!Пальчик вверх)
P.S. Вот вообще на кой вам делать slice? Чисто интересно... -
@dragoangel вроде на хабре уже обсуждалось - то что делает squid, это никак не MITM, каким образом мне фильтровать https без splice?
Да и пользователь не имеет права использовать трафик организации не по назначению, я прав? -
Откройте любой сайт за squid, нажмите F12 и посмотрите каким CA подписан сайт: если там ваш "личный" СА - значит это MITM. https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0#%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0_%D0%BD%D0%B0_SSL я в шоке если честно с рускоязычной части форума. Вам уже выше дан ответ: сделайте transparent proxy для определенных доменов.
@max5775 said in PfSense режет обновления для Mikrotik:Да и пользователь не имеет права использовать трафик организации не по назначению, я прав?
если это четко прописано при уствройстве на работу то только частично правы. О MITM нужно предупреждать большими буквами. Это как скрытая видеосьемка только еще хуже. Если вы где либо налохобаните в настройке и потом кулхацкеры с помощью вашего криво настроеного интернета перехватят трафик юзеров и их взломают - это ляжет на ваши плечи. Лушче разберитесь как что работает от А до Я а потом уже лезьте и рвите шифрование.
-
@dragoangel зашел спросить про одно - вы мне про другое.
Можно придумывать много чего.
Работодатель в силу ч. 1 ст. 22 ТК РФ вправе контролировать исполнение работником трудовых обязанностей и использование им оборудования и других технических средств, предоставленных работодателем для работы. Поэтому отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя -
Да в втором коментарии ответ : настройте микротик верить СА сквида. Точка. Что за люди - все остальное оффтоп
-
По второму вопросу splice-all, но вот как проверить доверяет или нет?
При splice all доверия не требуется. Там принцип другой.
Если кажной железке еще и сертификаты одобрять - офанареть можно. Splice All и никаких гвоздей.
-
@werter said in PfSense режет обновления для Mikrotik:
Splice All
Вы путаете: Splice all как раз это Intercept HTTPS - это значит разорвать все сесси и переписать своим CA для того что бы видеть что внутри. А то о чем вы подумали - это Transparent - вот он не влазит в https и ничего не переподписывает. Сначала погуглите, а потом поправляйте. Если чел хочет делать MiTM то иначе никак - все должны доверять его CA, а кто не будет - те и конектится не смогут. Ручками конечно не удобно, если железок мало - то норм, а так писать скрипты для автоматизации.
-
@dragoangel
Кхм, Transparent - это режим работы SquidЕсли вы не добавили СА в доверенные, то сам верить он ему не начнет, так работает https.
Да в втором коментарии ответ : настройте микротик верить СА сквидаНиже по ссылкам никто руками CA не экспортит и руками не подсовывает. Фильтрация трафика выполняется прозрачно. Это касается и обычных браузеров и того же МТ у ТС.
https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidguard/
https://topnetworkguide.com/squid-proxy-server-and-squidguard-configuration-on-pfsense/Скорее здесь дело в настройках сквида у ТС.
СА предварительно на пф создан для Splice all ?
Фильтрация как осуществляется - по белому и черному списку?
Как, что и зачем блокируется в гварде?
Иначе с чего бы пф блокировать сайты МТ?
Что-то не то с настройками сквида. -
@werter тормознул, bump перепутал с splice all