Настройка прокси

Nik_name

New member
Сообщения
6
#1
Доброго времени суток!
С недавних пор работаю в школе. Получены ноуты с Астра Линукс. В январе подключены к инету через шифратор. Необходимо настроить на сетевой карте днс-сервера, установить сертификат и прописать прокси-сервер. С Win проблем не было,
Настраивал Астру по данной инструкции. Пинг на различные сайты идет, браузеры выходят (настроил пока только их). Проверка обновлений видит что есть 426 новых пакетов, но само обновление не проходит. Настраивал по способам № 1 и 2. Не понимаю, почему так происходит.
И еще - после настройки прокси ничего не происходит по команде
$ env | grep -i proxy.
На ноутах необходимо наладить выход в инет браузеров (сделано), почтовой программы, установить Zoom и установку обновлений Линукса.
 
Последнее редактирование:

oko

New member
Сообщения
965
#2
to Nik_name
В /etc/environment записи типа https_proxy="http://ИМЯ:ПАРОЛЬ@АДРЕС:ПОРТ/" вносили и перезагружались? Прокси-сервер с аутентификацией или без? Чей вообще это прокси-сервер и зачем он вам, когда речь по ссылке идет об импорте сертификата?
А то, что вы называете "шифратором" - это тупой MiTM кривое поделие от Ростелекома для авторизации и, возможно, SSL-защиты вашего трафика на его оборудовании. И, модуль экстрасенсорики подсказывает, что с полноценным импортом подобных сертификатов в AstraLinux куда-нибудь кроме MozillaFirefox (у него своя база сертификатов), еще намучаетесь, ага...
 

Nik_name

New member
Сообщения
6
#3
В /etc/environment записи типа https_proxy="http://ИМЯ:ПАРОЛЬ@АДРЕС:ПОРТ/" вносили и перезагружались?
Да, если запись https_proxy="https://10.0.57.52:3128/" правильная, перезагрузка была.
Кстати, встречал в Инете https_proxy="http... и https_proxy="https... - как правильно? Должны быть одинаковыми или нет? Кроме того, встречалось и указание большими и маленькими буквами одновременно.
У меня так -
https_proxy="https://10.0.57.52:3128/"
http_proxy="http://10.0.57.52:3128/"


Прокси-сервер с аутентификацией или без? - Без
Самое интересное, что сайты пингуются, кол-во пакетов обновлений показывается, но при установке обновлений появляется ошибка (на память, точно не вспомню) - Error, таймаут 12000.
 

oko

New member
Сообщения
965
#4
to Nik_name
Если сам прокси не ожидает соединений на SSL-порту, то запись будет "http://..." для любых других TCP-протоколов, поддерживающих подобную переадресацию (https_proxy, http_proxy, ftp_proxy)...
Если вам нужно, чтобы любой софт, установленный в системе, включая саму ОС, лез во внешку через прокси, то, если не работает метод через /etc/environment (к слову, он редко работает), можете:
1. Создать sh-скрипт в /etc/profile.d/ под любым именем (например, sudo nano /etc/profile.d/proxy);
2.
3. Дать права исполнения (sudo chmod +x /etc/profile.d/proxy)
4. Перезагрузиться и проверить, что env | grep -i proxy показывает указанный вами список перенаправлений под любым залогиненным пользователем.

И еще одно. Модуль экстрасенсорики подсказывает, что провайдер (Ростелеком) вам дал канал, на котором хочет перехватывать и анализировать прикладные протоколы (http, https, ftp и т.д.) заворачиваются на прокси-сервер провайдера или вообще отбрасываются, если не заворачиваются. При этом криворукий прокси-сервер провайдера требует подмены сертификатов для случая использования httpS (SSL) трафика потому что админы провайдера не осилили transparent-proxy с SSL-bump. Поэтому провайдер вам выдал свой сертификат, который должен быть добавлен в доверенную зону, чтобы у браузеров и системы в целом не снесло мозги при попытке подключения к любому https-ресурсу, использующему свои сертификаты, а не сертификаты провайдера...
В свою очередь, ICMP-трафик (ping) никак с прокси не связан в большинстве своем. Провайдер его либо пропускает (как в вашем случае), либо тупо блокирует (как и должен по-хорошему)...
А вот таймауты центра обновлений как раз свидетельствуют, что провайдер блокирует соединения, идущие по прикладным протоколам от вас, но не через его прокси-сервер...
 
Последнее редактирование:

Montfer

New member
Сообщения
1 589
#5
да, помнится, пару лет назад своей родной школе помогал вернуть доступ к интернету. но то было на винде.
http://support.ab.ru/usergate/

кстати, про обновления. если у вас астра с секрет нетом, то не рекомендуется обновляться
 
Последнее редактирование:

Nik_name

New member
Сообщения
6
#6
to oko
Спасибо за информацию, попробую 22-23 числа, раньше не получится.
Доступ без сертификата по данному каналу возможен только на сайт Яндекса, включая новости и проверка скорости Яндекс-интернетомер.
Этот канал более скоростной, чем действующий.
И, кстати, эта проблема не только у нас.
В настоящее время импортозамещение, ноуты на район по школам пришли более 150 шт., все на Астре, а во всех школах именно этот интернет. В сельских школах скорость стала до 5 мб, старый канал был в районе 0,8 мб на максимуме, в среднем 0,5 мб. (Это на всю школу). Пока выходим из положения только настройкой Файрфокса и выходом в инет только этого браузера.

to Montfer
Нет, секретнета кажется не установлено. Грузится довольно шустро. Видел комп на i5 с 8 гб оперативы с секретнетом. Загрузка более 4 минут.
Они пришли на район одинаковые, в тч для учеников.
 

Nik_name

New member
Сообщения
6
#7
to oko
Получилось только сегодня. Забыл только сделать п. 4 - проверить env | grep -i proxy показывает указанный вами список перенаправлений под любым залогиненным пользователем .

Остальное - не работает. Выхода в Интернет нет в бразузерах и не проверяет обновления Линукса.
Установил по другому - дал выход в Инет через APT обновлениям, обновил систему, выход Файрфокса - через указание прокси-сервера.
Осталось 2 вопроса - выход Хромиума и Почты (Птичка).
По поводу Хромиума -
Chromium, также может использовать глобальные настройки и имеет свои. Для того чтобы назначить ему прокси персонально, откройте файл /etc/chromium/default и допишите следующие строки:

CHROMIUM_FLAGS="-proxy-server=адрес:порт"
И перезапустите браузер

Правильно ли я понимаю - CHROMIUM_FLAGS="-proxy-server=http://10.0.57.52:3128/" - правильно?
И как запустить Почту через прокси?
 

oko

New member
Сообщения
965
#8
to Nik_name
Вы бы у Ростелекома сперва уточнили, какие протоколы через их прокси вообще можно пускать. В общем случае (3128-порт намекает на squid, но проскальзывала информация по Usergate, а с ним давно дел не имел) через прокси ходят только те, что приведены в спойлере в моем сообщении. И, повторяю еще раз, ни SMTP, ни POP3/IMAP - стандартные протоколы eMail - среди них нет и не будет...
По приведенной ссылке вариант импорта сертификата и настройки Firefox в АльтЛинукс как бэ намекает, что кроме web-протоколов ничего более работать у вас и не будет. Хотя тут, конечно, возможны варианты (для которых надо непосредственно видеть ситуацию, а не гадать на кофейной гуще)...
Chrome берет конфигурацию прокси из системных настроек. То, что environment у вас показывает корректную настройку прокси, но при этом Chrome этого не замечает, означает, что что-то еще вы не выполнили. Модуль экстрасенсорики подсказывает, что предоставленный сертификат вы импортировали исключительно в Firefox. Пробуйте при установленных переменных окружениях тем же wget качнуть заглавную страницу http://mirror.yandex.ru (не https), а потом то же самое по https и сравните результат. Потом то же самое через Chrome (хотя тут для чистоты эксперимента надо искать какой-нибудь http-сайт, зеркало Яндекса автоматом редиректит на https). И вообще, для начала приведите ошибку того же Chrome: нет доверия к сертификату? отсутствие соединения с прокси? отбой по таймауту?

ЗЫ И еще, развернуто приводите ошибки и проблемы, с которыми сталкиваетесь. А то "выхода в Интернет нет" настолько неинформативно, что разбираться в этом нет никакого желания. Собственно, анализ журналов системы и используемых приложений + Гугл решают большинство проблем...
 

Nik_name

New member
Сообщения
6
#9
to Nik_name
Вы бы у Ростелекома сперва уточнили, какие протоколы через их прокси вообще можно пускать. В общем случае (3128-порт намекает на squid, но проскальзывала информация по Usergate, а с ним давно дел не имел) через прокси ходят только те, что приведены в спойлере в моем сообщении. И, повторяю еще раз, ни SMTP, ни POP3/IMAP - стандартные протоколы eMail - среди них нет и не будет...
По приведенной ссылке вариант импорта сертификата и настройки Firefox в АльтЛинукс как бэ намекает, что кроме web-протоколов ничего более работать у вас и не будет. Хотя тут, конечно, возможны варианты (для которых надо непосредственно видеть ситуацию, а не гадать на кофейной гуще)...
Chrome берет конфигурацию прокси из системных настроек. То, что environment у вас показывает корректную настройку прокси, но при этом Chrome этого не замечает, означает, что что-то еще вы не выполнили. Модуль экстрасенсорики подсказывает, что предоставленный сертификат вы импортировали исключительно в Firefox. Пробуйте при установленных переменных окружениях тем же wget качнуть заглавную страницу http://mirror.yandex.ru (не https), а потом то же самое по https и сравните результат. Потом то же самое через Chrome (хотя тут для чистоты эксперимента надо искать какой-нибудь http-сайт, зеркало Яндекса автоматом редиректит на https). И вообще, для начала приведите ошибку того же Chrome: нет доверия к сертификату? отсутствие соединения с прокси? отбой по таймауту?

ЗЫ И еще, развернуто приводите ошибки и проблемы, с которыми сталкиваетесь. А то "выхода в Интернет нет" настолько неинформативно, что разбираться в этом нет никакого желания. Собственно, анализ журналов системы и используемых приложений + Гугл решают большинство проблем...
По порядку -
Сертификат действительно импортировал только в Файерфоксе, но так и предусматривает инструкция Ростелекома. В первом моем сообщении "в январе подключены через шифратор" пройти по ссылке
sertifikat.jpg

и есть инструкция (Ростелекома) по установке сертификата на ОС АльтЛинукс. Там указан именно Файерфокс. В винде - два клика на сертификате, установка в Доверенные корневые хранилища. В Альте два клика на сертификат - только просмотр свойств. Можно как-то импортировать в Альте?

Ошибки в Хромиуме никакой нет, при открытии браузера - автоматический переход на страницу с данным сертификатом. Но как можно импортировать его в Хромиуме? Я не нашел.
Мое предыдущее сообщение - просил посмотреть правильно ли я выставил флаг для Хромиума?

Когда ранее изменял прокси через /etc/environment и проходила проверка обновлений, я уже говорил, что проверка находила более 400 пакетов, но они не могли установиться - через некоторое время был ответ Ошибка, таймаут 12000. Поэтому более подробно не могу рассказать об ошибках.

oko, спасибо за хоть такую информацию, что вы мне здесь подсказываете. Практически везде по поиску "альт линукс, прокси, школа или образовательная организация" есть куча вопросов и очень мало ответов. Кстати, в школе гугловский поиск - очень проблематичен, постоянно при каждом запросе необходимо подтверждать, что ты не робот.
p.s. В Ростелекоме кажется началось какое то движение в связи с неоднократными вопросами по поводу прокси и Альт Линукса. Теперь будут настройки для учеников и отдельно для учителей и адм аппарата (при наличии тех возможности). У учеников - через прокси, а остальные - отдельно, без него, но пока еще РТК сами не знают, какие. Коллега в другой школе (по основной работе - представитель РТК, и тоже пока не смог решить вопрос с выходом в инет на Альте кроме Файерфокса) поделился информацией.
 

Nik_name

New member
Сообщения
6
#10
oko, еще раз спасибо за вашу помощь. Но действительно, по настройке прокси сервера именно в школе через РТК именно эта тема самая большая и информативная. Может еще кому пригодится.
 

oko

New member
Сообщения
965
#11
to Nik_name
Firefox ведет "все свое": конфигурации прокси не зависят от системных (если явно не указать "использовать системные параметры"), база доверенных сертификатов тоже. И Firefox наиболее распространенный в отечественных nix браузер. Поэтому в инструкциях ему и уделяется внимание...
Как импортировать сертификат в системное хранилище см. Гугл, например, тут. Весьма вероятно, это решит вашу проблему коннекта любых приложений (wget, Chrome и т.д.)
В части почты, либо пользуйтесь web-версией, которая работает через настроенный прокси, либо проверьте, что тот же Thunderbird не может соединиться с внешними почтовыми серверами без дополнительных манипуляций. Обычно никто в здравом уме в явном виде почту не проксирует - для этого имеются другие средства прозрачного перенаправления и фильтрации. Вообще, повторюсь, на мой взгляд описанное вами решение Ростелекома с явным прокси-сервером выглядит слишком убого на сегодняшний день...

ЗЫ Отсылка к Гуглу не подразумевает использовать в качестве поисковика именно google.com. Скорее, "вот вам направление - дальше самостоятельно в любом доступном поисковике ищите, потому что кроме вас полноценно ситуацию никто более на форуме себе не представляет"...
 

Denis774

New member
Сообщения
3
#12
Здравствуйте. Была такая проблема подключением интернета в школе через вай фай.Стоит сервер. Прописал прокси и не подключался. Помогло вот такое решение. Открыть настройки роутера смотрим мак адрес и прописываем в настройках вай фай линуксе вручную мак адрес от роутера. Отключить вай фай и подключить снова и ввести пароль.Все работает...
 
Последнее редактирование:

Misha

New member
Сообщения
10
#13
доброе утро! а как вы поставили сертификат ростелекома на всю систему, в файрфокс я добавил, прокси установил, но таким макаром не даёт обновлять систему и выходит самой астре в интернет для установки программ и обновления системы.
 

Denis774

New member
Сообщения
3
#14
Здравствуйте. Я просто установил сертификаты в браузеры. Систему обновлял через точку доступа с телефона. Удивительно что еще вообще Espd работает у нас. Я вторую неделю не могу понять почему через наш сервер не пашет интернет на хроме и не обновляется. Сервер через прокси. Этот баг не только Астре Линуксе, такая же фигня в альт Линукс. Firefox работает через прокси в настройках самого Firefox... Странно...
 

Denis774

New member
Сообщения
3
#15
Читал везде. Есть в чате астре Линукс и альт Линукс. И никто не знает как решить проблему.
 

Misha

New member
Сообщения
10
#16
Здравствуйте. Я просто установил сертификаты в браузеры. Систему обновлял через точку доступа с телефона. Удивительно что еще вообще Espd работает у нас. Я вторую неделю не могу понять почему через наш сервер не пашет интернет на хроме и не обновляется. Сервер через прокси. Этот баг не только Астре Линуксе, такая же фигня в альт Линукс. Firefox работает через прокси в настройках самого Firefox... Странно...
просто ростелеком считает что операционной системе не нужен выход в интернет, достаточно браузеров...
 

oko

New member
Сообщения
965
#17
to Denis774, Misha
А вы, товарищи, ссылку, мной приведенную, пробовали? Или просто ждете от Ростелекома инструкций?
Вот если манипуляции, типичные для Debian, в AstraLinux не сработают, тогда и имеет смысл думать. Так-то импортировали CA-сертификат в корневое хранилище и через wget проверили соединение с тем же https://ya.ru. Если загрузит страницу, значит, коннект есть (значит, и Chrome, и прочее тоже будут работать)...
Блин, да даже третьей ссылкой в поиски по запросу "корневые сертификаты astralinux" выдается подробный алгоритм. Орлом не пользуюсь, к школам и Ростелекому не имею отношения, так что проверить не могу. Но вам-то что мешает?
 

Misha

New member
Сообщения
10
#18
to Denis774, Misha
Или просто ждете от Ростелекома инструкций?
Типа того, а то как всю сеть в школе переделать под ИХ хотелки и кривости = это они умеют. а как написать внятную инструкцию по переходу и настройкам - нет. Главное ладно если в школе сеть простая. а если сеть с камерами/замками и тд и более 500 хостов - как это делаать - они не знают и знать не хотят..
 

oko

New member
Сообщения
965
#19
to Misha
А зачем камерам, замкам и проч. выход во внешние сети связи? Ради малолетних куллхацкеров? Как максимум, выход должен быть у серверов агрегации событий (видеонаблюдения, СКУД и т.п.), и то с VPN/SSL и стойкой авторизацией. И, если так, то вся излишняя сложность сразу пропадает, ага...
imho, в сети на 500 хостов правильнее поднять свою (а то и не одну) проксю с преферансом и куртизанками SSLBump, фильтрацией и редиректом на прокси Ростелекома. В нее уже вшить оный сертификат. И пользователям прозрачно, и у админа полные права для рулежки доступа...
 

Misha

New member
Сообщения
10
#20
user@astra:~$ env | grep -i proxy
https_proxy=https://10.0.71.52:3128/
http_proxy=http://10.0.71.52:3128/
ftp_proxy=ftp://10.0.71.52:3128/
user@astra:~$ sudo dpkg --configure -a
Обрабатываются триггеры для menu (2.1.47-astra1) …
Настраивается пакет yandex-browser-beta (22.3.1.899-1) …
--2022-04-12 20:21:02-- http://launchpadlibrarian.net/588577920/chromium-codecs-ffm
peg-extra_99.0.4844.51-0ubuntu0.18.04.1_amd64.deb
Распознаётся launchpadlibrarian.net (launchpadlibrarian.net)… 91.189.89.228, 91.189.
89.229, 2001:67c:1560:8003::8008, ...
Подключение к launchpadlibrarian.net (launchpadlibrarian.net)|91.189.89.228|:80... с
оединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 302 Moved Temporarily
Адрес: https://edu.wifi.rt.ru/session/7c3316ba-e0cc-4a02-8921-14fd2d824141 [переход]
--2022-04-12 20:21:02-- https://edu.wifi.rt.ru/session/7c3316ba-e0cc-4a02-8921-14fd
2d824141
Распознаётся edu.wifi.rt.ru (edu.wifi.rt.ru)… 85.94.1.142
Подключение к edu.wifi.rt.ru (edu.wifi.rt.ru)|85.94.1.142|:443... соединение установ
лено.
HTTP-запрос отправлен. Ожидание ответа…

прокси настроен в системе, сертификат установлен в системе - но по прежнему интернет только через мозиллу с прописанным прокси. через яндекс браузер выходит только на главную страницу яндекса.

apt update - перечитывает списки пакетов и тд нормально
apt upgrade - всё как вверху....