Apple так умеет через профиль .mobileconfig. Но нужно заранее прописать все домены, которые необходимо резолвить через свой DNS в конфиг. Я решил, чтобы собрать все домены невозможно. Нужно учитывать контент-сервера, сотни поддоменов контент серверов vk.com вроде blabla.vk.me, *.userapi.com и так далее. Поэтому я решил что эта задача невыполнима.
A list of domain strings used to determine which DNS queries will use the DNS resolver settings contained in ServerAddresses. This key is used to create a split DNS configuration where only hosts in certain domains are resolved using the tunnel’s DNS resolver. Hosts not in one of the domains in this list are resolved using the system’s default resolver.
Можно узнать название компании, по названию найти все AS (автономные системы) которые принадлежат этой компании. Потом узнать все сети которые находятся в этих автономных системах.
Для того чтобы расшифровать HTTPS, нужно его сперва зашифровать своим ключом. Если пытаться подменить ключ своим, пользователь увидит сообщение о том, что сертификат не прошел проверку подлинности. И чтобы продолжить пользоваться таким соединением, пользователю нужно добавить сайт в исключения вручную
Fiddler во время установки ставит вам в систему также свой корневой сертификат, поэтому соединения перехваченные с его помощью работают без предупреждений о битом сертификате.
При подключении клиенту с сервера приходит список маршрутов которые нужно установить. Они устанавливаются автоматически в момент подключения. Я не знаю как еще объяснить.
Вот эти строчки буквально значат «впихнуть клиенту такой маршрут»
простейшего веб сервера который будет хостить Pac файл локально
То есть Вы предлагаете устанавливать клиенту на компьютер веб-сервер который будет отдавать .pac файл? Как-то это неоправданно сложно. И как быть с мобильными устройствами? В них .pac прокси работает только для WiFi подключений и не работает для мобильного интернета.
Про какой whitelist/blacklist вы говорите? Клиенту ничего настраивать не нужно, нужные маршруты ему прилетают с сервера.
По поводу .pac файла вам расскажет ValdikSS У него на сервисе https://antizapret.prostovpn.org/ больше всего трафика расходуется на отдачу самого файла, а не на пользовательский трафик. Потому что кривой windows скачивает этот файл на каждый запрос.
Пишут про проблемы с Android 4.4. Вроде бы при подключении к VPN доступны только заблокированные сайты, а остальной интернет нет. Прошу помочь тех у кого есть устройство с этой системой.
Киевстар (и вроде Vodafone), блокирует DNS ответы с заблокированными доменами от любых резолверов. Так что этот способ бесполезен. Кроме того, не так просто установить DNS сервера для мобильного интернета.
https://developer.apple.com/library/content/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html
SupplementalMatchDomains
2. Нет нормальных цен и тарифов.
Fiddler во время установки ставит вам в систему также свой корневой сертификат, поэтому соединения перехваченные с его помощью работают без предупреждений о битом сертификате.
Вот эти строчки буквально значат «впихнуть клиенту такой маршрут»
То есть Вы предлагаете устанавливать клиенту на компьютер веб-сервер который будет отдавать .pac файл? Как-то это неоправданно сложно. И как быть с мобильными устройствами? В них .pac прокси работает только для WiFi подключений и не работает для мобильного интернета.
На этот вопрос есть ответ в разделе Помощь на сайте https://zaborona.help/faq.html
По поводу .pac файла вам расскажет ValdikSS У него на сервисе https://antizapret.prostovpn.org/ больше всего трафика расходуется на отдачу самого файла, а не на пользовательский трафик. Потому что кривой windows скачивает этот файл на каждый запрос.
Возможно, если пользователей будет больше, придется докупить еще пару серверов. Впрочем за 3€ это не так накладно.