Страница печати | Закрыть окно

Работа по https с расшифровкой ssl

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24129
Дата печати: 15-Авг-18 в 12:26
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Работа по https с расшифровкой ssl
Автор: kolshik2018
Тема: Работа по https с расшифровкой ssl
Дата отправки: 12-Фев-18 в 09:28
Здравствуйте! Установил тестовую версию трафик инспектор, чтобы узнать подходит ли нам данное приложение. В данный момент используем простенький бесплатный прокси сервер. Проброс 80 на 2128 и поп и смтп 110/25 проброс 21110/21125. Думаю что и ТИ это умеет.
Но суть в том что наш прокси не поддерживает расшифровку https трафика.
В частности нам это нужно для программы 1с, которая в последних версиях перешла на защищенный режим с проверкой сертификатов. Теперь 1с, при обращению к своим ресурсам по https, ругается что нет доверия к удаленному серверу.
Как настроить в ТИ эту схему "человек посередине"??
Так же смотрели программу iadmin, там просто сгеннерировали сертификат и установили его на каждый локальный компьютер. Но ТИ как то больше нравится. Тут как это реализовать?
Спасибо!



Ответов:
Автор: VladimirK
Дата отправки: 12-Фев-18 в 15:24
В целом аналогично. Включите Анализ SSL. Из раздела Анализ SSL получите корневой сертификат. Добавьте его на клиентские машины. И настройте их на прокси сервер.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: kolshik2018
Дата отправки: 12-Фев-18 в 16:47
Исходное сообщение VladimirK VladimirK :

В целом аналогично. Включите Анализ SSL. Из раздела Анализ SSL получите корневой сертификат. Добавьте его на клиентские машины. И настройте их на прокси сервер.
А в разделе Анализ SSL указывать какой порт не подскажите? У меня указан 443, но мне кажется я его зачем то сменил.
Так то вроде браузеры клиентских машин работают, а вот 1с никак не подружу. То ли порт должен быть другим, то ли в 1с тоже нужно как-то подкидывать сертификат... 


Автор: kolshik2018
Дата отправки: 12-Фев-18 в 22:41
Всё с ssl разобрался. Вопрос снимается.
Всё перечитал, никак не пойму как мне заставить работать с ТИ - Оутлук. Например где в ТИ указать, что клиентские машины будут получать почту с адреса прокси 192.168.1.148 по внутреннему порту 21110, и что на самом деле это внешний сервер pop.masterhost.ru с  25 портом??


Автор: VladimirK
Дата отправки: 13-Фев-18 в 08:31
Ваш вопрос не совсем понятен. Возможно это перенаправление портов, возможно публикация служб

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: kolshik2018
Дата отправки: 13-Фев-18 в 08:53
Исходное сообщение VladimirK VladimirK :

Ваш вопрос не совсем понятен. Возможно это перенаправление портов, возможно публикация служб
Я так понимаю что изначально все порты закрыты, а это перенаправление портов, но с разрешением только для конкретного адреса почтового провайдера. В ТИ так можно сделать?



Автор: VladimirK
Дата отправки: 13-Фев-18 в 11:46
Похоже на перенаправление портов (в правилах и в свойствах пользователя) посмотрите этот функционал в ТИ

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 11:38
Исходное сообщение VladimirK VladimirK :

Похоже на перенаправление портов (в правилах и в свойствах пользователя) посмотрите этот функционал в ТИ
После простенького прокси в котором 4 кнопки, сложновато что-то с делать в ТИ.
Может есть какая-то инструкция как это сделать? И только в ТИ нужно делать? Или еще порты какие открывать в windows?


Автор: ZAN
Дата отправки: 14-Фев-18 в 11:58
Вы бы объяснили понятным языком, чего хотите добиться от "проброса" портов. Тогда и помощь получите быстрее. Мне кажется, что не нужны Вам никакие пробросы. 


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 12:15
Исходное сообщение ZAN ZAN :

Вы бы объяснили понятным языком, чего хотите добиться от "проброса" портов. Тогда и помощь получите быстрее. Мне кажется, что не нужны Вам никакие пробросы. 

У нас старый прокси простенький. Там вот что-то вроде проброса портов.
В оутлуке я пишу что сервер: 192.168.192.148 и порт 21110. На прокси настроено это правило, в которое вбито что при получении на 21110 порт 192.168.192.148 , сообщение перенаправляется на 110 порт сервера pop.masterhost.ru
теперь я установил ТИ, мне в оутлуке сервер и порт какие указывать? Если внутренний ip нового прокси 192.168.192.128. Пробовал 192.168.192.128: 110. Не идет. В правилах там совсем запутался, что именно создавать или пробрасывать надо?


Автор: ZAN
Дата отправки: 14-Фев-18 в 12:30
Вам нужно, чтобы клиент из вашей внутренней сети, используя клиентскую почтовую программу MS Outlook, мог работать с внешним почтовым сервером pop.masterhost.ru, который использует входящий порт TCP/110. Я правильно понял задачу?


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 12:37
Исходное сообщение ZAN ZAN :

Вам нужно, чтобы клиент из вашей внутренней сети, используя клиентскую почтовую программу MS Outlook, мог работать с внешним почтовым сервером pop.masterhost.ru, который использует входящий порт TCP/110. Я правильно понял задачу?
Да! Совершенно верно.


Автор: ZAN
Дата отправки: 14-Фев-18 в 12:48
Ну так и прописывайте в Outlook этот сервер и порт. Все должно работать без пробросов, разрешающих правил и пр. Идеология сетевого экрана ТИ такова, что по умолчанию авторизованному клиенту ТИ разрешен наружу любой трафик, а для возможности получения отклика разрешающие правила создаются автоматически. 


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 13:46
Исходное сообщение ZAN ZAN :

Ну так и прописывайте в Outlook этот сервер и порт. Все должно работать без пробросов, разрешающих правил и пр. Идеология сетевого экрана ТИ такова, что по умолчанию авторизованному клиенту ТИ разрешен наружу любой трафик, а для возможности получения отклика разрешающие правила создаются автоматически. 
Не работает. На клиенте даже telnet pop.masterhost.ru 110 не проходит. Не удалось открыть подключение к этому узлу, на порт 110


Автор: ZAN
Дата отправки: 14-Фев-18 в 14:00
1. У Вас клиент в ТИ авторизован?
2. С компьютера клиента ping на сервер pop.masterhost.ru проходит?


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 14:08
Исходное сообщение ZAN ZAN :

1. У Вас клиент в ТИ авторизован?
2. С компьютера клиента ping на сервер pop.masterhost.ru проходит?
1. Клиент авторизован. Через браузеры интернет работает.
2. С компьютера клиента ping на сервер pop.masterhost.ru не проходит
При проверке связи не удалось обнаружить узел pop.masterhost.ru
Да и тот же mail.ru не пингуется.


Автор: ZAN
Дата отправки: 14-Фев-18 в 14:17
Похоже, у Вас проблемы с ДНС.
pop.masterhost.ru имеет адрес 83.222.23.153
Попробуйте пинг по адресу.


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 14:26
Исходное сообщение ZAN ZAN :

Похоже, у Вас проблемы с ДНС.
pop.masterhost.ru имеет адрес 83.222.23.153
Попробуйте пинг по адресу.
Всё, понял свою ошибку! В настройках локально сети, с нашим старым прокси, не обязательно было прописывать шлюз и днс.
Вы как раз натолкнули меня на правильную мысль)
Спасибо!!!
Единственное что, если вы говорите что изначально все открыто, не опасно ли это?
Можно ограничить этот открытый 110 порт только для 83.222.23.153?


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 14:33
Расшифровку SSL включаю и вся связь пропадает. Спустя какое-то время может страничка открыться. Короче как-то глючно работает.


Автор: ZAN
Дата отправки: 14-Фев-18 в 14:41
Нет, не опасно. Открыто все на выход, на вход все по умолчанию закрыто. Форточка открывается автоматически и лишь на время обмена трафиком между клиентом и удаленным сервером. При этом открывается не 110 порт, как Вы думаете, а порт, который являлся портом источника в ушедшем пакете от клиента на удаленный сервер.


Автор: kolshik2018
Дата отправки: 14-Фев-18 в 15:02
Исходное сообщение ZAN ZAN :

Нет, не опасно. Открыто все на выход, на вход все по умолчанию закрыто. Форточка открывается автоматически и лишь на время обмена трафиком между клиентом и удаленным сервером. При этом открывается не 110 порт, как Вы думаете, а порт, который являлся портом источника в ушедшем пакете от клиента на удаленный сервер.
Спасибо еще раз!



Автор: kolshik2018
Дата отправки: 14-Фев-18 в 15:06
Все таки Анализ SSL работает как-то странно.
Когда ставлю галку что бы его использовать, сайты загружаются только спустя 20-30 секунд.
Попробовал посмотреть сертификат, получил ошибку. И так уже было, тогда пришлось переустанавливать ТИ.



Автор: VladimirK
Дата отправки: 15-Фев-18 в 08:22
Антивирусов на машине с ТИ не установлено?

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: kolshik2018
Дата отправки: 15-Фев-18 в 08:27
Исходное сообщение VladimirK VladimirK :

Антивирусов на машине с ТИ не установлено?
Нет. Пока тестирую прокси, все антивирусы удалил, брандмауэр отключил.


Автор: kolshik2018
Дата отправки: 15-Фев-18 в 13:42
В логах по ssl только это



Автор: VladimirK
Дата отправки: 19-Фев-18 в 15:58
Отправил информацию по данной проблеме разработчикам.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru



Страница печати | Закрыть окно