PfSense режет обновления для Mikrotik



  • Не могу никак разрешить обновление Mikrotik через squid в PfSense.
    Только если прописать ip микротика в обход прокси, то сразу скачивает.
    Внес в белый спиок сайт mikrotik.com, по tcpdump вычислил 2 адреса, куда ломится микротик за обновлениями (159.148.147.204 и 159.148.172.226) внес их тоже в белый список, даже добавил mikrotik.com в обход прокси, но бесполезно.
    Подскажите, что я еще упустил?



  • Микротик пытается идти через прокси?
    Есть ли https slicing? Если - да, то:
    Верит ли микротик вашему СА которым переподписаны все сайты?



  • @dragoangel , пытается, выбора у него нет, все заворачивается на прокси.
    По второму вопросу splice-all, но вот как проверить доверяет или нет?



  • Ну это уже вопрос к форуму микротик, не так ли?) Если вы не добавили СА в доверенные, то сам верить он ему не начнет, так работает https. Я не спец в RouterOS, но думаю погуглив вы найдете инфу как заимпортить СА в Trusted Certs. Проверить это можно вроде как через fetch get. Но опять таки я не спец RouterOS!
    Но на случай если у вас нет времени или не выйдет: вы всегда можете настроить squid на transparent https proxy (который не влазит внутрь https) для определенных доменов, а все остальные делать slice. Более того, я НАСТОЯТЕЛЬНО рекомендую делать именно так и никак иначе. Возьмите за основу список whitelist из Android adguard для https и не делайте его slice. И НИКОГДА НЕ ДЕЛАЙТЕ Slice EV сертификатов. Если конечный пользователь не уведомлен о MITM, он подаст на вас в суд, и выиграет его!

    Пальчик вверх)
    P.S. Вот вообще на кой вам делать slice? Чисто интересно...



  • @dragoangel вроде на хабре уже обсуждалось - то что делает squid, это никак не MITM, каким образом мне фильтровать https без splice?
    Да и пользователь не имеет права использовать трафик организации не по назначению, я прав?



  • Откройте любой сайт за squid, нажмите F12 и посмотрите каким CA подписан сайт: если там ваш "личный" СА - значит это MITM. https://ru.wikipedia.org/wiki/Атака_посредника#Атака_посредника_на_SSL я в шоке если честно с рускоязычной части форума. Вам уже выше дан ответ: сделайте transparent proxy для определенных доменов.
    @max5775 said in PfSense режет обновления для Mikrotik:

    Да и пользователь не имеет права использовать трафик организации не по назначению, я прав?

    если это четко прописано при уствройстве на работу то только частично правы. О MITM нужно предупреждать большими буквами. Это как скрытая видеосьемка только еще хуже. Если вы где либо налохобаните в настройке и потом кулхацкеры с помощью вашего криво настроеного интернета перехватят трафик юзеров и их взломают - это ляжет на ваши плечи. Лушче разберитесь как что работает от А до Я а потом уже лезьте и рвите шифрование.



  • @dragoangel зашел спросить про одно - вы мне про другое.
    Можно придумывать много чего.
    Работодатель в силу ч. 1 ст. 22 ТК РФ вправе контролировать исполнение работником трудовых обязанностей и использование им оборудования и других технических средств, предоставленных работодателем для работы. Поэтому отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя



  • Да в втором коментарии ответ : настройте микротик верить СА сквида. Точка. Что за люди - все остальное оффтоп



  • @max5775

    По второму вопросу splice-all, но вот как проверить доверяет или нет?

    При splice all доверия не требуется. Там принцип другой.

    @dragoangel

    Если кажной железке еще и сертификаты одобрять - офанареть можно. Splice All и никаких гвоздей.



  • @werter said in PfSense режет обновления для Mikrotik:

    Splice All

    Вы путаете: Splice all как раз это Intercept HTTPS - это значит разорвать все сесси и переписать своим CA для того что бы видеть что внутри. А то о чем вы подумали - это Transparent - вот он не влазит в https и ничего не переподписывает. Сначала погуглите, а потом поправляйте. Если чел хочет делать MiTM то иначе никак - все должны доверять его CA, а кто не будет - те и конектится не смогут. Ручками конечно не удобно, если железок мало - то норм, а так писать скрипты для автоматизации.



  • @dragoangel
    Кхм, Transparent - это режим работы Squid

    Если вы не добавили СА в доверенные, то сам верить он ему не начнет, так работает https.
    Да в втором коментарии ответ : настройте микротик верить СА сквида

    Ниже по ссылкам никто руками CA не экспортит и руками не подсовывает. Фильтрация трафика выполняется прозрачно. Это касается и обычных браузеров и того же МТ у ТС.
    https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidguard/
    https://topnetworkguide.com/squid-proxy-server-and-squidguard-configuration-on-pfsense/

    Скорее здесь дело в настройках сквида у ТС.
    СА предварительно на пф создан для Splice all ?
    Фильтрация как осуществляется - по белому и черному списку?
    Как, что и зачем блокируется в гварде?
    Иначе с чего бы пф блокировать сайты МТ?
    Что-то не то с настройками сквида.



  • @werter тормознул, bump перепутал с splice all


Log in to reply