Проверка лицензии AutoCAD через Proxy.



  • всем доброго времени! проблема следующего характера, на предприятии имеется AutoCAD 2019, как я понимаю что при каждом запуске он проверяет лицензию через интернет, а так как мы используем прокси он при запуске встает в ступор, пока этому ПК на котором стоит AutoCAD не дать интернет напрямую минуя прокси, AutoCAD не запустится, так вот нашел на форуме Autodesk ответ по этому поводу: https://knowledge.autodesk.com/search-result/caas/sfdcarticles/sfdcarticles/What-URLs-protocols-should-be-accessible-for-Desktop-Subscription-to-work.html как я понял для проверки лицензии нужно добавить перечисленные URL в исключения, добавил я их сначала Proxy Server: Access ControlACLs в Whitelist а также в Proxy filter SquidGuard: Target categoriesEditTarget categories создал категорию в которой их все указал при чем в поле URL List указываешь их pf начинает ругаться при сохранении, в итоге указал в Domain List сохранил и применил все настройки, но все равно не помогло.



  • Доброго.

    добавил я их сначала Proxy Server: Access ControlACLs в Whitelist

    Зачем? Рулите в гварде.

    pf начинает ругаться при сохранении

    Синтакисис неверный.
    Шпаргалка. Сохраните себе:

    Маски:
    .   - одиночный символ
    *  - неограниченное повторение последнего символа 
    .* - соотв любая последовательность
    \. - точка
    \/ - один слеш
    ^ - от начала строки
    $ - конец строки
    () - скобки ограничивают токен
    [] - скобки допустимые символы
    |  - знак или
    
    http:\/\/.*\.mail\.ru\/.* - соответствует http://*.mail.ru/*
    .*\.mail\.ru\/.*\.(exe|mov|zip)$ - соответствует *.mail.ru/*.exe или *.mail.ru/*.mov или *.mail.ru/*.zip
    
    [0-9]* - любая строка из цифр 
    [a-zA-Z0-9] - любая цифро-буквенная строка с латиницей
    

    В Вашем случае что-то типа (упростил, разрешая весь домен):

    ...
    *.autodesk.com/ = .*autodesk\.com\/.*
    
    js-agent.newrelic.com/ = .*newrelic\.com\/.*
    bam.nr-data.net/ = .*nr-data\.net\/.*
    ...
    

    Здесь хорошо описано https://www.netgate.com/docs/pfsense/cache-proxy/squidguard-package.html (со слов Exclude domain/URL from blacklist)

    применил все настройки, но все равно не помогло

    Т.е. нажали Apply в Squidguard-е?

    И не забывайте, что ныне httpS правит балом. И для фильтрации трафика Ваш сквид должен быть настроен или как непрозрачный (руками прописывать адрес и порт прокси в браузерах клиентов или по dhcp wpad-ом выдавать). Либо сквид настроить в транспаренте (как прозрачный) , но тогда создавать CA для сквида + mitm, используя Splice All в настройках.



  • @werter спасибо за помощь, в сквиде из белого списка удалил все, спасибо за шпаргалку, да нажимаю Apply в Squidguard-е, в настройках SystemAdvancedAdmin Access протокол https, сквид настроен как непрозрачный, в настройках сквида в параметре Transparent HTTP Proxy у меня галочка не стоит, но и руками я не прописываю ни где адрес и порт прокси, я так думаю где то в GPO прописан адрес и порт прокси так как они автоматом у пользователя прописываются в свойствах браузера. Добавляю в Squidguard-е как вы описали:

    .autodesk.com/.

    .newrelic.com/.
    .nr-data.net/.

    опять начинает ругаться при сохранении "не является URL-адресом"
    alt text
    alt text



  • Доброго.

    https://datalogus.blogspot.com/2016/06/pfsense-231-security-explicit-squid_16.html

    go to Services > SquidGuard Proxy Filter > Target Categories. Add a CustomDeny category then place the domains you want to block manually in the Domain List box. Then put "proxy|.exe|.mp4|\torrent" in the Regular Expression box to block sites with proxy or torrent in the url as well as block downloading of files ending with .exe or .mp4. extensions. Tick the Log option at the bottom to log denies made through this category then Save the custom category. You can also do this again to create your own custom whitelist or any category that you may require.
    0_1548415308394_02.jpg

    Адаптируйте под себя по аналогии (разрешив, ес-но) с выше написанным.
    И со слов PROXY Bypass почитайте.

    P.s. Слушайте, Вам только Domain List должно хватить. В Domain List попробуйте обобщить все, что касается autodesk, оставив только autodesk.com и остальные другие. Поставьте эту категорию выше всех в настройках . Нажимать Apply не забывать!

    P.s2. Как настраивать прокси для автокада https://knowledge.autodesk.com/search-result/caas/sfdcarticles/sfdcarticles/Subscription-Licensing-Error-Establish-an-Internet-connection-to-continue-due-to-internet-proxy-server-configuration.html



  • @werter добрый день! не совсем понял вас "поставьте эту категорию выше всех в настройках" имеется в виду в Proxy filter SquidGuard: Target categoriesTarget categories ? но они там по порядку идут созданные категории, как выше поставить? когда оставляю в Domain List только autodesk.com этого не хватает, AutoCAD встает на проверке лицензии, сейчас добавил в Свойствах браузера в исключения *.autodesk.com, буду тестировать.



  • создал правило на LAN с autodesk.com, работает.



  • Добрый.

    создал правило на LAN с autodesk.com, работает.

    Возможно, что все, что в https://knowledge.autodesk.com/search-result/caas/sfdcarticles/sfdcarticles/Subscription-Licensing-Error-Establish-an-Internet-connection-to-continue-due-to-internet-proxy-server-configuration.html прописано в исключениях для прокси Вам и добавлять на ЛАН, а не только autodesk.com.

    Создайте алиас типа autodesk_license, накидайте туда адресов, создайте правило на ЛАН и пробуйте.



  • @werter так и сделал.



  • Добрый.

    @Guf-Rolex-X

    Рекомендую принудительно завернуть все DNS-запросы (TCP\UDP 53) от клиентов на адрес пф.
    Иначе получится, что хосты из алиаса autodesk_license у клиента будут иметь др. ip-адреса. И фокус не удастся.

    nslookup -q=A autodesk.com 8.8.8.8
    Addresses:  50.19.197.211 , 52.4.203.6
    

    Тоже самое рекомендую и для NTP (UDP\123).



  • @werter здравствуйте! вы были правы, сейчас ничего не работает, нужно правило на LAN? если я правильно понял это должно выглядеть так? alt text



  • Добрый.
    @guf-rolex-x
    Это скрин правила fw или port forward?

    Если касаемо "завернуть все DNS-запросы (TCP\UDP 53) от клиентов на адрес пф", то у меня так:

    0_1549377690214_1_ Firewall_ NAT_ Port Forward.png

    И fw на LAN:

    0_1549377701891_2_Firewall_ Rules_ LAN.png

    На пф вкл. NTP-сервер. И сбросить днс-кеш на клиентах (ipconfig /flusdns от Админ-а)

    Однако, не уверен, что у вас проблема только в этом. Может что-то быть и с настройками squid.



  • @werter добрый день! да это правило Firewall/Rules/LAN, у вас в port forward Dest.Address указано ! LAN address - это что альяс? почему с восклицательным знаком впереди? и еще вопрос в fw на LAN нужно дополнительно добавлять правило, на скрине под вопросом? alt text
    сделал так же как у вас на скринах.



  • Добрый.
    @Guf-Rolex-X

    ! = NOT

    Правила с вопросом на скрине выше разрешают доступ к ЛАН-адресу пф по портам DNS и NTP. Возможно, что они не нужны - это легко проверить просто отключив их.

    Читайте книгу понемногу. В ней есть ответы.



  • @werter "читайте книгу понемногу" имеется в виду The pfSense Book которая в документации на netgate? не как не могу понять что значит ! LAN address, что значит НЕ, случаем не No RDR (NOT) ? (Disable redirection for traffic matching this rule), но если поставить галочку у меня не появляется восклицательного знака, или это зависит от версии pf.



  • @guf-rolex-x said in Проверка лицензии AutoCAD через Proxy.:

    не как не могу понять что значит ! LAN address,

    ! = NOT - очень удобная штука, позволяющая одним правилом заменить многие.

    Пример 1:

    BLOCK IPv4 * 10.11.11.84 * ! DVRs * * none

    Смысл правила:
    Для IP 10.11.11.84 блокируется доступ ко всему, кроме IP, входящих в алиас DVRs.
    Без ! пришлось бы создать 2 правила:

    1. Разрешающего доступ к DVRs
    2. Запрещающего все остальное.

    Пример 2:
    BLOCK IPv4 * 192.168.70.0/24 * ! 192.168.0.0/24 * * none
    Смысл правила:
    Для сети 192.168.70.0/24 запрещен доступ везде, кроме сети 192.168.0.0/24



  • @pigbrother смыл правил понятен, как вы знак восклицательный в правилах ставите?



  • В правилах

    Firewall/Rules/Edit

    Source Invert match --- ставит восклицательный знак

    и тоже самое в Destination



  • @guf-rolex-x said in Проверка лицензии AutoCAD через Proxy.:

    как вы знак восклицательный в правилах ставите?

    ! - просто общепринятое обозначение инверсии. PF отображает ! при выборе Invert match в правиле.