Заглушка с сообщением за долг из Микротика. Некоторые сайты с ssl по https работают а некоторые нет.

[vit75 8]

Подключил в сеть Микротик, настроил Хотспот, страницу с авторизацией хотспота, подменил сообщением о отключении за долг. На основном микротике должников прокидывает по дст-нат на ір хотспота (пробовал нетмап и редиркет).

Так вот большинство сайтов с ssl, по https, например https://www.pravda.com.ua/, https://meta.ua/uk/, https://megogo.ua/ua прокидывает, то есть вместо них показывает сообщение о долге, а https://www.facebook.com/ и https://www.google.com.ua/ - нет. Пишет - сервер неожиданно разорвал подключение. 

Возможно ли решить и как?

[vlin 43]

Ніяк. Прочитайте про HSTS.

[vit75 8]

1 час назад, vlin сказал:

Ніяк. Прочитайте про HSTS

Так https://megogo.ua/ua також зразу йде по https а не по http. Примусово зразу вказую https:// і перекидує на заглушку, а фейсбук ні. Обидва сайти примусово вказую по https://

Відредаговано 2023-02-09 19:54:42 vit75

[vlin 43]

В мегого заголовка HSTS немає, а в фб і гугла є

[dj_uise 1]

В 09.02.2023 в 16:32, vit75 сказав:

Подключил в сеть Микротик, настроил Хотспот, страницу с авторизацией хотспота, подменил сообщением о отключении за долг. На основном микротике должников прокидывает по дст-нат на ір хотспота (пробовал нетмап и редиркет).

Так вот большинство сайтов с ssl, по https, например https://www.pravda.com.ua/, https://meta.ua/uk/, прокидывает, то есть вместо них показывает сообщение о долге, а https://www.facebook.com/ и https://www.google.com.ua/ - нет. Пишет - сервер неожиданно разорвал подключение. 

Возможно ли решить и как?

а що каже браузер про сертифікати https:// сайтів коли люди бачать сторінку заглушку ? Бо в мене https://  пише 

З’єднання не конфіденційне

Зловмисники можуть намагатися викрасти вашу інформацію із сайту megogo.ua (наприклад, паролі, повідомлення чи дані кредитних карток). Докладніше

NET::ERR_CERT_COMMON_NAME_INVALID

Щоб веб-переглядач Chrome був максимально безпечним, увімкніть покращений захист

Повернутися на безпечну сторінкуСховати додаткову інформацію

Цей сервер не зміг довести, що він – домен megogo.ua. Його сертифікат безпеки походить із домену domen.site.ua. Імовірні причини: неправильна конфігурація або хтось намагається перехопити ваше з’єднання.

Перейти на сайт megogo.ua (небезпечно)

 

З гуглом та фейсбуком такеж саме як у вас

[vit75 8]

2 часа назад, dj_uise сказал:

а що каже браузер про сертифікати https:// сайтів коли люди бачать сторінку заглушку ? Бо в мене https://  пише 

Більшість https кидає на заглушку (хотспот!) нормально. Не працюють ФБ і Гугл.

Доречі в аеропорту, хотспот, кидає і ФБ і гугл на сторінку з рекламою (замість неї і заглушку про борг можна поставити).

Як вони зробили?

[vop 370]

14 minutes ago, vit75 said:

Більшість https кидає на заглушку (хотспот!) нормально. Не працюють ФБ і Гугл.

Доречі в аеропорту, хотспот, кидає і ФБ і гугл на сторінку з рекламою (замість неї і заглушку про борг можна поставити).

Як вони зробили?

 

Для этого придумали код ответа 511. Правда, не факт, что он работает - лень проверять.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/511

[Інет.укр 112]

19 часов назад, vop сказав:

 

Для этого придумали код ответа 511. Правда, не факт, что он работает - лень проверять.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/511

у нас так працює. на android. коли абонент не оплатив інтернет по попадає на заглушку) але ми не хотспот. а кабельний провайдер.

[vit75 8]

2 часа назад, Інет.укр сказал:

у нас так працює. на android. коли абонент не оплатив інтернет по попадає на заглушку) але ми не хотспот. а кабельний провайдер.

що саме не андроід? файрвол перенаправляє запити на 443 порт на веб сервер який видає помилку 511? і хстс вдається обдурити?

[Інет.укр 112]

годину тому, vit75 сказав:

що саме не андроід? файрвол перенаправляє запити на 443 порт на веб сервер який видає помилку 511? і хстс вдається обдурити?

Ні не переправляє, підключається абонент до wifi (свого не нашого) і йому зверху повідомлення, авторизація в мережі, натискає а там наше повідомлення, чи то заборгованість, чи послуга не підключена і тд.

[vop 370]

19 hours ago, vit75 said:

що саме не андроід? файрвол перенаправляє запити на 443 порт на веб сервер який видає помилку 511? і хстс вдається обдурити?

 

Ну это же работает не так. Надо как-то от хакерских методов отходить. Каждый браузер любит проверять доступность интернета, дергая свой URL. Например, firefox дергает http://detectportal.firefox.com/success.txt (?ipv4, ?ipv6). Хочет прочитать там слово "success". Отдайте ему вместо этого 511 ошибку (в принципе, просто на любой http:// запрос можно отвечать), и ваш файрфокс вам покажет страничку, которую вы ему отдадите.

 

Но я лично не проверял - давно не занимался провайдерскими делами.

[vop 370]

Проверил работу 511-й заглушки. Все работает, как надо. firefox пишет:

"You must log in to this network before you can access the internet: Open network login page"

Последнее предложение - линк на страницу, которую укажешь.

[vit75 8]

В 16.02.2023 в 23:08, Інет.укр сказал:

йому зверху повідомлення, авторизація в мережі, натискає а там наше повідомлення,

а що йому видає це повідомлення? ваш маршрутизатор? який? методом яких налаштуавань?

В 18.02.2023 в 01:01, vop сказал:

Проверил работу 511-й заглушки. Все работает, как надо. firefox пишет:

"You must log in to this network before you can access the internet: Open network login page"

Последнее предложение - линк на страницу, которую укажешь.

Треба тримати окремий веб-сервер чи реально це на мікроиіку налаштувати?

[DVSGROUP 127]

На сучасних роутерах хороша реалізація переадресації - лише підключився до мережі, а тобі одразу сторінку налаштувань викидає, навіть якщо ти сайт не відкривав.

[a_n_h 589]

5 минут назад, DVSGROUP сказал:

На сучасних роутерах хороша реалізація переадресації - лише підключився до мережі, а тобі одразу сторінку налаштувань викидає, навіть якщо ти сайт не відкривав.

а вот это придумали ИДИОТЫ!!! Кто из абонов умеет настраивать роутеры, сами знают как зайти в настройки, а кто ничего не понимает, при пропадании инета  попадают в настройки и начинают все подряд  "настраивать"...

[DVSGROUP 127]

4 часа назад, a_n_h сказал:

при пропадании инета  попадают в настройки и начинают все подряд  "настраивать"...

 

Воно відкривається при ПЕРШОМУ налаштуванні, а не при пропажі звязку.

[vop 370]

8 hours ago, vit75 said:

Треба тримати окремий веб-сервер чи реально це на мікроиіку налаштувати?

 

Ну для этого ответа совсем не обязательно держать отдельный веб-сервер. Можно приделать хоть на inetd, хоть на systemd,socket. На любом, доступном клиенту сервере (например, на том же биллинге) ставите на отдельном порту эту заглушку, и микротиком перенаправляете туда клиента-должника. Получит что-то типа такого:

curl -i http://94.130.174.243:4511/
HTTP/1.1 511 Network Authentication Required
Server: TaRemote/5.37.15
Connection: close
Content-Length: 324
Content-Type: text/html

<!DOCTYPE html>
<html>
 <head>
  <title>Network Authentication Required</title>
  <meta http-equiv="refresh" content="0; url=https://user.unity.net/access/">
 </head>
 <body>
  <p>You need to <a href="https://user.unity.net/access/">
  authenticate with the local network</a> in order to gain
  access.</p>
 </body>
</html>

 

Відредаговано 2023-02-19 15:49:36 vop

[alex71bas 6]

В 19.02.2023 в 15:21, DVSGROUP сказал:

 

Воно відкривається при ПЕРШОМУ налаштуванні, а не при пропажі звязку.

На MiRouter 4C это происходит при каждом падении WAN порта. неважно PPPoE отвалилось или онушка потухла. Причём в любой браузере открывается новое окно с предложением перейти к настройкам роутера.  Причём перехватывает даже HSTS. ( youtube, gmail ).  Вот у кого надо спрашивать за заглушку.

[a_n_h 589]

2 часа назад, alex71bas сказал:

На MiRouter 4C это происходит при каждом падении WAN порта.

не только на этом, таких роутеров много...

[DVSGROUP 127]

6 часов назад, alex71bas сказал:

На MiRouter 4C это происходит при каждом падении WAN порта. неважно PPPoE отвалилось или онушка потухла. Причём в любой браузере открывается новое окно с предложением перейти к настройкам роутера.  Причём перехватывает даже HSTS. ( youtube, gmail ).  Вот у кого надо спрашивать за заглушку.

у Xiaomi прошивки всі криві...

[vop 370]

8 hours ago, a_n_h said:

не только на этом, таких роутеров много...

 

Ну это, как бы, именно то, для чего придумали эту заглушку. Оно же там пишет "подключитесь к сети", а не "дай денег" А раз просит подключится - значит надо отдать страницу настройки роутера.

[a_n_h 589]

В 24.02.2023 в 09:08, alex71bas сказал:

На MiRouter 4C это происходит при каждом падении WAN порта. неважно PPPoE отвалилось или онушка потухла. Причём в любой браузере открывается новое окно с предложением перейти к настройкам роутера.  Причём перехватывает даже HSTS. ( youtube, gmail ).  Вот у кого надо спрашивать за заглушку.

А в самом деле, кто-то в курсе как это работает и возможно ли это реализовать через билинг?

Відредаговано 2023-02-26 09:43:31 a_n_h

[LENS 105]

В 24.02.2023 в 18:13, vop сказал:

 

Ну это, как бы, именно то, для чего придумали эту заглушку. Оно же там пишет "подключитесь к сети", а не "дай денег" А раз просит подключится - значит надо отдать страницу настройки роутера.

Так в итоге, как сделать, чтобы клиенту показать заглушку или переадресовать его на биллинг при https запросах?

[KaYot 3 702]

2 часа назад, LENS сказал:

Так в итоге, как сделать, чтобы клиенту показать заглушку или переадресовать его на биллинг при https запросах?

Ну так как и сказали выше, на http-запросы отвечать 302ым кодом с адресом своей заглушки. Не 511, а именно 302.

И именно http, сработает captive portal и клиент получит заглушку.

[Alver 335]

Работает нормально редирект на Hotspot Splash Page  на внешнем web сервере только на базе встроенного  в точку доступа ( обычно Enterprise AP)  механизма.      Все редиректы Микротика на базе его firewall работают криво.  На домашних вайфай роутерах также такого механизма нет.

На биллинг сервер  идет ссылка с Splash Page. При этом доступ к биллингу ( а также к другим ресурсам)  прописывается в список white list  на точке доступа. 

Відредаговано 2023-04-27 15:33:34 Alver