Jump to content
  • -3
falconpvt

Перенаправление SkyDNS

Question

Здравствуйте.

Прошу реализовать функцию отображения страницы блокировки со ссылкой безопасного поиска, как это было ранее с сайтами не https. Иначе, возникают существенные проблемы при проверках прокуратуры и простом использовании, т.к. создаётся ощущение, что отсутствует интернет.

На сайте SkyDNS есть инструкция https://www.skydns.ru/guides/tls-ca-setup/ , но указано, что на ZyXEL поддержки нет.

2053704995_ZyXEL.JPG.75bee924660cb6a89fef68eea6729c55.JPG

Share this post


Link to post
Share on other sites

23 answers to this question

Recommended Posts

  • 0
14 часа назад, Le ecureuil сказал:

А вы root ca везде проставите нужный? И в iphone тоже?

Я пробовал в браузере по инструкции ставить. Пока, к сожалению, никак не получилось. Ваша техническая поддержка порекомендовала создать здесь обращение, т.к. я понял эта функция пока не реализована.

Share this post


Link to post
Share on other sites
  • 0

Функция по прежнему не реализована. На сегодняшний день почти все современные сайты работают по https. Вместо страницы блокировки браузер переходит на 127.0.0.1:13107 - выдает страница недоступна и соответственно непонятно недоступен сайт или он заблокирован. А если заблокирован то под какую категорию попал. И еще вопрос - какая информацию передается skydns? Например при активной подписки на 10 пользователей, регистрируется 11 пользователь. Что произойдет? Перестанет работать фильтрация у 11-го или это касается одновременно использования  10-ю пользователям и я могу регистрировать гостей по мере их прихода?

Edited by StG Tm

Share this post


Link to post
Share on other sites
  • 0
10 hours ago, StG Tm said:

Функция по прежнему не реализована.

Не только не реализована, но даже не запланирована.

@StG Tm: вы в TLS разбираетесь, но хотелось бы пояснить для других читателей.

Чтобы вместо страницы https://{адрес_сайта} кинетик показал страницу блокировки, нужно, чтобы он выдал себя за {адрес_сайта}. Такое поведение называется спуфингом, и TLS от него защищает. За подлинный сайт кинетик себя выдать не может и не должен. На сайте SkyDNS говорится о "левом" сертификате, который можно поставить на шлюзы других производителей. Чтобы браузер не выдавал предупреждение о перехвате, "левый" rootCA нужно установить на все компьютеры и мобильные устройства.

Можете с этим спорить, но мы считаем такое решение безобразным и неудобным.

  • Upvote 2

Share this post


Link to post
Share on other sites
  • 0
Цитата

Можете с этим спорить, но мы считаем такое решение безобразным и неудобным.

Так сейчас РТК замутил во всех школах,где подключают по программе СЗО. Пускают все трафик через свой прокси и с обязательной установкой ихниго сертификата.

Share this post


Link to post
Share on other sites
  • 0
11 час назад, falconpvt сказал:

Предложите альтернативу тогда, пожалуйста. Либо сделайте так, чтобы на Keenetic работал данный способ как на роутрах других производителей. 

А как это работает на роутерах других производителей? Можно пример?!

Share this post


Link to post
Share on other sites
  • 0
11 час назад, falconpvt сказал:

Предложите альтернативу тогда, пожалуйста. Либо сделайте так, чтобы на Keenetic работал данный способ как на роутрах других производителей. 

Ясно...

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, metahor сказал:

А как это работает на роутерах других производителей? Можно пример?!

К сожалению у меня только десяток кинетиков приобретено. 

В личном кабинете SkyDNS написано, что конкретно на Zyxel не работает (скрин приложил). 

А инструкция по установке сертификата думаю и так понятна https://www.skydns.ru/guides/tls-ca-setup/

Screenshot_20200907_230502_com.android.chrome.jpg

Share this post


Link to post
Share on other sites
  • 0
Цитата

В личном кабинете SkyDNS написано, что конкретно на Zyxel не работает (скрин приложил). 

Тут мы и не говорим про оборудование фирмы Z :)

Share this post


Link to post
Share on other sites
  • 0
Только что, metahor сказал:

Тут мы и не говорим про оборудование фирмы Z :)

Суть меняется? На Keenetic работает или Zyxel уже называть вслух нельзя стало? Про NDMS тогда говорим.

Share this post


Link to post
Share on other sites
  • 0
15 минут назад, falconpvt сказал:

В личном кабинете SkyDNS написано, что конкретно на Zyxel не работает (скрин приложил). 

В этих инструкциях я не вижу ни одной модели роутера, которая бы поддерживала подмену сертификатов.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, sergeyk сказал:

В этих инструкциях я не вижу ни одной модели роутера, которая бы поддерживала подмену сертификатов

Значит SkyDNS дискредитируют Zyxel, если на самом деле в целом нет роутеров с поддержкой данной настройки 

  • Y'r wrong 1

Share this post


Link to post
Share on other sites
  • 0
20 минут назад, sergeyk сказал:

В этих инструкциях я не вижу ни одной модели роутера, которая бы поддерживала подмену сертификатов.

А кто поддерживает? Огласите весь список,пожалуйста!!!!

Share this post


Link to post
Share on other sites
  • 0
17 минут назад, falconpvt сказал:

Значит SkyDNS дискредитируют Zyxel, если на самом деле в целом нет роутеров с поддержкой данной настройки 

Вы сами дискредитируете дискредитацию дискредитируемого ...........:o

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, metahor сказал:

А кто поддерживает? Огласите весь список,пожалуйста!!!!

Я бы сам посмотрел.

Share this post


Link to post
Share on other sites
  • 0

Если установить сертификат предлагаемый skydns и запустить webserver на 127.0.0.1:13107 со своей страницей блокировки, то в принципе, это может сойти за костыль. Пользователь хотя-бы видит, что страница заблокирована правилами учреждения, а не просто у нас плохой интернет. На страничке уже указываю, что поиск возможен только через search.skydns. Это касается только стационаров, гостевые ноутбуки продолжают капать на мозги по поводу отсутствия интернета. 

2020-09-10_00-28-12.png.7a7981a044fa69e21670449a7405b5c0.png

 

P.S,Сегодня позвонили из деревенской начальной школы (3 ПК ) на keenetic DSL, та-же проблема, проверяющие не увидели страницы блокировки - выписали  предписание директору - устранить. 

Edited by StG Tm

Share this post


Link to post
Share on other sites
  • 0
7 часов назад, StG Tm сказал:

P.S,Сегодня позвонили из деревенской начальной школы (3 ПК ) на keenetic DSL, та-же проблема, проверяющие не увидели страницы блокировки - выписали  предписание директору - устранить. 

У проверяющих стоит сертификат на клиентских устройствах?

Share this post


Link to post
Share on other sites
  • 0
14 часа назад, StG Tm сказал:

Если установить сертификат предлагаемый skydns и запустить webserver на 127.0.0.1:13107 со своей страницей блокировки

Получается на каждый ПК надо установить сервер? Не подскажите какую сборку используете веб-сервера?

У нас я настроил в Хроме автооткрытие поиска skydns по-умолчанию при запуске, основным поиском и при открытии новой вкладки так же автоматически открывается страница skydns-поиска (при помощи расширения Custom New Tab URL). Значительно улучшило ситуацию.

Share this post


Link to post
Share on other sites
  • 0
13 часа назад, sergeyk сказал:

У проверяющих стоит сертификат на клиентских устройствах?

Проверяли конкретно компьютеры установленные в учреждении. Попробовали перейти на основные поисковые системы с целью проверить безопасность поиска, увидели сообщение о невозможности отобразить страницу. Звонила директриса была в легком шоке, ее на словах обвинили в воспрепятствовании проведения проверки. Что по итогу отразили в предписании, не знаю.

6 часов назад, falconpvt сказал:

Получается на каждый ПК надо установить сервер? Не подскажите какую сборку используете веб-сервера?

Получается да. Я просто ради интереса поставил себе сборку xampp, не хотелось особо заморачиваться. Свою html c блокировкой скопировал C:\xampp\htdocs, порт выставил в интерфейсе панели xmpp. 

Предположу что  SKYDNS не может  отслеживает количество пользователей зарегистрированных в интерфейсе keenetic, а только компьютеры с установленным агентом. По агентами и считается квота подписки.  Вероятно порт 13107 это порт агента и если на вашем компьютере агент установлен и авторизован,  то вы увидите нормальную страницу блокировки. 

2020-09-10_21-44-33.png.42548334f9a3a28c67c210fc28c6ff77.png

Edited by StG Tm

Share this post


Link to post
Share on other sites
  • 0
18 часов назад, StG Tm сказал:

Предположу что  SKYDNS не может  отслеживает количество пользователей зарегистрированных в интерфейсе keenetic, а только компьютеры с установленным агентом. По агентами и считается квота подписки.  Вероятно порт 13107 это порт агента и если на вашем компьютере агент установлен и авторизован,  то вы увидите нормальную страницу блокировки. 

Не очень подходит, т.к. нельзя быстро централизованно отключить/включить фильтрацию :(

Edited by falconpvt

Share this post


Link to post
Share on other sites
  • 0
В 10.09.2020 в 21:57, StG Tm сказал:

Проверяли конкретно компьютеры установленные в учреждении. Попробовали перейти на основные поисковые системы с целью проверить безопасность поиска, увидели сообщение о невозможности отобразить страницу. Звонила директриса была в легком шоке, ее на словах обвинили в воспрепятствовании проведения проверки. Что по итогу отразили в предписании, не знаю.

Административный идиотизм не исправляется техническими средствами.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • -5
3 минуты назад, ndm сказал:

Можете с этим спорить, но мы считаем такое решение безобразным и неудобным.

Предложите альтернативу тогда, пожалуйста. Либо сделайте так, чтобы на Keenetic работал данный способ как на роутрах других производителей. 

  • Y'r wrong 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...