Cybertarcza z paczki L nie filtruje ruchu

tptech

Witam,

Mam problem z działaniem cybertarczy. Jest to usługa w ramach pakietu L.

Dodatkowo mam wykupioną stałą adresację IP i rozszerzenie 8 IP.

Funbox 6 jest głównym routerem i do jego 3 portów ETH podłączone mam niekrytyczne urządzenia NVR + domofon + kamera IP. Do 4 portu ETH podłączony router Ubiquiti ze skonfigurowanym jednym WAN IP z puli dokupionych IP.

Wszystko pięknie działa już prawie 2 lata, a Edge Router 4 naprawdę daje radę z NAT-em 1Gbps/300Mbps.

Do usługi cybertarczy dostałem login i po zalogowaniu w panel administracyjny ustawiłem sobie profil i przypisałem go do swojego routera (po MAC). Ostatnio jednak zauważyłem, że użytkownicy mają dostęp do zablokowanych stron. Przeszukałem poradniki, umowę, forum, dzwoniłem do doradców Orange, pisałem do Cert Orange i tak się odbijam od jednych do drugich. Ostatni doradca poradził mi wprowadzić adresy DNS z domeny tpsa, ale to nic nie dało. Czy ktoś jest w stanie coś pomóc/poradzić?

Z góry dziękuję.

agat13

@tptech masz wersję CT podstawową czy rozszerzoną? Na ile urządzeń?

https://www.orange.pl/zobacz/cybertarcza-dla-ciebie-stacjonarna

tptech

CyberTarcza stacjonarna rozszerzona. Według regulaminu do 20 urządzeń.

agat13

@tptech powinno blokować adresy dodane do listy nieosiągalnych. Jak wygląda panel zarządzania wyluczeniami stron ?

Zawsze możesz podpytać eksperta @Rosiu

tptech

Przysiadłem do tego dzisiaj.

Zmieniłem tymczasowo adres WAN Ubiquiti na jeden z zakresu LAN Funbox-a (DHCP - 192.168.x.x; podwójny NAT) i filtrowanie zadziałało tzn przeglądarka przestała wyświetlać zablokowaną stronę.

Jestem na etapie porównywania nslookup dla konfiguracji z publicznym WAN IP i tym z DHCP, bo wygląda na to, że nslookup zwraca adres IP od Orange (nie jestem pewien czy go tu wklejać), tak jakby CT kierowała mnie na stronę informującą o blokadzie, tylko nie wiadomo czemu przeglądarka ładuje zablokowaną stronę niezależnie od tego jaki adres zwraca DNS. Coś czuję, że to problem w temacie DNS-ów.

j131

Żeby CT działa nie możesz stosować dowolnych serwerów DNS. Tylko te przypisane do CT zwracają podrobione adresy.

tptech

@j131 - podrobione adresy, to jest to 🙂

Wygląda na to, że CT podrabiała adresy IP zakazanych stron od samego początku. Problem w tym, że podrobiony strumień zawiera zabronioną zawartość.

Dla tych co będą się z tym mierzyć w przyszłości, o to moje notatki:

1. Wymusić przekierowanie portu 53 na DNS-y Orange, żeby zmiana adresu DNS przez użytkownika nic nie dała. ubiquiti help

2. Zablokować podrobione IP przez CyberTarczę na firewall routera. Nie wiem czy jest to jeden wspólny adres, ale można go pozyskać przez komendę nslookup (np. nslookup nazwa_domeny) oczywiście po zablokowaniu tego adresu w panelu CT.

Jest to raczej obejście problemu i jeśli ktoś podpowie co zrobić, żeby wyświetlała się strona w rodzaju "Strona zablokowana" to chętnie wdrożę 🙂

Trochę szkoda, że brakuje oficjalnej instrukcji...

Anyway, dzięki za pomoc.

Samotnick

@tptechnapisał(-a)
1. Wymusić przekierowanie portu 53 na DNS-y Orange, żeby zmiana adresu DNS przez użytkownika nic nie dała. ubiquiti help

To jeszcze zostaje zablokowanie DoT i DoH.

j131

Współczesne przeglądarki zaczynają domyślnie używać własnych szyfrowanych DNS, CT przestaje dla nich w pełni działać. Nie wydaje mi się żeby dało się z tym coś zrobić.
Nie mam komercyjnej CT ale ta darmowa zwraca zawsze ten sam adres, i pod nim nie ma nic niepokojącego. Jeśli tobie mimo poprawnej podmiany adresu przegladarka ładuje zablokowaną stronę, to przeglądarka obchodzi CT. Łatanie tego na FW jest delikatnie mówiąc kłopotliwe. Co na to @Rosiu?

j131

@tptechsugerowałbym po prostu wyłączenie private dns na wszystkich przeglądarkach w sieci. Blokowanie adresu ct na fw nic nie da. CT nigdy nie była mechanizmem szczególnie odpornym na klienta: klient musi chcieć jej używać żeby działała.