Заглушка с сообщением за долг из Микротика. Некоторые сайты с ssl по https работают а некоторые нет.

[Чучундра 149]

В 16.02.2023 в 23:08, Інет.укр сказал:

Ні не переправляє, підключається абонент до wifi (свого не нашого) і йому зверху повідомлення, авторизація в мережі, натискає а там наше повідомлення, чи то заборгованість, чи послуга не підключена і тд.

А  трафік яких портів ви завертаєте з свою заглушку ? 80 ? 443 ?

Відредаговано 2023-04-28 05:51:27 Чучундра

[LENS 97]

3 часа назад, KaYot сказал:

Ну так как и сказали выше, на http-запросы отвечать 302ым кодом с адресом своей заглушки. Не 511, а именно 302.

И именно http, сработает captive portal и клиент получит заглушку.

c HTTP вопросов нет

А у кого то получилось с HTTPS?

 

Например заблокирован доступ к какому то ресурсу - клиент набирает https://bla-bla.domain и ему не RST TCP сессии делать, а заглушку - заблокировано провайдером

[KaYot 3 605]

1 час назад, LENS сказал:

c HTTP вопросов нет

А у кого то получилось с HTTPS?

 

Например заблокирован доступ к какому то ресурсу - клиент набирает https://bla-bla.domain и ему не RST TCP сессии делать, а заглушку - заблокировано провайдером

Ну так тема же про https. Именно для него и про него.

[Alver 334]

12 часов назад, KaYot сказал:

Ну так тема же про https. Именно для него и про него.

Реализация редиректа  на  Splash Page функционалом AP работает на любом трафике, включая https. Так работают все серьезные коммерческие системы. 

Редирект https традиционными способами, включая даже не firewall/Hotspot Микротик, а  специализированными контроллерами доступа типа, например Ucopia,    принципиально невозможен, он требует проверки сертификата вызываемой страницы, доступа к которой на этапе редиректа нет. Эта тема давно и детально раскрыта, не изобретайте велосипед.

  

[LENS 97]

3 часа назад, Alver сказал:

Реализация редиректа  на  Splash Page функционалом AP работает на любом трафике, включая https. Так работают все серьезные коммерческие системы. 

Редирект https традиционными способами, включая даже не firewall/Hotspot Микротик, а  специализированными контроллерами доступа типа, например Ucopia,    принципиально невозможен, он требует проверки сертификата вызываемой страницы, доступа к которой на этапе редиректа нет. Эта тема давно и детально раскрыта, не изобретайте велосипед.

  

Так дай плиз больше деталей.

Мне Splash Page ничего не говорит - просто название.

 

Я хочу понять как мне пользователю делать редирект https запросов на какой то сайт заглушку

Одни говорят можно, другие говорят нет

 

Я прожарился и у меня https не работает переадресация по 511 коду - пишет SSL Error в броузере и все

[KaYot 3 605]

33 минуты назад, LENS сказал:

Так дай плиз больше деталей.

Мне Splash Page ничего не говорит - просто название.

 

Я хочу понять как мне пользователю делать редирект https запросов на какой то сайт заглушку

Одни говорят можно, другие говорят нет

 

Я прожарился и у меня https не работает переадресация по 511 коду - пишет SSL Error в броузере и все

Слава не понимает как работает то, о чем он написал выше, не обращай внимания.

Редирект https невозможен, на то он и secure. Но показать страницу-заглушку возможно, используя функционал hotspot.

Никакой разницы как будет реализован этот хотспот, энтерпрайс точкой доступа или твоим сервером доступа нет, функционал стандартизирован.

Что б работало - достаточно ответить на HTTP запрос нужным кодом, никаких подмен https делать не надо.

[LENS 97]

1 минуту назад, KaYot сказал:

Слава не понимает как работает то, о чем он написал выше, не обращай внимания.

Редирект https невозможен, на то он и secure. Но показать страницу-заглушку возможно, используя функционал hotspot.

Никакой разницы как будет реализован этот хотспот, энтерпрайс точкой доступа или твоим сервером доступа нет, функционал стандартизирован.

Что б работало - достаточно ответить на HTTP запрос нужным кодом, никаких подмен https делать не надо.

ок, я понял)

 

Получается сделать отдельный редирект для https ресурсов, к которым доступ заблокирован - не получится реализовать

[KaYot 3 605]

Ага, нормально этого не сделать. А с ошибкой сертификата и наша национальная система фильтрации заглушку показывает, тут вообще ничего делать не надо.

[Alver 334]

Кто сказал про редирект https, что невозможно?

Речь идет о том что  сам функционал AP редиректит ЛЮБОЙ запрос ( точнее информацию о клиенте , а не сам трафик)  ЛЮБОГО клиента  либо на внутренний web Splash Page на AP /  на облачном NMS либо на свой внешний web сервер. Повторяю ЛЮБОГО -точнее каждого клиента.

А вот там уже сам прописываешь что с этим клиентом делать. Если он удовлетворяет требованиям ( точка доступа шлет на Splash Page много разной информации - MAC, IP, RSSI и др.) - типа положительный депозит ( спрашивают у биллинга) , не заблокирован  и тп.  то этот  web, на который сделан редирект, шлет обратно точке доступа к которой подключен клиент сигнал  ( через  http POST например )   что этого клиента надо автоматом пропустить в сеть - это занимает доли секунды , если Splash Page во внутренней сети . Если клиент требует обработки , то прописывается  что надо  с ним делать. Вся обработка на   AP  и  Splash Page. Никаких редиректов на что либо иное -не под твоим контролем - нет.

Відредаговано 2023-04-28 13:09:36 Alver

[alex71bas 6]

Механизм HotSpot реализован 2 вариантами ( работающими на последних версиях популярных ОС ) 
1 вариант.  DHCP сервер отвечает с опцией 160 для IPv4 ( RFC7110 ) в которой передаётся 1 октетом адрес сервера авторизации. При этом должен корректно работать DNS.  на запросы страниц ( любых  http и htpps ) отдаётся код возврата 511 - требуется HTTP авторизация. этот вариант работает правильней с точки зрения HotSpot - кончились оплаченные минуты - закидывает на повторную авторизацию. Работает даже на самых дишманских роутерах. ( Mi 4c, например, перекидывает на страницу настройки роутера при отвале интернета ).  
  На текущем этапе RFC 7110 заменяется на RFC 8910 - более продвинутый вариант с возможностью показа рекламы 


2 вариант. Клиенткое устройство проверяет доступность интернета при  подключении к сети, исследуя возврат от тестовых серверов 
 

Android Captive Portal Detection

clients3.google.com

connectivitycheck.gstatic.com

connectivitycheck.android.com

 

Apple iPhone, iPad with iOS 6 Captive Portal Detection

gsp1.apple.com

*.akamaitechnologies.com

www.apple.com

apple.com

Apple iPhone, iPad with iOS 7, 8, 9 and recent versions of OS X

www.appleiphonecell.com

*.apple.com

www.itools.info

www.ibook.info

www.airport.us

www.thinkdifferent.us

*.apple.com.edgekey.net

*.akamaiedge.net

*.akamaitechnologies.com

 

Windows

ipv6.msftncsi.com

ipv6.msftncsi.com.edgesuite.net

www.msftncsi.com

www.msftncsi.com.edgesuite.net

teredo.ipv6.microsoft.com

teredo.ipv6.microsoft.com.nsatc.net

Если DNS ответ верный, но вернулся код ошибки HTTP 302 - то переходим на страницу авторизации. Как правило это всплывающее окно или уведомление у андроид при подключении к сети, в винде всплывающее  сообщение на значке сети, при нажатии перекидывающее на страницу авторизации .   Этот метод плох тем, что при окончании интернета перенаправления на сервер авторизации не произойдет пока клиентское устройство не переподключит сеть.

Splash Page  - предварительная рекламная страница на сайте. К чему её сюда притянули непонятно

 

[alex71bas 6]

всё остальное - это навороты и красоты от конкретной реализации HotSpot. Это реклама, повторная реклама , кредит, способ оплаты и даже биллинг.
 Точка доступа не имеет к этому как правило никакого отношения.  Весь этот функционал реализуется на стороннем сервере.
HotSpot в микротике на основе сервера HotSpot и файервола реализован для поддержки старых устройств, не работающих с новыми механизмами.  Перенаправление корректно работает только для HTTP.  для HTTPS , и тем более HSTS, работает криво ( через  раз ) И только при установке на микрот корректного SSL-сертификата.  
  Из всего что выше сказал, путём долгих приседаний с бубном выяснил следующее. 
Если в сети работает QnQ на абонента , и на роутере поднять DHCP рекурсию - то ваш сервер отдавая правильные опции DHCP на конечное устройство заставит правильно работать перенаправление для всех типов протоколов. 
Для PPPoE, DHCP на общую кучу, рабочего варианта получить не удалось.

Может конечно у меня руки кривые, - это третий вариант HotSpot

[major12 12]

2 часа назад, alex71bas сказав:

DHCP сервер отвечает с опцией 160 для IPv4 ( RFC7110 )

Мабуть опечатка і має бути RFC 7710

[vop 366]

Как все сложно...

[Alver 334]

17 часов назад, alex71bas сказал:

plash Page  - предварительная рекламная страница на сайте. К чему её сюда притянули непонятно

Вообще надо разделять биллинг ( аутентификацию и авторизацию) и собственно  сабж - редирект куда либо в случае чего либо ( в частности в зависимости от сообщения билинга о клиенте).

В современных системах  HotSpot редирект  ЛЮБОГО запроса  ЛЮБОГО  клиента  ВСЕГДА происходит на web страницу, называемую Splash Page.

Этот  web   может быть расположен на самом AP, в родном для AP облаке или внешнем web  сервере. 

Схема , в частности реализованное у меня в сети , такая.

Биллинговый сервер c Radius ( у меня Abills на FreeBSD) ----- NAS  c DHCP ( у меня Микротик) --Web   сервер с Splash Page ( у меня на uhttpd на OpenWRT)  -- Access Point  ( у меня Cambium  Outdoor AP 802.11ax) --- клиенты

Клиент подключается к AP и получает от    DHCP NAS IP адрес. При этом DHCP сервер  обращается через Radius к биллингу и проверяет его ( по MAC и VLAN)  статус . Все клиенты делятся на три категории - 1)зарегистрированные с положительным депозитом 2) зарегистрированные с отрицательным  депозитом 3)незарегистрированные - то есть неизвестные гости. Неизвестные клиенты получают IP из своей subnet

При подключении клиента независимо от ОС и типа запроса ( в том числе https)  AP передает всю необходимую информацию  на  Splash Page, в частности IP адрес AP куда подключился клиент (AP может быть несколько) , IP и MAC клиента и др.

  Web   сервер с Splash Page в зависимости от полученной информации о клиенте в частности о выдвнном ему IP адресе, в случае если клиент  зарегистрирован ( определяется его subnet )  дает команду AP пропустить клиента, а потом уже биллинг в зависимости от его  тарифа и депозита решает что с ним делать.

А вот если клиент неизвестный, то он РЕДИРЕКТИТСЯ на Splash Page  ( это может быть реклама или информация для клиента -условия подключения и регистрации , в том числе  возможность бесплатного гостевого доступа или доступ по логин / пароль . В моем случае эта страница выглядит так. 

 

                                                                                                                 

Далее клиент может ознакомиться  с информацией, если нужно зарегистрироваться ( доступ к биллинговому серверу разрешен на AP ) или войти  в сеть в том числе в Интернет ( возможно с ограниченной скоростью)  с  бесплатным гостевым доступом.  

В случае входа с гостевым доступом (  или пользователь ввел логин - пароль и биллинг   дал добро)  со страницы Splash  Page на AP передается сообщение пустить в сеть этого клиента и клиент дальше идет в сеть и Интернет куда хочет., в частности может  адресоваться ( редиректиться )  туда, куда набрал запрос при входе в сеть.

 

Відредаговано 2023-04-29 06:24:53 Alver

[Alver 334]

И есть важный вопрос.  

Что делать если клиент вышел из зоны покрытия AP а потом через несколько секунд или минут опять защел   или перешел к данной точке доступа от другой, где он уже прошел всю описанную выше процедуру?

В этом случае работает роуминг  ( правильный).  Каждая Точка  доступа   при подключении  в сеть клиента ( к любой точке доступа) получает в  broadcast  всю необходимую информацию о клиенте  и тем самым когда клиент переходит к новой точке доступа, то та уже знает что это старый клиент ( и он уже обработан другой точкой доступа) и пускает его в сеть без лишних вопросов.

И ВНИМАНИЕ. 

 Если в сети не поддерживается правильный роуминг, то клиента всегда при смене точки доступа будет доставать необходимость просмотра Splash Page, ввода  логин пароль  и др.  Микротик роуминг  НЕ поддерживает. Там есть костыль в народе называемый псевдороумингом, но  он  в данной схеме ( и во многих других задачах)   не работает.

Відредаговано 2023-04-29 06:37:11 Alver

[Alver 334]

Все  работает просто и эффективно. Однако это вендор специфичное решение, поскольку  все сообщения от AP c  Splash Page  специфичные для для вендора, в частности Cambium.

Но есть и универсальные  решения,  в частности в проекте WiFi4EU. Там сообщения с AP унифицированы, так чтобы провайдеры  не были привязаны к производителям точек доступа.  

И забудьте про этот голимый  вайфай Микротик, и всякие Капсманы и редиректы Hotspot на Микротик.  В моем случае Микротик работает как  кабельный маршрутизатор  и NAS для биллинга. Для этих задач он хорош, нет вопросов.  Но для других задач - нет. 

Відредаговано 2023-04-29 07:48:40 Alver

[alex71bas 6]

Вы внимательно прочитали вопрос в заголовке темы?  Причём тут биллинг, заставки, реклама, уровни сигнала точки доступа, роуминг, капсман,  и "голимый  вайфай Микротик" ? ( про него вообще никто не заикался, или Вас крючит просто от слова "микротик"? ). Вопрос простой - как заставить переходить абонента на заглушку если закончились деньги при попытке открыть HSTS сайт, если абонент сидит за простым роутером. А то такими темпами Вы скоро на Марс луноход отправите.  И это касается провайдеров , у которых есть различные способы авторизации абонента в сети. (универсальное решение).  ВНИМАНИЕ это не хотспот в чистом виде, это попытка средствами хотспот завернуть абонента на заглушку.  То что Вас в сети клиент по вайфай подключается у сети и попадает в механизм AAA, это прекрасно, теорию и практику работы хотспот я знаю. Теперь всё то-же самое, только роутер+PPPoE авторизация к примеру.  
Если у Вас есть готовое универсальное решение, прошу в студию. Если оно платное, то я оплачу его. 
 

P.S. обновите сертификат у себя в личном кабинете, а то хром ругается, и пока не жмакнешь "на всё согласен"  на страницу авторизации не пускает. Интересно как при этом владельцы Iphone проходят в личный кабинет? IOS даже не предлагает перейти на сайт с некорректным сертификатом, не то-что согласится с открытием "подозрительного" сайта. 

[Alver 334]

17 минут назад, alex71bas сказал:

как заставить переходить абонента на заглушку если закончились деньги при попытке открыть

Это делает  не домашний роутер, а AP HotSpot провайдера. Как это может    сделать AP провайдера в зависимости от статуса абонента ( закончились ли у него деньги или еще что ), я рассказал.

[Alver 334]

27 минут назад, alex71bas сказал:

Причём тут биллинг, заставки, реклама,

 Кто тебе дает информацию закончились ли у абонента деньги, не биллинг ?  А заставка -это и есть то, что ты называешь заглушка.

Если ты не понял нифига, то пили гирю со свои микротиком. Там доказано до тебя и меня, вопрос принципиально  нерешаем. 

27 минут назад, alex71bas сказал:

обновите сертификат у себя в личном кабинете, а то хром ругается, и пока не жмакнешь "на всё согласен"  на страницу авторизации не пускает. Интересно как при этом владельцы Iphone проходят в личный кабинет? IOS даже не предлагает перейти на сайт с некорректным сертификатом, не то-что согласится с открытием "подозрительного" сайта. 

Это самое простое что можно и нужно сделать. Займись своим делом и не учи меня этой фигне.

И не лезь туда куда тебя не  приглашали.

Відредаговано 2023-04-29 10:38:49 Alver

[alex71bas 6]

не ТЫ а Вы, мы не знакомы лично, и очевидно, мне это совсем не надо.  "микротик, микротик, микротик" надеюсь Вам поплохело  😁.

[Alver 334]

9 минут назад, alex71bas сказал:

не ТЫ а Вы, мы не знакомы лично, и очевидно, мне это совсем не надо.  "микротик, микротик, микротик" надеюсь Вам поплохело  😁.

 Микротик не Микротик- мне пофиг.  Я говорю, чтобы профессионально решить твою ( вашу) задачу нужны точки доступа со специальным функционалом, который называется Captive portal splash pages support.   Кто это понял - работайте, кто нет - продолжайте  изучать  вопрос  как это сделать на тплинках, меркусисах , микротиках и в других вайфай сетях из говна и палок, где ответа на данный вопрос нет.

 

Відредаговано 2023-04-29 10:53:23 Alver