Jump to content
Калькуляторы

apple vs hotspot mikrotik

Привет друзья, вот и пожаловался мне клиент... ну начну предыстории:

пришел клиент и сказал хочу смс-авторизацию в офисе с псефффдобесшовным роумингом. Выбор пал на микротик RBсратькакоймодели.

сделали и вроде все работает: капсман+ хотспот, однако клиент нам стал сдавать заявки что эпл устройства постоянно отваливаются от вайфай.... и привел пример, что если тел на андроиде то сообщения приходят моментально а айфоны вообще отключаются от вайфай при выключеном экране. 

если вкраце выяснили что эпл и хотспот работает через зад. айфон постоянно хочет поддерживать связи с серверами эпла, и если связь нек видит, то дисконектит вайфай. а если мы пропишем в walled garden *.apple.com, то окно авторизации у айУстройств не появляется и нужно самому заходить в браузер и обращаться на 80 порт и только тогда появится стрничка авторизации.

 

есть мысли как это все подружить?)))

Share this post


Link to post
Share on other sites

13 часов назад, Saab95 сказал:

У Apple тоже есть своя крутая wi-fi точка доступа, может стоит ее использовать?

есть еще предложения?)

Share this post


Link to post
Share on other sites

Вам нужно найти причину, по которой страничка приветствия не появляется.

Вообще в хотспоте все просто - клиент открывает браузер, заходит на какой-то сайт и у него появляется окно приветствия, где он либо подтверждает доступ, либо нет. У вас похоже схема такая - абонентское устройство подключается к сети, происходит отправка смс для подтверждения, далее появляется доступ в интернет. При этом, скорее всего, повторное подтверждение известного мака не требуется.

 

В этом случае схема должна быть такая - после авторизации нужно сохранять мак адрес устройства и пускать его в сеть уже без повторной авторизации. Сделать это средствами хотспота не всегда возможно и удобно. Через радиус с DHCP сервером на микротике все можно сделать, в том числе и подключение к самому wi-fi.

Share this post


Link to post
Share on other sites

5 минут назад, Saab95 сказал:

Вам нужно найти причину, по которой страничка приветствия не появляется.

Вообще в хотспоте все просто - клиент открывает браузер, заходит на какой-то сайт и у него появляется окно приветствия, где он либо подтверждает доступ, либо нет. У вас похоже схема такая - абонентское устройство подключается к сети, происходит отправка смс для подтверждения, далее появляется доступ в интернет. При этом, скорее всего, повторное подтверждение известного мака не требуется.

 

В этом случае схема должна быть такая - после авторизации нужно сохранять мак адрес устройства и пускать его в сеть уже без повторной авторизации. Сделать это средствами хотспота не всегда возможно и удобно. Через радиус с DHCP сервером на микротике все можно сделать, в том числе и подключение к самому wi-fi.

о сааб я тестирую уже 2-3 дня... все глобальнее... все дело в ойфонах.... 

если айфон видит подключенный вайфай, но пробует достучаться до aple.com и если видит его, то вступает в нормальную работу - всегда подключен к вайфай и даже в ждущем режиме вайфай работает и приходят онлайн сообщения вк и ватсап

НО!!!

ежели айфон видит что вайфай подключен и сайт apple недоступен, то вступает в епастическую работу! а именно требует авторизоваться, (авторизация ничем технически не отличается от хотспота в мт) и после авторизации инет работает, но стоит только заблочить экран то все.... устройство автоматически отключается от вайфай... оно думает что вайфай гамно)))....

 

а мой вопрос как же с этим жить.... я понимаю что дело в яблоке.... но это сраное устройство самое популярное в мире среди телефонов... и надо как то с этим жить

Share this post


Link to post
Share on other sites

Так в чем дело?

 

Допустим точка без авторизации. Устройство подключилось к сети, получила доступ на сайт и все работает без проблем.

Ваш вариант - вы добавили доступ на сайт в исключения. То есть устройство подключилось к сети, доступ на сайт есть. Но ничего другое не работает, потому что нет авторизации. И если вы ее произведете, то все равно связь потом обрывается?

 

Может тут дело в другом - посмотрите под какими мак адресами светится айфон, они обычно маки постоянно меняют. Если телефон авторизовался с одним маком, а после перешел в ждущий режим, то после повторного подключения к сети мак изменяется, а на хотспоте он под этим маком не авторизовался, вот доступ к сети и пропадает.

Share this post


Link to post
Share on other sites

3 минуты назад, Saab95 сказал:

Так в чем дело?

 

Допустим точка без авторизации. Устройство подключилось к сети, получила доступ на сайт и все работает без проблем.

Ваш вариант - вы добавили доступ на сайт в исключения. То есть устройство подключилось к сети, доступ на сайт есть. Но ничего другое не работает, потому что нет авторизации. И если вы ее произведете, то все равно связь потом обрывается?

да, дал исключение, но в слутчае если эпл видит сайт эпла то не выдает авто окно авторизации))) вот это тоже дает дискомфорт и ничего не работает пока я не зайду в сафари и не попробую обратиться на 80 пор... после обращения на 80 порт меня редиректит на страницу авторизации

 

3 минуты назад, Saab95 сказал:

 

Может тут дело в другом - посмотрите под какими мак адресами светится айфон, они обычно маки постоянно меняют. Если телефон авторизовался с одним маком, а после перешел в ждущий режим, то после повторного подключения к сети мак изменяется, а на хотспоте он под этим маком не авторизовался, вот доступ к сети и пропадает.

читали про динамик мак... но на моем примере мониторим... мак всегда один и тот же

Share this post


Link to post
Share on other sites

Значит нужно сделать так, что бы несколько запросов на сайт эпла блокировалось, тогда откроется окно авторизации. А после уже разрешать доступ на этот сайт.

То есть надо сделать правило в файрволе, что если в адрес листе list1 нету src.address, то добавить его в адрес лист. А второе если src.address нет в адрес листе list1 то делать дроп, и поместить его выше по списку. Вместо дроп можно поставить редирект на хотспот. Как-то так.

Share this post


Link to post
Share on other sites

В 29.11.2017 в 19:14, Saab95 сказал:

Значит нужно сделать так, что бы несколько запросов на сайт эпла блокировалось, тогда откроется окно авторизации. А после уже разрешать доступ на этот сайт.

То есть надо сделать правило в файрволе, что если в адрес листе list1 нету src.address, то добавить его в адрес лист. А второе если src.address нет в адрес листе list1 то делать дроп, и поместить его выше по списку. Вместо дроп можно поставить редирект на хотспот. Как-то так.

Увы Сааб но ты не в "теме" проблемы... если только возникнет это окно авторизации инструмента хотспота, то эпл автоматически запоминает что вайфай не хороший, и будет его вырубать при блокировке экрана..... конкуренты на рукус перешли... дороже... но все таки проблем никаких нет... а с микротиком никто и помочь не может.... лазию по форуму уже 2 недели

Share this post


Link to post
Share on other sites

19 часов назад, Saab95 сказал:

А у рукуса что, встроенный хотспот используется?

ай тут не знаю.... мне бы с микротиком победить.... ну не верю что нельзя исправить... неуж то так все глобально

Share this post


Link to post
Share on other sites

Попробуй отключить keep-alive timeout и idle-timeout в профиле пользователя. Тогда ТД будет помнить, что устройство авторизовано до тех пор, пока есть DHCP лиза. И даже если устройство выключало WiFi, пустит его без повторного запроса авторизации.

Share this post


Link to post
Share on other sites

On 19.12.2017 at 10:07 AM, DVMi said:

Попробуй отключить keep-alive timeout и idle-timeout в профиле пользователя. Тогда ТД будет помнить, что устройство авторизовано до тех пор, пока есть DHCP лиза. И даже если устройство выключало WiFi, пустит его без повторного запроса авторизации.

Не помогает такое. Мы от скуки пошли дальше: запилили авторизацию по HTTPS с radius (да-да, покупали дорогущий Wildcard-сертификат для доменов, участвующих в авторизации), да и много чего ещё весьма виртуозного налепили ;)

Вот например для того, чтобы после radius-авторизации автоматом не схлопывались каптив-обработчики на свежих версиях Android, а также чтобы запускать любую анимацию (фото/видеорекламу, опросы и прочие полезности для маркетологов) после успешной radius-авторизации юзера - сделали автооткрывание реального браузера (при этом каптив-обработчик сам схлопывается в фоне, а юзер выполняет все-все действия в автозапущенном браузере). Сафари на победили, хахаа! Всё бы здорово, НО: после погасания экрана даже в режиме "НЕэкономии электричества" айфоны и айпады впадают в состояние "я - только приёмник", т.е. реально ПРИНИМАЮТ пакеты из wifi-сети, но не отдают "без надобности" их обратно. Это видно в разделе "Connections" файерволла. Даже смешнее: пингуешь с микротика айфон подключенный, и как только погас экран - через пару секунд пинги не возвращаются... Включил экран - пинги снова идут =)) Получается дикая картина: кто-то из внешнего мира присылает юзеру мессадж в Телеграм. Сообщение успешно приходит, телефон брякает об этом. Чел открывает главный экран чтобы прочитать и ответить и.. о Боги!: телефон ломится проверять домен cative.apple.com на предмет доступности, а мы именно прописыванием статической DNS-записи на нашу внешнюю страничку-заглушку выполили трюк автооткрытия браузера (т.е. при обращении к этому домену смартфон перенаправляется на спец-страницу нашего сервера, который всегда доступен через "садик"). Ну и в итоге от этой страницы он благополучно СНОВА получает ответ "нэта нет" (при этом микротик УЖЕ незаметно в фоне авторизовал гаджет по MAC-Cookie и HTTP-Cookie одновременно, сессия то не кончилась!). И телефон, снова запрашивая у роутера страницу авторизации (по её исходному домену, который ему сообщила страничка-заглушка и этот домен тоже прописан статикой в DNS-сервере микротика) - благополучно получат от микротика редирект на "/status"(ты же в интернете, вот тебе твой статус, дарагой!). Пока что в грёбанном status.html прописали тупо автозакрытие страницы. Чел в итоге видит внезапное открытие Сафари и мгновенное открытие/закрытие белой страницы, после чего видит последнюю открытую им в Сафари страницу. Вроде бы всё нормально, но это НЕСКАЗАННО за*бывает юзеров, все нервы пропилили уже. Каждый раз открываешь телефон - получи "выпрыгивание Сафари", когда реально собирался вообще другое приложение открыть.

Вот и вопрос потому: КАК блин сделать так, чтобы будучи авторизованным телефон или НЕ ломился на этот captive.apple.com (похоже что никак) или как-то сообщать гаду, что он В ИНЕТЕ уже.

Пока мысль одна: вместо статичной заглушки как щас - на сервере сделать динамический "отвечатель": если прошла радиус-авторизация - то пока не истечёт время сессии (а мы то знаем: это 6 часов у нас) - отвечать каптив-обработчику "усё норм, чувак, ты в нете, не надо никуда ломиться больше", а когда сессия истекла - опять стандартный отлуп на домен авторизации.

Потестим на неделе. Похоже я сам на свой вопрос тут ответил )))

Может это будет кому-то полезно, коллеги =)

 

Share this post


Link to post
Share on other sites

В 10.02.2018 в 20:50, LapTop сказал:

после успешной radius-авторизации юзера - сделали автооткрывание реального браузера (при этом каптив-обработчик сам схлопывается в фоне, а юзер выполняет все-все действия в автозапущенном браузере).

Уважаемый LapTop, можете пояснить, как именно вы сделали автооткрывание браузера у клиента? Средствами самого Микротика?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.