fenikssss Posted November 28, 2017 · Report post Привет друзья, вот и пожаловался мне клиент... ну начну предыстории: пришел клиент и сказал хочу смс-авторизацию в офисе с псефффдобесшовным роумингом. Выбор пал на микротик RBсратькакоймодели. сделали и вроде все работает: капсман+ хотспот, однако клиент нам стал сдавать заявки что эпл устройства постоянно отваливаются от вайфай.... и привел пример, что если тел на андроиде то сообщения приходят моментально а айфоны вообще отключаются от вайфай при выключеном экране. если вкраце выяснили что эпл и хотспот работает через зад. айфон постоянно хочет поддерживать связи с серверами эпла, и если связь нек видит, то дисконектит вайфай. а если мы пропишем в walled garden *.apple.com, то окно авторизации у айУстройств не появляется и нужно самому заходить в браузер и обращаться на 80 порт и только тогда появится стрничка авторизации. есть мысли как это все подружить?))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 28, 2017 · Report post У Apple тоже есть своя крутая wi-fi точка доступа, может стоит ее использовать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fenikssss Posted November 29, 2017 · Report post 13 часов назад, Saab95 сказал: У Apple тоже есть своя крутая wi-fi точка доступа, может стоит ее использовать? есть еще предложения?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 29, 2017 · Report post Вам нужно найти причину, по которой страничка приветствия не появляется. Вообще в хотспоте все просто - клиент открывает браузер, заходит на какой-то сайт и у него появляется окно приветствия, где он либо подтверждает доступ, либо нет. У вас похоже схема такая - абонентское устройство подключается к сети, происходит отправка смс для подтверждения, далее появляется доступ в интернет. При этом, скорее всего, повторное подтверждение известного мака не требуется. В этом случае схема должна быть такая - после авторизации нужно сохранять мак адрес устройства и пускать его в сеть уже без повторной авторизации. Сделать это средствами хотспота не всегда возможно и удобно. Через радиус с DHCP сервером на микротике все можно сделать, в том числе и подключение к самому wi-fi. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fenikssss Posted November 29, 2017 · Report post 5 минут назад, Saab95 сказал: Вам нужно найти причину, по которой страничка приветствия не появляется. Вообще в хотспоте все просто - клиент открывает браузер, заходит на какой-то сайт и у него появляется окно приветствия, где он либо подтверждает доступ, либо нет. У вас похоже схема такая - абонентское устройство подключается к сети, происходит отправка смс для подтверждения, далее появляется доступ в интернет. При этом, скорее всего, повторное подтверждение известного мака не требуется. В этом случае схема должна быть такая - после авторизации нужно сохранять мак адрес устройства и пускать его в сеть уже без повторной авторизации. Сделать это средствами хотспота не всегда возможно и удобно. Через радиус с DHCP сервером на микротике все можно сделать, в том числе и подключение к самому wi-fi. о сааб я тестирую уже 2-3 дня... все глобальнее... все дело в ойфонах.... если айфон видит подключенный вайфай, но пробует достучаться до aple.com и если видит его, то вступает в нормальную работу - всегда подключен к вайфай и даже в ждущем режиме вайфай работает и приходят онлайн сообщения вк и ватсап НО!!! ежели айфон видит что вайфай подключен и сайт apple недоступен, то вступает в епастическую работу! а именно требует авторизоваться, (авторизация ничем технически не отличается от хотспота в мт) и после авторизации инет работает, но стоит только заблочить экран то все.... устройство автоматически отключается от вайфай... оно думает что вайфай гамно))).... а мой вопрос как же с этим жить.... я понимаю что дело в яблоке.... но это сраное устройство самое популярное в мире среди телефонов... и надо как то с этим жить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 29, 2017 · Report post Так в чем дело? Допустим точка без авторизации. Устройство подключилось к сети, получила доступ на сайт и все работает без проблем. Ваш вариант - вы добавили доступ на сайт в исключения. То есть устройство подключилось к сети, доступ на сайт есть. Но ничего другое не работает, потому что нет авторизации. И если вы ее произведете, то все равно связь потом обрывается? Может тут дело в другом - посмотрите под какими мак адресами светится айфон, они обычно маки постоянно меняют. Если телефон авторизовался с одним маком, а после перешел в ждущий режим, то после повторного подключения к сети мак изменяется, а на хотспоте он под этим маком не авторизовался, вот доступ к сети и пропадает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fenikssss Posted November 29, 2017 · Report post 3 минуты назад, Saab95 сказал: Так в чем дело? Допустим точка без авторизации. Устройство подключилось к сети, получила доступ на сайт и все работает без проблем. Ваш вариант - вы добавили доступ на сайт в исключения. То есть устройство подключилось к сети, доступ на сайт есть. Но ничего другое не работает, потому что нет авторизации. И если вы ее произведете, то все равно связь потом обрывается? да, дал исключение, но в слутчае если эпл видит сайт эпла то не выдает авто окно авторизации))) вот это тоже дает дискомфорт и ничего не работает пока я не зайду в сафари и не попробую обратиться на 80 пор... после обращения на 80 порт меня редиректит на страницу авторизации 3 минуты назад, Saab95 сказал: Может тут дело в другом - посмотрите под какими мак адресами светится айфон, они обычно маки постоянно меняют. Если телефон авторизовался с одним маком, а после перешел в ждущий режим, то после повторного подключения к сети мак изменяется, а на хотспоте он под этим маком не авторизовался, вот доступ к сети и пропадает. читали про динамик мак... но на моем примере мониторим... мак всегда один и тот же Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 29, 2017 · Report post Значит нужно сделать так, что бы несколько запросов на сайт эпла блокировалось, тогда откроется окно авторизации. А после уже разрешать доступ на этот сайт. То есть надо сделать правило в файрволе, что если в адрес листе list1 нету src.address, то добавить его в адрес лист. А второе если src.address нет в адрес листе list1 то делать дроп, и поместить его выше по списку. Вместо дроп можно поставить редирект на хотспот. Как-то так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fenikssss Posted December 13, 2017 · Report post В 29.11.2017 в 19:14, Saab95 сказал: Значит нужно сделать так, что бы несколько запросов на сайт эпла блокировалось, тогда откроется окно авторизации. А после уже разрешать доступ на этот сайт. То есть надо сделать правило в файрволе, что если в адрес листе list1 нету src.address, то добавить его в адрес лист. А второе если src.address нет в адрес листе list1 то делать дроп, и поместить его выше по списку. Вместо дроп можно поставить редирект на хотспот. Как-то так. Увы Сааб но ты не в "теме" проблемы... если только возникнет это окно авторизации инструмента хотспота, то эпл автоматически запоминает что вайфай не хороший, и будет его вырубать при блокировке экрана..... конкуренты на рукус перешли... дороже... но все таки проблем никаких нет... а с микротиком никто и помочь не может.... лазию по форуму уже 2 недели Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 13, 2017 · Report post А у рукуса что, встроенный хотспот используется? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fenikssss Posted December 14, 2017 · Report post 19 часов назад, Saab95 сказал: А у рукуса что, встроенный хотспот используется? ай тут не знаю.... мне бы с микротиком победить.... ну не верю что нельзя исправить... неуж то так все глобально Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVMi Posted December 19, 2017 · Report post Попробуй отключить keep-alive timeout и idle-timeout в профиле пользователя. Тогда ТД будет помнить, что устройство авторизовано до тех пор, пока есть DHCP лиза. И даже если устройство выключало WiFi, пустит его без повторного запроса авторизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LapTop Posted February 10, 2018 · Report post On 19.12.2017 at 10:07 AM, DVMi said: Попробуй отключить keep-alive timeout и idle-timeout в профиле пользователя. Тогда ТД будет помнить, что устройство авторизовано до тех пор, пока есть DHCP лиза. И даже если устройство выключало WiFi, пустит его без повторного запроса авторизации. Не помогает такое. Мы от скуки пошли дальше: запилили авторизацию по HTTPS с radius (да-да, покупали дорогущий Wildcard-сертификат для доменов, участвующих в авторизации), да и много чего ещё весьма виртуозного налепили ;) Вот например для того, чтобы после radius-авторизации автоматом не схлопывались каптив-обработчики на свежих версиях Android, а также чтобы запускать любую анимацию (фото/видеорекламу, опросы и прочие полезности для маркетологов) после успешной radius-авторизации юзера - сделали автооткрывание реального браузера (при этом каптив-обработчик сам схлопывается в фоне, а юзер выполняет все-все действия в автозапущенном браузере). Сафари на победили, хахаа! Всё бы здорово, НО: после погасания экрана даже в режиме "НЕэкономии электричества" айфоны и айпады впадают в состояние "я - только приёмник", т.е. реально ПРИНИМАЮТ пакеты из wifi-сети, но не отдают "без надобности" их обратно. Это видно в разделе "Connections" файерволла. Даже смешнее: пингуешь с микротика айфон подключенный, и как только погас экран - через пару секунд пинги не возвращаются... Включил экран - пинги снова идут =)) Получается дикая картина: кто-то из внешнего мира присылает юзеру мессадж в Телеграм. Сообщение успешно приходит, телефон брякает об этом. Чел открывает главный экран чтобы прочитать и ответить и.. о Боги!: телефон ломится проверять домен cative.apple.com на предмет доступности, а мы именно прописыванием статической DNS-записи на нашу внешнюю страничку-заглушку выполили трюк автооткрытия браузера (т.е. при обращении к этому домену смартфон перенаправляется на спец-страницу нашего сервера, который всегда доступен через "садик"). Ну и в итоге от этой страницы он благополучно СНОВА получает ответ "нэта нет" (при этом микротик УЖЕ незаметно в фоне авторизовал гаджет по MAC-Cookie и HTTP-Cookie одновременно, сессия то не кончилась!). И телефон, снова запрашивая у роутера страницу авторизации (по её исходному домену, который ему сообщила страничка-заглушка и этот домен тоже прописан статикой в DNS-сервере микротика) - благополучно получат от микротика редирект на "/status"(ты же в интернете, вот тебе твой статус, дарагой!). Пока что в грёбанном status.html прописали тупо автозакрытие страницы. Чел в итоге видит внезапное открытие Сафари и мгновенное открытие/закрытие белой страницы, после чего видит последнюю открытую им в Сафари страницу. Вроде бы всё нормально, но это НЕСКАЗАННО за*бывает юзеров, все нервы пропилили уже. Каждый раз открываешь телефон - получи "выпрыгивание Сафари", когда реально собирался вообще другое приложение открыть. Вот и вопрос потому: КАК блин сделать так, чтобы будучи авторизованным телефон или НЕ ломился на этот captive.apple.com (похоже что никак) или как-то сообщать гаду, что он В ИНЕТЕ уже. Пока мысль одна: вместо статичной заглушки как щас - на сервере сделать динамический "отвечатель": если прошла радиус-авторизация - то пока не истечёт время сессии (а мы то знаем: это 6 часов у нас) - отвечать каптив-обработчику "усё норм, чувак, ты в нете, не надо никуда ломиться больше", а когда сессия истекла - опять стандартный отлуп на домен авторизации. Потестим на неделе. Похоже я сам на свой вопрос тут ответил ))) Может это будет кому-то полезно, коллеги =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Arata Posted February 6, 2021 · Report post В 10.02.2018 в 20:50, LapTop сказал: после успешной radius-авторизации юзера - сделали автооткрывание реального браузера (при этом каптив-обработчик сам схлопывается в фоне, а юзер выполняет все-все действия в автозапущенном браузере). Уважаемый LapTop, можете пояснить, как именно вы сделали автооткрывание браузера у клиента? Средствами самого Микротика? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVMi Posted February 8, 2021 · Report post Кстати, вот что еще нашел про эпплы:https://developer.apple.com/news/?id=q78sq5rv Сам внедрять не пробовал ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...