Перенаправление SkyDNS

[falconpvt]

Здравствуйте.

Прошу реализовать функцию отображения страницы блокировки со ссылкой безопасного поиска, как это было ранее с сайтами не https. Иначе, возникают существенные проблемы при проверках прокуратуры и простом использовании, т.к. создаётся ощущение, что отсутствует интернет.

На сайте SkyDNS есть инструкция https://www.skydns.ru/guides/tls-ca-setup/ , но указано, что на ZyXEL поддержки нет.

[Le ecureuil]

А вы root ca везде проставите нужный? И в iphone тоже?

[falconpvt]

14 часа назад, Le ecureuil сказал:

А вы root ca везде проставите нужный? И в iphone тоже?

Я пробовал в браузере по инструкции ставить. Пока, к сожалению, никак не получилось. Ваша техническая поддержка порекомендовала создать здесь обращение, т.к. я понял эта функция пока не реализована.

[StG Tm]

Функция по прежнему не реализована. На сегодняшний день почти все современные сайты работают по https. Вместо страницы блокировки браузер переходит на 127.0.0.1:13107 - выдает страница недоступна и соответственно непонятно недоступен сайт или он заблокирован. А если заблокирован то под какую категорию попал. И еще вопрос - какая информацию передается skydns? Например при активной подписки на 10 пользователей, регистрируется 11 пользователь. Что произойдет? Перестанет работать фильтрация у 11-го или это касается одновременно использования  10-ю пользователям и я могу регистрировать гостей по мере их прихода?

Edited September 6, 2020 by StG Tm

[ndm]

10 hours ago, StG Tm said:

Функция по прежнему не реализована.

Не только не реализована, но даже не запланирована.

@StG Tm: вы в TLS разбираетесь, но хотелось бы пояснить для других читателей.

Чтобы вместо страницы https://{адрес_сайта} кинетик показал страницу блокировки, нужно, чтобы он выдал себя за {адрес_сайта}. Такое поведение называется спуфингом, и TLS от него защищает. За подлинный сайт кинетик себя выдать не может и не должен. На сайте SkyDNS говорится о "левом" сертификате, который можно поставить на шлюзы других производителей. Чтобы браузер не выдавал предупреждение о перехвате, "левый" rootCA нужно установить на все компьютеры и мобильные устройства.

Можете с этим спорить, но мы считаем такое решение безобразным и неудобным.

[metahor]

Цитата

Можете с этим спорить, но мы считаем такое решение безобразным и неудобным.

Так сейчас РТК замутил во всех школах,где подключают по программе СЗО. Пускают все трафик через свой прокси и с обязательной установкой ихниго сертификата.

[metahor]

11 час назад, falconpvt сказал:

Предложите альтернативу тогда, пожалуйста. Либо сделайте так, чтобы на Keenetic работал данный способ как на роутрах других производителей. 

А как это работает на роутерах других производителей? Можно пример?!

[metahor]

11 час назад, falconpvt сказал:

Предложите альтернативу тогда, пожалуйста. Либо сделайте так, чтобы на Keenetic работал данный способ как на роутрах других производителей. 

Ясно...

[falconpvt]

3 минуты назад, metahor сказал:

А как это работает на роутерах других производителей? Можно пример?!

К сожалению у меня только десяток кинетиков приобретено. 

В личном кабинете SkyDNS написано, что конкретно на Zyxel не работает (скрин приложил). 

А инструкция по установке сертификата думаю и так понятна https://www.skydns.ru/guides/tls-ca-setup/

[metahor]

Цитата

В личном кабинете SkyDNS написано, что конкретно на Zyxel не работает (скрин приложил). 

Тут мы и не говорим про оборудование фирмы Z

[falconpvt]

Только что, metahor сказал:

Тут мы и не говорим про оборудование фирмы Z

Суть меняется? На Keenetic работает или Zyxel уже называть вслух нельзя стало? Про NDMS тогда говорим.

[sergeyk]

15 минут назад, falconpvt сказал:

В личном кабинете SkyDNS написано, что конкретно на Zyxel не работает (скрин приложил). 

В этих инструкциях я не вижу ни одной модели роутера, которая бы поддерживала подмену сертификатов.

[falconpvt]

3 минуты назад, sergeyk сказал:

В этих инструкциях я не вижу ни одной модели роутера, которая бы поддерживала подмену сертификатов

Значит SkyDNS дискредитируют Zyxel, если на самом деле в целом нет роутеров с поддержкой данной настройки 

[metahor]

20 минут назад, sergeyk сказал:

В этих инструкциях я не вижу ни одной модели роутера, которая бы поддерживала подмену сертификатов.

А кто поддерживает? Огласите весь список,пожалуйста!!!!

[metahor]

17 минут назад, falconpvt сказал:

Значит SkyDNS дискредитируют Zyxel, если на самом деле в целом нет роутеров с поддержкой данной настройки 

Вы сами дискредитируете дискредитацию дискредитируемого ...........

[sergeyk]

3 минуты назад, metahor сказал:

А кто поддерживает? Огласите весь список,пожалуйста!!!!

Я бы сам посмотрел.

[metahor]

Идите в раздел ENTWARE

[StG Tm]

Если установить сертификат предлагаемый skydns и запустить webserver на 127.0.0.1:13107 со своей страницей блокировки, то в принципе, это может сойти за костыль. Пользователь хотя-бы видит, что страница заблокирована правилами учреждения, а не просто у нас плохой интернет. На страничке уже указываю, что поиск возможен только через search.skydns. Это касается только стационаров, гостевые ноутбуки продолжают капать на мозги по поводу отсутствия интернета. 

 

P.S,Сегодня позвонили из деревенской начальной школы (3 ПК ) на keenetic DSL, та-же проблема, проверяющие не увидели страницы блокировки - выписали  предписание директору - устранить. 

Edited September 9, 2020 by StG Tm

[sergeyk]

7 часов назад, StG Tm сказал:

P.S,Сегодня позвонили из деревенской начальной школы (3 ПК ) на keenetic DSL, та-же проблема, проверяющие не увидели страницы блокировки - выписали  предписание директору - устранить. 

У проверяющих стоит сертификат на клиентских устройствах?

[falconpvt]

14 часа назад, StG Tm сказал:

Если установить сертификат предлагаемый skydns и запустить webserver на 127.0.0.1:13107 со своей страницей блокировки

Получается на каждый ПК надо установить сервер? Не подскажите какую сборку используете веб-сервера?

У нас я настроил в Хроме автооткрытие поиска skydns по-умолчанию при запуске, основным поиском и при открытии новой вкладки так же автоматически открывается страница skydns-поиска (при помощи расширения Custom New Tab URL). Значительно улучшило ситуацию.

[StG Tm]

13 часа назад, sergeyk сказал:

У проверяющих стоит сертификат на клиентских устройствах?

Проверяли конкретно компьютеры установленные в учреждении. Попробовали перейти на основные поисковые системы с целью проверить безопасность поиска, увидели сообщение о невозможности отобразить страницу. Звонила директриса была в легком шоке, ее на словах обвинили в воспрепятствовании проведения проверки. Что по итогу отразили в предписании, не знаю.

6 часов назад, falconpvt сказал:

Получается на каждый ПК надо установить сервер? Не подскажите какую сборку используете веб-сервера?

Получается да. Я просто ради интереса поставил себе сборку xampp, не хотелось особо заморачиваться. Свою html c блокировкой скопировал C:\xampp\htdocs, порт выставил в интерфейсе панели xmpp. 

Предположу что  SKYDNS не может  отслеживает количество пользователей зарегистрированных в интерфейсе keenetic, а только компьютеры с установленным агентом. По агентами и считается квота подписки.  Вероятно порт 13107 это порт агента и если на вашем компьютере агент установлен и авторизован,  то вы увидите нормальную страницу блокировки. 

Edited September 10, 2020 by StG Tm

[falconpvt]

18 часов назад, StG Tm сказал:

Предположу что  SKYDNS не может  отслеживает количество пользователей зарегистрированных в интерфейсе keenetic, а только компьютеры с установленным агентом. По агентами и считается квота подписки.  Вероятно порт 13107 это порт агента и если на вашем компьютере агент установлен и авторизован,  то вы увидите нормальную страницу блокировки. 

Не очень подходит, т.к. нельзя быстро централизованно отключить/включить фильтрацию

Edited September 11, 2020 by falconpvt

[Le ecureuil]

В 10.09.2020 в 21:57, StG Tm сказал:

Проверяли конкретно компьютеры установленные в учреждении. Попробовали перейти на основные поисковые системы с целью проверить безопасность поиска, увидели сообщение о невозможности отобразить страницу. Звонила директриса была в легком шоке, ее на словах обвинили в воспрепятствовании проведения проверки. Что по итогу отразили в предписании, не знаю.

Административный идиотизм не исправляется техническими средствами.

[falconpvt]

3 минуты назад, ndm сказал:

Можете с этим спорить, но мы считаем такое решение безобразным и неудобным.

Предложите альтернативу тогда, пожалуйста. Либо сделайте так, чтобы на Keenetic работал данный способ как на роутрах других производителей.