PfSense режет обновления для Mikrotik

max5775

@dragoangel , пытается, выбора у него нет, все заворачивается на прокси.
По второму вопросу splice-all, но вот как проверить доверяет или нет?

dragoangel

Ну это уже вопрос к форуму микротик, не так ли?) Если вы не добавили СА в доверенные, то сам верить он ему не начнет, так работает https. Я не спец в RouterOS, но думаю погуглив вы найдете инфу как заимпортить СА в Trusted Certs. Проверить это можно вроде как через fetch get. Но опять таки я не спец RouterOS!
Но на случай если у вас нет времени или не выйдет: вы всегда можете настроить squid на transparent https proxy (который не влазит внутрь https) для определенных доменов, а все остальные делать slice. Более того, я НАСТОЯТЕЛЬНО рекомендую делать именно так и никак иначе. Возьмите за основу список whitelist из Android adguard для https и не делайте его slice. И НИКОГДА НЕ ДЕЛАЙТЕ Slice EV сертификатов. Если конечный пользователь не уведомлен о MITM, он подаст на вас в суд, и выиграет его!

Пальчик вверх)
P.S. Вот вообще на кой вам делать slice? Чисто интересно...

max5775

@dragoangel вроде на хабре уже обсуждалось - то что делает squid, это никак не MITM, каким образом мне фильтровать https без splice?
Да и пользователь не имеет права использовать трафик организации не по назначению, я прав?

dragoangel

Откройте любой сайт за squid, нажмите F12 и посмотрите каким CA подписан сайт: если там ваш "личный" СА - значит это MITM. https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0#%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0_%D0%BD%D0%B0_SSL я в шоке если честно с рускоязычной части форума. Вам уже выше дан ответ: сделайте transparent proxy для определенных доменов.
@max5775 said in PfSense режет обновления для Mikrotik:

Да и пользователь не имеет права использовать трафик организации не по назначению, я прав?

если это четко прописано при уствройстве на работу то только частично правы. О MITM нужно предупреждать большими буквами. Это как скрытая видеосьемка только еще хуже. Если вы где либо налохобаните в настройке и потом кулхацкеры с помощью вашего криво настроеного интернета перехватят трафик юзеров и их взломают - это ляжет на ваши плечи. Лушче разберитесь как что работает от А до Я а потом уже лезьте и рвите шифрование.

max5775

@dragoangel зашел спросить про одно - вы мне про другое.
Можно придумывать много чего.
Работодатель в силу ч. 1 ст. 22 ТК РФ вправе контролировать исполнение работником трудовых обязанностей и использование им оборудования и других технических средств, предоставленных работодателем для работы. Поэтому отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя

dragoangel

Да в втором коментарии ответ : настройте микротик верить СА сквида. Точка. Что за люди - все остальное оффтоп

werter

@max5775

По второму вопросу splice-all, но вот как проверить доверяет или нет?

При splice all доверия не требуется. Там принцип другой.

@dragoangel

Если кажной железке еще и сертификаты одобрять - офанареть можно. Splice All и никаких гвоздей.

dragoangel

@werter said in PfSense режет обновления для Mikrotik:

Splice All

Вы путаете: Splice all как раз это Intercept HTTPS - это значит разорвать все сесси и переписать своим CA для того что бы видеть что внутри. А то о чем вы подумали - это Transparent - вот он не влазит в https и ничего не переподписывает. Сначала погуглите, а потом поправляйте. Если чел хочет делать MiTM то иначе никак - все должны доверять его CA, а кто не будет - те и конектится не смогут. Ручками конечно не удобно, если железок мало - то норм, а так писать скрипты для автоматизации.

werter

@dragoangel
Кхм, Transparent - это режим работы Squid

Если вы не добавили СА в доверенные, то сам верить он ему не начнет, так работает https.
Да в втором коментарии ответ : настройте микротик верить СА сквида

Ниже по ссылкам никто руками CA не экспортит и руками не подсовывает. Фильтрация трафика выполняется прозрачно. Это касается и обычных браузеров и того же МТ у ТС.
https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidguard/
https://topnetworkguide.com/squid-proxy-server-and-squidguard-configuration-on-pfsense/

Скорее здесь дело в настройках сквида у ТС.
СА предварительно на пф создан для Splice all ?
Фильтрация как осуществляется - по белому и черному списку?
Как, что и зачем блокируется в гварде?
Иначе с чего бы пф блокировать сайты МТ?
Что-то не то с настройками сквида.

dragoangel

@werter тормознул, bump перепутал с splice all