Настройка прокси
Доброго времени суток!
С недавних пор работаю в школе. Получены ноуты с Астра Линукс. В январе подключены к инету через шифратор. Необходимо настроить на сетевой карте днс-сервера, установить сертификат и прописать прокси-сервер. С Win проблем не было,
Настраивал Астру по данной инструкции. Пинг на различные сайты идет, браузеры выходят (настроил пока только их). Проверка обновлений видит что есть 426 новых пакетов, но само обновление не проходит. Настраивал по способам № 1 и 2. Не понимаю, почему так происходит.
И еще — после настройки прокси ничего не происходит по команде
$ env | grep -i proxy.
На ноутах необходимо наладить выход в инет браузеров (сделано), почтовой программы, установить Zoom и установку обновлений Линукса.
oko
New member
to Nik_name
В /etc/environment записи типа https_proxy=»http://ИМЯ:ПАРОЛЬ@АДРЕС:ПОРТ/» вносили и перезагружались? Прокси-сервер с аутентификацией или без? Чей вообще это прокси-сервер и зачем он вам, когда речь по ссылке идет об импорте сертификата?
А то, что вы называете «шифратором» — это тупой MiTM кривое поделие от Ростелекома для авторизации и, возможно, SSL-защиты вашего трафика на его оборудовании. И, модуль экстрасенсорики подсказывает, что с полноценным импортом подобных сертификатов в AstraLinux куда-нибудь кроме MozillaFirefox (у него своя база сертификатов), еще намучаетесь, ага.
Nik_name
New member
В /etc/environment записи типа https_proxy=»http://ИМЯ:ПАРОЛЬ@АДРЕС:ПОРТ/» вносили и перезагружались?
Да, если запись https_proxy=»https://10.0.57.52:3128/» правильная, перезагрузка была.
Кстати, встречал в Инете https_proxy=»http. и https_proxy=»https. — как правильно? Должны быть одинаковыми или нет? Кроме того, встречалось и указание большими и маленькими буквами одновременно.
У меня так —
https_proxy=»https://10.0.57.52:3128/»
http_proxy=»http://10.0.57.52:3128/»
Прокси-сервер с аутентификацией или без? — Без
Самое интересное, что сайты пингуются, кол-во пакетов обновлений показывается, но при установке обновлений появляется ошибка (на память, точно не вспомню) — Error, таймаут 12000.
oko
New member
to Nik_name
Если сам прокси не ожидает соединений на SSL-порту, то запись будет «http://. » для любых других TCP-протоколов, поддерживающих подобную переадресацию (https_proxy, http_proxy, ftp_proxy).
Если вам нужно, чтобы любой софт, установленный в системе, включая саму ОС, лез во внешку через прокси, то, если не работает метод через /etc/environment (к слову, он редко работает), можете:
1. Создать sh-скрипт в /etc/profile.d/ под любым именем (например, sudo nano /etc/profile.d/proxy);
2.
3. Дать права исполнения (sudo chmod +x /etc/profile.d/proxy)
4. Перезагрузиться и проверить, что env | grep -i proxy показывает указанный вами список перенаправлений под любым залогиненным пользователем.
И еще одно. Модуль экстрасенсорики подсказывает, что провайдер (Ростелеком) вам дал канал, на котором хочет перехватывать и анализировать прикладные протоколы (http, https, ftp и т.д.) заворачиваются на прокси-сервер провайдера или вообще отбрасываются, если не заворачиваются. При этом криворукий прокси-сервер провайдера требует подмены сертификатов для случая использования httpS (SSL) трафика потому что админы провайдера не осилили transparent-proxy с SSL-bump . Поэтому провайдер вам выдал свой сертификат, который должен быть добавлен в доверенную зону, чтобы у браузеров и системы в целом не снесло мозги при попытке подключения к любому https-ресурсу, использующему свои сертификаты, а не сертификаты провайдера.
В свою очередь, ICMP-трафик (ping) никак с прокси не связан в большинстве своем. Провайдер его либо пропускает (как в вашем случае), либо тупо блокирует (как и должен по-хорошему).
А вот таймауты центра обновлений как раз свидетельствуют, что провайдер блокирует соединения, идущие по прикладным протоколам от вас, но не через его прокси-сервер.
Montfer
New member
да, помнится, пару лет назад своей родной школе помогал вернуть доступ к интернету. но то было на винде.
http://support.ab.ru/usergate/
кстати, про обновления. если у вас астра с секрет нетом, то не рекомендуется обновляться
Nik_name
New member
to oko
Спасибо за информацию, попробую 22-23 числа, раньше не получится.
Доступ без сертификата по данному каналу возможен только на сайт Яндекса, включая новости и проверка скорости Яндекс-интернетомер.
Этот канал более скоростной, чем действующий.
И, кстати, эта проблема не только у нас.
В настоящее время импортозамещение, ноуты на район по школам пришли более 150 шт., все на Астре, а во всех школах именно этот интернет. В сельских школах скорость стала до 5 мб, старый канал был в районе 0,8 мб на максимуме, в среднем 0,5 мб. (Это на всю школу). Пока выходим из положения только настройкой Файрфокса и выходом в инет только этого браузера.
to Montfer
Нет, секретнета кажется не установлено. Грузится довольно шустро. Видел комп на i5 с 8 гб оперативы с секретнетом. Загрузка более 4 минут.
Они пришли на район одинаковые, в тч для учеников.
Nik_name
New member
to oko
Получилось только сегодня. Забыл только сделать п. 4 — проверить env | grep -i proxy показывает указанный вами список перенаправлений под любым залогиненным пользователем .
Остальное — не работает. Выхода в Интернет нет в бразузерах и не проверяет обновления Линукса.
Установил по другому — дал выход в Инет через APT обновлениям, обновил систему, выход Файрфокса — через указание прокси-сервера.
Осталось 2 вопроса — выход Хромиума и Почты (Птичка).
По поводу Хромиума —
Chromium, также может использовать глобальные настройки и имеет свои. Для того чтобы назначить ему прокси персонально, откройте файл /etc/chromium/default и допишите следующие строки:
CHROMIUM_FLAGS=»-proxy-server=адрес:порт»
И перезапустите браузер
Правильно ли я понимаю — CHROMIUM_FLAGS=»-proxy-server=http://10.0.57.52:3128/» — правильно?
И как запустить Почту через прокси?
oko
New member
to Nik_name
Вы бы у Ростелекома сперва уточнили, какие протоколы через их прокси вообще можно пускать. В общем случае (3128-порт намекает на squid, но проскальзывала информация по Usergate, а с ним давно дел не имел) через прокси ходят только те, что приведены в спойлере в моем сообщении. И, повторяю еще раз, ни SMTP, ни POP3/IMAP — стандартные протоколы eMail — среди них нет и не будет.
По приведенной ссылке вариант импорта сертификата и настройки Firefox в АльтЛинукс как бэ намекает, что кроме web-протоколов ничего более работать у вас и не будет. Хотя тут, конечно, возможны варианты (для которых надо непосредственно видеть ситуацию, а не гадать на кофейной гуще).
Chrome берет конфигурацию прокси из системных настроек. То, что environment у вас показывает корректную настройку прокси, но при этом Chrome этого не замечает, означает, что что-то еще вы не выполнили. Модуль экстрасенсорики подсказывает, что предоставленный сертификат вы импортировали исключительно в Firefox. Пробуйте при установленных переменных окружениях тем же wget качнуть заглавную страницу http://mirror.yandex.ru (не https), а потом то же самое по https и сравните результат. Потом то же самое через Chrome (хотя тут для чистоты эксперимента надо искать какой-нибудь http-сайт, зеркало Яндекса автоматом редиректит на https). И вообще, для начала приведите ошибку того же Chrome: нет доверия к сертификату? отсутствие соединения с прокси? отбой по таймауту?
ЗЫ И еще, развернуто приводите ошибки и проблемы, с которыми сталкиваетесь. А то «выхода в Интернет нет» настолько неинформативно, что разбираться в этом нет никакого желания. Собственно, анализ журналов системы и используемых приложений + Гугл решают большинство проблем.
Nik_name
New member
to Nik_name
Вы бы у Ростелекома сперва уточнили, какие протоколы через их прокси вообще можно пускать. В общем случае (3128-порт намекает на squid, но проскальзывала информация по Usergate, а с ним давно дел не имел) через прокси ходят только те, что приведены в спойлере в моем сообщении. И, повторяю еще раз, ни SMTP, ни POP3/IMAP — стандартные протоколы eMail — среди них нет и не будет.
По приведенной ссылке вариант импорта сертификата и настройки Firefox в АльтЛинукс как бэ намекает, что кроме web-протоколов ничего более работать у вас и не будет. Хотя тут, конечно, возможны варианты (для которых надо непосредственно видеть ситуацию, а не гадать на кофейной гуще).
Chrome берет конфигурацию прокси из системных настроек. То, что environment у вас показывает корректную настройку прокси, но при этом Chrome этого не замечает, означает, что что-то еще вы не выполнили. Модуль экстрасенсорики подсказывает, что предоставленный сертификат вы импортировали исключительно в Firefox. Пробуйте при установленных переменных окружениях тем же wget качнуть заглавную страницу http://mirror.yandex.ru (не https), а потом то же самое по https и сравните результат. Потом то же самое через Chrome (хотя тут для чистоты эксперимента надо искать какой-нибудь http-сайт, зеркало Яндекса автоматом редиректит на https). И вообще, для начала приведите ошибку того же Chrome: нет доверия к сертификату? отсутствие соединения с прокси? отбой по таймауту?
ЗЫ И еще, развернуто приводите ошибки и проблемы, с которыми сталкиваетесь. А то «выхода в Интернет нет» настолько неинформативно, что разбираться в этом нет никакого желания. Собственно, анализ журналов системы и используемых приложений + Гугл решают большинство проблем.
По порядку —
Сертификат действительно импортировал только в Файерфоксе, но так и предусматривает инструкция Ростелекома. В первом моем сообщении «в январе подключены через шифратор» пройти по ссылке
и есть инструкция (Ростелекома) по установке сертификата на ОС АльтЛинукс. Там указан именно Файерфокс. В винде — два клика на сертификате, установка в Доверенные корневые хранилища. В Альте два клика на сертификат — только просмотр свойств. Можно как-то импортировать в Альте?
Ошибки в Хромиуме никакой нет, при открытии браузера — автоматический переход на страницу с данным сертификатом. Но как можно импортировать его в Хромиуме? Я не нашел.
Мое предыдущее сообщение — просил посмотреть правильно ли я выставил флаг для Хромиума?
Когда ранее изменял прокси через /etc/environment и проходила проверка обновлений, я уже говорил, что проверка находила более 400 пакетов, но они не могли установиться — через некоторое время был ответ Ошибка, таймаут 12000. Поэтому более подробно не могу рассказать об ошибках.
oko, спасибо за хоть такую информацию, что вы мне здесь подсказываете. Практически везде по поиску «альт линукс, прокси, школа или образовательная организация» есть куча вопросов и очень мало ответов. Кстати, в школе гугловский поиск — очень проблематичен, постоянно при каждом запросе необходимо подтверждать, что ты не робот.
p.s. В Ростелекоме кажется началось какое то движение в связи с неоднократными вопросами по поводу прокси и Альт Линукса. Теперь будут настройки для учеников и отдельно для учителей и адм аппарата (при наличии тех возможности). У учеников — через прокси, а остальные — отдельно, без него, но пока еще РТК сами не знают, какие. Коллега в другой школе (по основной работе — представитель РТК, и тоже пока не смог решить вопрос с выходом в инет на Альте кроме Файерфокса) поделился информацией.