Прозрачный proxy https

но проблема с телефонами и ноутбуками

"...о которой я вам не скажу, но решить помогите".

у них выбивает недействительный сертификат, т.к. они не могу подгрузить его из центра сертификации

Почему не могут? Могут, просто не хотят.

не хотят, да и не будут, а жалобы будут. а как лучше поступить я что то не могу придумать, развернуть второй шлюз с squid 3.5.8 для wi-fi? или проще развернуть linux где это в теории решаемо?

блокировать и знать

Можно в сквиде не разворачивать весь https, а только sni. пока esni нет, оно должно работать.

ssl_bump peek ... это вроде называется

фильтр по sni

acl some_domains_sni ssl::server_name "/etc/squid/file"

Так а как еще должно быть? Ты хочешь MITM, который никто не бы не заметил?

Да, в squid есть peek and splice, но очень капризный к dns. Для фильтрации по plain text http & https sni есть простой как лопата sniproxy. Тоже в прозрачном режиме.

Вместо того, чтобы играть в хакира, лучше отдавать настройки прокси через dhcp

Явно указать адрес http proxy не сможет, зато может выдать адрес точки раздачи autoproxy

https://serverfault.com/questions/707586/is-it-possible-to-configure-proxy-setting-through-dhcp

Т.е. прокси будет работать в штатном, непрозрачном режиме, как «http proxy»

Если клиенту нужен https://gmail.com, он говорит CONNECT gmail.com

В логе прокси ты видишь, куда лезет клиент, можешь разрешать и запрещать отдельные домены и адреса. Но внутрь TLS вмешиваться не пытаешься

Прозрачный proxy https

А на ноль тебе не поделить?

Появилась потребность сделать зону wi-fi общедоступную, которую нужно контролировать(нужно блокировать и знать кто куда лазает, ну и кэшировать для ускорения)

Сделай что-нибудь с этой потребностью.

нужно блокировать

а вышестоящий пров не блокирует что-ли?

ну и кэшировать для ускорения
https
кэшировать

LOL.

отдавать настройки прокси через dhcp

и мобильные телефоны / планшеты / все ОС это поймут ? Это ОЧЕНЬ странно. Напоминает как в универских сетях Европы используют какой-то хитрозаточенную WEP аутентификацию для WIFI, где надо натыкать ВСЕ галочки в свойствах подключения. Это ОЧЕНЬ триггерит клиентов.

В логе прокси ты видишь, куда лезет клиент
https://gmail.com, он говорит CONNECT gmail.com

не факт, особо борзые клиенты скажут CONNECT {{gmail.com IP addr}}

так что опять надо обмазываться peek&splice только уже в режиме forward proxy (как ты назвал в «штатном режиме» ).

короче нафиг.

[потрясающий вывод о распространенности PAC на основании лишь того, что его краткое описание черт знает как вызвало в тебе застарелую травму от вида галочек, кстати, широко поддерживаемого EAP, знакомого тебе понаслышке в контексте eduroam. при том, что для PAC как раз ничего жать не надо было]

Ниче ты слышалзвон.

короче нафиг

Прекрасно, все вздохнули с облегчением.

Точно, eduroam.

Я к тому, что если ваша WIFI сеть требует что-то еще кроме ввода пароля (ну ладно еще captive portal с SMS) - вы идете нафиг.

С точки зрения пользователя eduroam после первой настройки она не требует даже пароля. Пока в Вилларибо колупаются с captive portal’ом ждут СМС в роуминге, в Виллабаджо и ещё сотне стран все молча подключились само.

Но не в твоём параллельном мире, где PAC отпугивает галочками, а вбивать код из СМС проще, чем не вбивать.

подключились само.

кек, боюсь представить что будет если я приду в чудо сеть, где DHCP выдает PAC. NetworkManager вообще это умеет? Или там мне браузер отредиректят на страницу-установщик PAC? Я представляю толпы возмущенных юзеров. Или когда «уважаемые люди»(с) заглянут к директору подписать контракт на $1M и такие типа «а у вас есть wifi»? Ну дальше ты понял что будет.