Keenetic прокси

Здравствуйте Уважаемые Форумчане! Имеется локальная сеть 192.168.1.0/24 организованная на маршрутизаторе Zyxel Keenetic Giga. Так же роутер раздает инет. Стоит сервер ,подключен к Network Interfaces HOME. Еще несколько устройств по ethernet и несколько по wifi. На сервере настроет bind и squid с sams , nginx как frontend apach'a. Apache 8080 , nginx 80 , squid 3128. Прокси настроен прозрачный. При указании прокси на других компьютерах, траффик идёт через него (и если попытаться открыть страницу домен которой не найден,выползает squid error). Но немогу настроить так чтобы роутер сам перенаправлял всех из локалки на сервак. Мои действия: Разрешаю доступ всем к адресу 192.168.1.1 по порту 80 (страница конфигурации роутера.

Разрешаю серверу доступ на 80й порт Network Interfaces HOME запрещаю доступ всем к интерфейсу Network Interfaces HOME по 80му

Перенаправление всех с 80го Network Interfaces на сервер 3128. Перенаправление всех с 80го WIFI interfaces на сервер 3128 . Интернета ни у кого. Менял порт перенаправления с 3128 на 80, одновременно на сервере добавлял

[email protected]:~#iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.36:3128

[email protected]:~#iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Ничего не поменялось.

Замечено! Привыключенном правиле запрета 80го на роутере и выключенных перенаправлениях ,SAMS показывает что у моего пользователя идет траффик (пусть и небольшой). Но страницы ошибок squid не выскакивает.

Буду очень признателен за помощь в решении этого вопроса!

     Уже на протяжении более 15 лет мы предоставляем выделенные русские IP адреса - наши сервера маршрутизируют трафик между источниками и местами назначения (преобразование сетевых адресов (NAT) не используется). Ваше устройство (роутер, компьютер, смартфон и т.д.) станет напрямую доступен из интернета, независимо от Вашего типа подключения. Сразу после установления VPN соединения, Вы сможете не только совершать исходящие запросы, но и принимать входящие.
  • Постоянный выделенный IP адрес - мы присвоим Вашему логину постоянный IP адрес, который будет закреплен только за Вами на всё время действия пакета. Пакеты Мой сервер, Онлайн Игрок + постоянный выделенный IP, пакеты с постоянным выделенным IP с различным объемом включенного трафика.
  • Динамический выделенный IP адрес - Вы получаете адрес, динамически выбранный из наших пулов IP адресов, который будет закреплен только за Вами на всё время VPN сессии.

 Постоянный выделенный IP всем хорош, но стоит немного дороже за счет того, что IP адреса расходуются менее рационально, чем в случае с динамическим IP.

 Динамический выделенный IP для приема входящих соединений из интернета требует дополнительных настроек на устройстве устанавливающем vpn соединение. Но он стоит немного дешевле за счет более рационально использования адресного пространства на наших vpn серверах. Его можно выбрать если Вас не смущает недоступность в течении нескольких минут при переустановке vpn соединения, пока динамический DNS не обновит записи на DNS сервере о новом IP для Вашей DNS записи.

 Мы рассмотрим использование динамического DNS с помощью роутера Zyxel Keenetic Giga II - это предпочтительный вариант по сравнению с любым другим, так как позволяет обеспечить высокий уровень надежности и полученное решение обладает широкой универсальностью, как для домашнего, так и для офисного использования (для корпаративного использования нужны маршрутизаторы мощнее), при это стоимость роутера вполне адекватна (4.5 -5 т.р. на декабрь 2015 года). На роутере возможен запуск файлового сервера NAS, ftp сервера, pptp vpn сервера, торрент клиента и т.д. За несколько лет использования мы заметили лишь один недостаток у данного роутера - нестабильная работа при температуре ниже 6 градусов цельсия, при высоких температурах - до + 45 - роутер работает нормально.

Итак, начнем.

  • Для начала нужно будет заказать какой либо из пакетов с динамическим выделенным IP , например Закачаешься.
  • Далее настроим его на роутере : Как настроить PPTP VPN соединение на роутере Zyxel Keenetic Giga II 
  • На странице настроек роутера Обновление выберем и установим  Клиент динамического DNS (DDNS). Отслеживает изменения динамического внешнего IP-адреса и автоматически сопоставляет его с заданным доменным именем:
     <strong>Клиент динамического DNS (DDNS). </strong>Отслеживает изменения динамического внешнего IP-адреса и автоматически сопоставляет его с заданным доменным именем.
     <strong>Клиент динамического DNS (DDNS). </strong>Отслеживает изменения динамического внешнего IP-адреса и автоматически сопоставляет его с заданным доменным именем.
  • После инсталяции клиента динамического DNS в настройках нашего роутера появился пункт #broadband.dydns Интернет -> DyDNS
     <strong>Клиент динамического DNS (DDNS). </strong>Отслеживает изменения динамического внешнего IP-адреса и автоматически сопоставляет его с заданным доменным именем.
  • Выберем, для примера, сервис No-IP
    Зарегистрируемся на этом сервисе, в нашем случае мы зарегистировали имя russianproxy , в дальнейнем это имя и пароль от учетной записи на сайте noip.com будут использоваться в настройках DDNS клиента на роутере. Залогинимся на сайт и выберем меню Manage Hosts , нажмем кнопу Add Host :
    Добавление записи DDNS
    Добавим выбранное имя хоста, в нашем случае russianproxy-zyxel.ddns.net, тип DNS Host(A) , сохраним нажав кнопку Add Host.Добавление записи DDNS
  • Настроим клиента динамического DNS на нашем роутере :
    Настройка DDNS клиента zyxel
  • При верных настройках мы увидим на странице Системного монитора роутера информацию о доменном имени и статуса DyDNS:
    Настройка DDNS клиента zyxel

Итого : мы получили возможность иметь доступ к нашему устройству с динамическим выделенным IP по его доменному имени russianproxy-zyxel.ddns.net через сервис динамического DNS.

Ниже Вы можете ознакомиться с аналогичной статьей с сайта производителя роутера :

Настройка и использование сервиса динамического DNS от No-IP в интернет-центре серии Keenetic c микропрограммой NDMS V2

Статья: 

3295

Вопрос: 

Провайдер выдает мне динамический IP-адрес, который постоянно меняется. Как получить при этом постоянный доступ к управлению интернет-центром серии Keenetic? Как настроить службу динамической DNS от No-IP в интернет-центре серии Keenetic?

Ответ: 

Так как интернет-центр серии Keenetic может выступать клиентом служб динамических DNS (DynDNS, NO-IP и TZO), можно воспользоваться одним из таких сервисов, например No-IP. Данный сервис предназначен для того, чтобы присвоить вашему интернет-центру красивое постоянное доменное имя, которое не будет зависеть от того, какой IP-адрес используется (динамический или статический), и которое будет легко запомнить. Имя хоста с динамическим DNS будет иметь вид yourname.no-ip.org (*.no-ip.biz, *.no-ip.info) и станет привязано к вашему динамическому IP-адресу. Когда IP-адрес изменится, клиент динамического DNS (интернет-центр серии Keenetic) направит на No-IP уведомление с указанием текущего IP-адреса, и затем уже No-IP распространит изменения в Интернете в считаные секунды.

Для того чтобы воспользоваться сервисом No-IP, необходимо зарегистрироваться на сайте www.noip.com и создать учетную запись.
Внимание! Скриншоты (копии экранов) в данной статье сделаны на момент её написания. Оформление и структура сайта www.noip.com могут быть изменены владельцами.

Зайдите на сайт и в разделе Personal Use нажмите кнопку Get Started.

Вам будет предложено несколько вариантов предоставления услуг. В нашем примере выберем бесплатный сервис No-IP Free. Для регистрации новой учетной записи нажмите кнопку Sign Up Now.

В окне Create Your No-IP Account заполните следующие регистрационные данные:

Для создания учетной записи нажмите кнопку Sign Up, которая находится под колонкой Free DNS внизу страницы.

Спустя некоторое время на указанный вами e-mail придет уведомление с предложением активировать созданную учетную запись. Пройдите по ссылке, содержащейся в письме.
Вас автоматически перенаправят в ваш личный кабинет.

Теперь вам необходимо добавить информацию об устройстве (хосте). Нажмите Add a Host в меню вашего личного кабинета.

В поле Hostname укажите доменное имя, а также выберите один из вариантов домена. По указанному доменному имени (в нашем примере – по имени zyxeltest2.no-ip.biz) устройство (интернет-центр) будет отвечать в Интернете.

Нажмите кнопку Update Host внизу страницы для сохранения настроек.

Внимание! Если вы хотите использовать бесплатный сервис, выбирайте домен в поле Hostname из раздела No-IP Free Domains.

Теперь хост создан и отображается в списке Manage Hosts.

Вы можете проверить активность доменного имени командой: ping имя_хоста (в нашем примере это команда ping zyxeltest2.no-ip.biz).

В нашем примере по результатам пинга видно, что по указанному доменному имени отвечает IP-адрес интернет-центра.

Таким образом, учетная запись на сервисе No-IP была создана и включена.

Теперь перейдем к настройкам интернет-центра серии Keenetic. Подключитесь к веб-конфигуратору и зайдите в меню Интернет > DyDNS для настройки службы динамического DNS.

В поле Используемый сервис выберите No-IP из выпадающего списка.
В поле Доменное имя укажите зарегистрированное доменное имя, которое было указано в поле Hostname на сайте No-IP при регистрации.
В поле Имя пользователя укажите e-mail, зарегистрированный на сайте No-IP (в поле Email).
В поле Пароль введите пароль, который был указан в поле Password на сайте No-IP при регистрации.

Установите галочку напротив интерфейса, через который ваш интернет-центр осуществляет выход в Интернет (в нашем примере это интерфейс ISP).

Для удаленного доступа к веб-конфигуратору интернет-центра из Интернета необходимо настроить правило проброса порта 80 в настройках NAT на локальный IP-адрес устройства.
Настройка удаленного доступа к интернет-центру серии Keenetic на микропрограмме второго поколения NDMS V2 представлена в статье: БЗ-2794

Теперь, вне зависимости от смены IP-адреса, интернет-центр всегда будет доступен вам для управления из Интернета по доменному имени службы No-IP (в нашем примере – по имени zyxeltest2.no-ip.biz). 

Инструкции > 

Ответы на частые вопросы о работе сервиса

FAQ — список частых вопросов

1. Следит ли SkyDNS за моим трафиком?

SkyDNS не является провайдером и не имеет доступа к вашему трафику. Мы не знаем, какие именно странички вы посещаете, так как по протоколу DNS передаются только названия доменов, а не полные ссылки.

Соответственно, мы не желаем и не имеем никакой технической возможности отслеживать такую информацию, как передаваемые на сайты логины и пароли, вашу электронную почту, сообщения ICQ и так далее.

2. Зачем нужна регистрация?

Зарегистрировавшись на нашем сайте, вы сможете выбирать категории ресурсов, которые желаете заблокировать, а также вести собственные белые и черные списки доменов.

Работать через SkyDNS можно и без регистрации, но в этом случае мы будем защищать вас только от наиболее опасных сайтов, распространяющих вирусы, а также от фишинговых ресурсов, которые открывают мошенники, чтобы воровать логины и пароли пользователей.

Кроме того, без регистрации могут обойтись те пользователи, которые пользуются нашим сервисом, как обычной DNS-службой. Это может быть актуально в случаях, когда DNS-серверы вашего провайдера или сотового оператора не справляются с нагрузкой, периодически падают или работают нестабильно.

Также в режиме без регистрации для повышения безопасности использования заблокирован доступ к фишинговым и вирусным сайтам.

3. Что делать, если сайты не блокируются?

Для нормальной работы SkyDNS необходимо выполнить два шага.

Во-первых, зарегистрируйтесь на сайте, перейдите на вкладку фильтр, и установите галочки напротив всех категорий, которые необходимо заблокировать.

Во-вторых, если вы пользуетесь операционной системой Windows, то скачайте из личного кабинета и установите программу SkyDNS Agent. Если вы используете другую систему или аппаратный роутер/файрвол, то настройте сетевое подключение вашего компьютера или роутера на работу со SkyDNS согласно указаниям руководства.

Если вы выполнили оба шага, но фильтрация не работает, обратитесь в нашу поддержку.

Для пользователей, находящихся за прозрачным прокси, фильтрация SkyDNS работать не будет, но мы постараемся устранить эту проблему в будущем.

4. Как отказаться от использования сервиса?

Для того, чтобы полностью исключить влияние SkyDNS на работу в Интернет, необходимо вернуть сетевые настройки вашего компьютере в исходное состояние. Смените адрес DNS-сервера, а также деинсталлируйте SkyDNS Agent, если вы им пользуетесь.

Для смены DNS-сервера откройте диалоговое окно настроек сети согласно инструкции, но вместо адреса наших серверов установите галочку «Получить адрес DNS-сервера автоматически» или впишите настройки предоставленные вам провайдером.

Скриншот настроек TCP/IPv4

На сайте Microsoft вы можете ознакомиться с альтернативным описанием.

5. Можно ли удалить мой аккаунт из сервиса SkyDNS?

Мы не удаляем аккаунты пользователей. Если вы желаете отказаться от услуг сервиса, смените адрес наших DNS-серверов на адрес вашего провайдера, или другой публичной службы DNS (см. пункт 4).

6. Откуда вы взялись в моем компьютере, я к вам не подключался?

Если вы самостоятельно не регистрировались в нашем сервисе и увидели блокировку каких-либо сайтов нашим сервисом, обратитесь к вашему провайдеру, администратору компании или родителям за разъяснениями и для получения доступа.

Чтобы наш сервис интернет-фильтрации мог работать на вашем компьютере у вас должна быть установлена программа SkyDNS Agent или же сделаны изменения в настройках DNS (на вашем компьютере или Wi-Fi/ADSL роутере). Всё это могут сделать только лица, имеющие соответствующий доступ к этому оборудованию.

7. Снимите запрет с сайта ВКонтакте, Одноклассники и т. п.

Если вы пользуетесь нашей системой дома и являетесь зарегистрированным пользователем, то вы можете самостоятельно настроить правила фильтрации в личном кабинете.

В противном случае вам необходимо обратиться к тому, кто поставил блокировку (провайдер, работодатель, родители).

8. У меня блокируются сайты и категории, другие чем настроены в личном кабинете

Если у вас заблокировался сайт из какой-то другой категории (показывается на странице блокировки), то, скорее всего, вы сделали привязку своего IP адреса как статического в личном кабинете сервиса, но на самом деле ваш IP адрес динамический.

В этом случае вы можете при очередной смене динамического IP адреса, попасть под настройки другого пользователя вашего провайдера, также сделавшего привязку IP адреса как статического. Для исправления снимите привязку статического IP и установите SkyDNS Agent.

9. Я хочу пожаловаться на плохой сайт или неправильную категорию блокируемого сайта

Вы можете сделать это, воспользовавшись сервисом проверки.

10. Могу ли я настроить ваш сервис на роутере?

Да, наш сервис может быть настроен на аппаратном роутере. В большинстве случаев достаточно указать в настройках наш DNS-сервер и сделать привязку статического IP адреса роутера в личном кабинете на сайте.

11. Можно ли сделать разные настройки фильтрации для разных компьютеров в локальной сети?

Если ваши компьютеры работают под ОС Windows, то вы можете установить SkyDNS Agent и выбрать, какой профиль фильтрации использовать на конкретном компьютере. Для всех прочих компьютеров будет действовать профиль по умолчанию.

12. SkyDNS Agent выдает ошибку идентификации и пишет «токен не доступен»

Обновите агент до последней версии. Если вы используете агента до версии 2.2 и не имеете возможности его обновить, тогда сделайте следующее: войдите в агент → Настройки → Сменить пользователя (ссылка справа под списком подключений) и нажмите кнопку «Вход».

13. У меня не работает фильтрация, я пользуюсь услугами провайдера «Акадо»

Данный провайдер блокирует обращения к сторонним DNS-серверам при использовании внутренних IP-адресов. Более подробно можно посмотреть на сайте Акадо.

Чтобы воспользоваться нашими услугами вам нужно получить внешний IP у провайдера.

14. Фильтрация то работает, то не работает

Такая ситуация возможна в следующих случаях:

  • Вы оставили в настройках DNS вторичный DNS-сервер вашего провайдера. В этом случае часть запросов может обслуживаться DNS-сервером провайдера, который соответственно ничего не фильтрует. Для исправления — удалите все альтернативные DNS-серверы из настроек.
  • Ваш компьютер поддерживает IPv6 и настроен на автоматическое получение IPv6-адреса DNS-сервера. В этом случае часть запросов может обслуживаться DNS-сервером, который доступен по IPv6 (т.е. не нашим). Естественно, он ничего не фильтрует. Для исправления в настройках протокола IPv6 (если он включен) вместо "Получить адрес DNS-сервера автоматически" установите "Использовать следующие адреса DNS-серверов", а поля с адресами DNS-серверов оставьте пустыми.
  • Вы сделали привязку своего IP адреса как статического в личном кабинете сервиса, но на самом деле ваш IP адрес динамический. В этом случае вы можете при очередной смене динамического IP адреса, попасть под настройки другого пользователя вашего провайдера, также сделавшего привязку IP адреса как статического. Для исправления — снимите привязку статического IP и установите SkyDNS Agent.
15. Добавляю Вконтакте, Youtube, Facebook, skype.com или другой сайт в белый список, но сайт показывается неправильно или программа (например, skype) не работает.

Многие сайты в целях повышения производительности используют несколько разных адресов для загрузки своих данных. Например,  использует адрес vk.com для загрузки страниц, а картинки и прочие элементы страницы грузятся с домена userapi.com.

Если вы заблокировали категорию, но хотите разблокировать отдельные такие сайты из этой категории, то необходимо внести в белый список все домены, которые используют эти сайты.

Чтобы найти блокируемые домены на странице выполните действия:

  1. Очистите историю (журнал) в браузере (Google Chrome или Firefox), перезапустите браузер.
  2. В Google Chrome нажмите клавишу F12, выберите Console, перезагрузите страницу и посмотрите в консоли строки с ошибкой 403 (FORBIDDEN). Аналогично в Firefox - "Веб-разработка"->"Веб-консоль".
  3. Добавьте нужные домены в белый список в личном кабинете на skydns.ru

Ниже приведены примеры для некоторых сайтов, которые используют несколько адресов. Разработчики таких сайтов могут в любое время изменить или добавить служебные адреса, используемые для работы сайтов.

Чтобы разблокировать ВКонтакте полностью, вам нужно добавить в белый список следующие записи:

  • vk.com (без www)
  • userapi.com
  • vkadre.ru
  • vk.me

Чтобы разблокировать YouTube полностью, вам нужно добавить в белый список следующие записи:

  • youtube.com (без www)
  • ytimg.com
  • googlevideo.com

Чтобы разблокировать Facebook полностью, вам нужно добавить в белый список следующие записи:

  • facebook.com (без www)
  • facebook.net
  • fbcdn.net

Чтобы разблокировать Skype полностью, вам нужно добавить в белый список следующие записи:

  • skype.com (без www)
  • trouter.io
  • skype.net
  • skypeassets.com
  • messenger.live.com

Чтобы разблокировать WhatsApp полностью, вам нужно добавить в белый список следующие записи:

  • whatsapp.com
  • whatsapp.net

Чтобы разблокировать Viber полностью, вам нужно добавить в белый список следующие записи:

  • viber.com

Чтобы разблокировать Twitter полностью, вам нужно добавить в белый список следующие записи:

  • twitter.com (без www)
  • twimg.com
  • t.co

Чтобы разблокировать Instagram полностью, вам нужно добавить в белый список следующие записи:

  • instagram.com
  • cdninstagram.com

Чтобы разблокировать Google Drive полностью, вам нужно добавить в белый список следующие записи:

  • google.com
  • gstatic.com
  • googleusercontent.com
  • googleapis.com

Чтобы разблокировать Hamachi полностью, вам нужно добавить в белый список следующие записи:

  • hamachi.cc
  • logmein-gateway.com
  • logmein.com
16. Я внес/внесла изменения в настройки фильтрации, но ничего не изменилось.

Изменения в настройках распространяются по серверам SkyDNS в течение нескольких минут. Проверьте через 5 минут, что изменения вступили в силу.

Кроме того, если вы ранее заходили на сайты, относительно которых вы меняли настройки, то ответы DNS серверов скорее всего, находятся в кэше браузера, клиента DNS на локальном компьютере, кэширующем DNS (если запущен) на точке доступа/машрутизаторе/роутере (если используется для выхода в интернет).

Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.

Если после перезапуска браузера изменений нет, то выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш клиента DNS Windows.

В еще более редких случаях может понадобиться очистить кэш DNS на точке доступа/машрутизаторе/роутере (если используется).

17. Я открыл/открыла доступ к сайту, но выдается сообщение вида «Доступ всё ещё закрыт!».

Сообщение вида «Доступ всё ещё закрыт!» может выдаваться в случае, если на нашем DNS сервере данный сайт для вас разблокирован, но ваш браузер на основании информации в его кэше или кэше какого-либо промежуточного сервера у вас по прежнему обращается к странице блокировки.

Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.

Если после перезапуска браузера изменений нет, то выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш клиента DNS Windows.

В еще более редких случаях может понадобиться очистить кэш DNS на точке доступа/машрутизаторе/роутере (если используется).

У пользователей в организациях такое сообщение может выдаваться в случае, если запросы DNS приходят с одного IP адреса, а HTTP запросы с другого IP адреса, который не добавлен в профиле в личном кабинете. Убедитесь что оба IP адреса привязаны к вашему профилю.

18. После установки агента SkyDNS или при вводе в сетевых настройках адреса DNS сервера SkyDNS 193.58.251.251 пропадает интернет.

Наиболее вероятно, что ваш провайдер блокирует доступ к DNS серверам отличным от своих и адреса сайтов не могут быть разрешены в IP-адреса. В таком случае, при вводе в качестве адреса DNS сервера 8.8.8.8 (DNS сервер Google), скорее всего, будет наблюдаться та же картина.

Вы можете обратиться к вашему провайдеру с просьбой открыть доступ к DNS серверам в интернете или сменить провайдера.

19. Не работает фильтрация при установке агента и замене прописанного после установки DNS 127.0.0.1 на 193.58.251.251 или адрес другого сервера DNS.

При установленном агенте SkyDNS адрес DNS в настройках должен оставаться 127.0.0.1. Если вы изменили адрес на какой-то другой, то верните 127.0.0.1

20. Не работает DNS сервер и агент SkyDNS на одном сервере.

Агент SkyDNS привязывается к порту 53, который используется серверами DNS, на локальном адресе 127.0.0.1 и прописывает этот адрес в качестве адреса DNS сервера в сетевых настройках при установке. Поэтому работа на одном компьютере агента SkyDNS и сервера DNS невозможна. В вашей организации необходимо запускать сервер DNS и агент SkyDNS на разных физических серверах или виртуальных машинах.

21. Работает ли фильтрация SkyDNS с прокси-сервером?

Да, работает.

Для этого необходимо настроить прокси-сервер на использование DNS-сервера SkyDNS с IP адресом 193.58.251.251. Укажите в настройках прокси-сервера DNS-сервер 193.58.251.251. Если прокси-сервер использует системный клиент DNS операционной системы или получает список серверов DNS из настроек ОС, то в сетевых настройках ОС пропишите DNS-сервер SkyDNS с IP адресом 193.58.251.251.

Для SQUID используйте список DNS серверов из ОС или параметр dns_nameservers.

При использовании прокси-сервера запросы к серверам DNS осуществляет прокси-сервер. Для всех пользователей, использующих прокси-сервер, будут применяться единые настройки фильтрации, которые действуют для прокси-сервера.

На ОС Windows также возможно использование агента SkyDNS и прокси-сервера на одном хосте. Для такой конфигурации настройте прокси-сервер на использование DNS 127.0.0.1.

Внимание!!! При использовании такого решения не будет отображаться страница блокировки. Вместо страницы блокировки браузер будет показывать, что сайт недоступен.

Внимание!!! Невозможна работа на одном хосте агента SkyDNS и DNS сервера, который может идти в составе ПО совместно с прокси-сервером.

22. Работает ли фильтрация SkyDNS с Active Directory?

Да, работает.

Для этого настройте Службу DNS на пересылку запросов внешних DNS-имен на DNS-сервер SkyDNS с IP адресом 193.58.251.251.

23. Как я могу использовать локальные ресурсы моего провайдера невидимые из интернет (например, music.local)?

Если у вашего провайдера используются локальные ресурсы невидимые из интернет (например, music.local), то доступа к ним в настройке по умолчанию не будет.

Для решения этого вопроса у нас есть функция «Алиасов», когда вы сообщаете нашей системе о подобных ресурсах.

На странице Исключения в личном кабинете необходимо настроить Алиас для такого ресурса, указав имя локального ресурса (music.local) и его IP адрес.

Узнать IP адрес ресурса можно следующим образом:

  1. Временно отключите агент – кликните правой клавишей на иконке агента возле часов и выберите «Выключить фильтрацию до перезагрузки».
  2. Нажмите «Пуск» и выполните команду cmd.
  3. В открывшемся черном окне напишите nslookup music.local
  4. Запишите IP адрес из последней выданной строки с названием Address.
  5. В личном кабинете на странице Исключения в подразделе Алиасы укажите имя music.local и записанный IP адрес.
  6. Включите фильтрацию в агенте.

После этого локальный ресурс будет вам доступен.

24. Почему в интерфейсе агента и на сайте в личном кабинете отображаются разные настройки фильтрации?

Если настройки фильтрации были изменены на сайте SkyDNS в личном кабинете, то в интерфейсе агента могут отображаться не актуальные настройки. В течение часа в агенте SkyDNS станут отображаться те же настройки, что и в личном кабинете на сайте SkyDNS.

25. Я включаю блокировку социальных сетей, но vk.com остается доступен.

Это может быть вызвано теми же причинами, что и пункт 14.

26. Я подключаюсь через провайдера Yota и включаю фильтрацию SkyDNS на роутере Zyxel Keenetic или использую агент SkyDNS, но фильтрация не работает.

У нас имеется информация по данным обращений пользователей Yota, что Yota модифицирует запросы DNS и очищает дополнительную секцию в запросе DNS, в которой находится идентификационный токен. В результате наш сервер не имеет данных для того, чтобы применить ваши настройки фильтрации при ответе на запрос DNS. Вы можете использовать сервис SkyDNS с привязкой статического IP-адреса или имени хоста и использования одного из сервисов динамического DNS как описано в этом примере.

27. В нашей организации используется кэширующий DNS bind9, который разрешает домены через сервера SkyDNS. Некоторые домены оказываются заблокированными, хотя находятся в разрешенных категориях или в белом списке.

В используемой Вами схеме нужно учитывать следующие особенности:

  1. Ответы нашего сервера DNS кеширует ваш DNS. Для очистки кэша bind9 можно воспользоваться командой "rndc flush". После этого в логах bind9 должны появиться записи "received control channel command 'flush'" и "flushing caches in all views succeeded".
  2. Когда bind9 (ваш DNS) в ответ на запрос получает запись CNAME (в ответе также содержаться IP-адреса, в которые разрешился домен), то он на IP-адреса в ответе не смотрит и пытается самостоятельно разрешить каноническое имя в IP-адреса. Если каноническое имя не находится в разрешенных, то оно разрешается в IP-адрес страницы блокировки.

Подробнее по второму пункту на примере.

Имеем запись

bar.example.com.        CNAME  foo.example.com.

Слева записан алиас. Справа - каноническое имя.

Клиент запрашивает "bar.example.com.", в ответ получает "foo.example.com." и IP-адреса, в которые разрешается "foo.example.com.". Но bind9 в таком случае на IP-адреса не смотрит и пытается разрешить "foo.example.com.", делая еще один запрос. Если "bar.example.com." находится в разрешенных сервере, а "foo.example.com." находится в заблокированных, то bind9 получит от нашего сервера в ответ адрес страницы блокировки и вернет его конечному клиенту.

Хотя, если бы конечный клиент запрашивал "bar.example.com." у нашего сервера напрямую, а не у кеширующего bind9, то получил бы в ответ действительный IP-адрес "bar.example.com.".

Учитывая, что домены принадлежащие Яндекс, Google, Microsoft и другим глобальным организациям часто разрешаются в CNAME, которые часто входят в CDN (content delivery network), то нужно добавлять в белый список не только алиасы, но и канонические имена.

28. Вместо персональной страницы блокировки отображается стандартная страница блокировки с сообщением вида «Доступ всё ещё закрыт!».

Это может быть вызвано теми же причинами, что и пункт 17.

29. При использовании фильтрации SkyDNS на роутере Zyxel Keenetic применяется не тот профиль фильтрации, который выбран для устройства в локальной сети.

Убедитесь, что на роутере Zyxel Keenetic уставновлена последняя версия прошивки.

Убедитесь, что устройство подключено к роутеру Zyxel Keenetic напрямую, а не через какой-либо маршрутизатор.

Убедитесь, что устройство использует только одно подключение к роутеру, а не подключено, например, через проводное подключение и через Wi-Fi к роутеру Zyxel Keenetic.

Убедитесь, что в вашей локальной сети не используется прокси-сервер, кэширующий DNS или Active Directory, т.к. в этом случае запросы DNS на роутер Zyxel Keenetic приходят с MAC-адреса используемого сервера и применяется профиль фильтрации, назначенный серверу.

30. При блокировке доступа к, например, Youtube, доступ через браузер блокируется, а через приложение Youtube доступен.

Для блокировки доступа необходимо очистить кэш DNS и перезапустить приложение, через которое осуществляется доступ. На планшетах, телефонах или в ОС Windows 8 приложения могут не закрываться, а сворачиваться и оставаться в памяти. Для очистки кэша DNS и закрытия приложения перезагрузите устройство.

31. Как заблокировать Skype?

Клиент Skype при первом удачном подключении скачивает список IP-адресов супернод и в дальнейшем подключается к ним даже если не может разрешить имя домена в IP.

Заблокируйте категорию "Чаты и мессенджеры". Попробуйте удалить каталог Skype в папке AppData/Roaming каждого профиля пользователя на каждом компьютере и очистить кэш DNS командой ipconfig /flushdns.

Поделиться

Правое лёгкое человека вмещает больше воздуха, чем левое.