[fenikssss]

Привет друзья, вот и пожаловался мне клиент... ну начну предыстории:

пришел клиент и сказал хочу смс-авторизацию в офисе с псефффдобесшовным роумингом. Выбор пал на микротик RBсратькакоймодели.

сделали и вроде все работает: капсман+ хотспот, однако клиент нам стал сдавать заявки что эпл устройства постоянно отваливаются от вайфай.... и привел пример, что если тел на андроиде то сообщения приходят моментально а айфоны вообще отключаются от вайфай при выключеном экране. 

если вкраце выяснили что эпл и хотспот работает через зад. айфон постоянно хочет поддерживать связи с серверами эпла, и если связь нек видит, то дисконектит вайфай. а если мы пропишем в walled garden *.apple.com, то окно авторизации у айУстройств не появляется и нужно самому заходить в браузер и обращаться на 80 порт и только тогда появится стрничка авторизации.

 

есть мысли как это все подружить?)))

[Saab95]

У Apple тоже есть своя крутая wi-fi точка доступа, может стоит ее использовать?

[fenikssss]

13 часов назад, Saab95 сказал:

У Apple тоже есть своя крутая wi-fi точка доступа, может стоит ее использовать?

есть еще предложения?)

[Saab95]

Вам нужно найти причину, по которой страничка приветствия не появляется.

Вообще в хотспоте все просто - клиент открывает браузер, заходит на какой-то сайт и у него появляется окно приветствия, где он либо подтверждает доступ, либо нет. У вас похоже схема такая - абонентское устройство подключается к сети, происходит отправка смс для подтверждения, далее появляется доступ в интернет. При этом, скорее всего, повторное подтверждение известного мака не требуется.

 

В этом случае схема должна быть такая - после авторизации нужно сохранять мак адрес устройства и пускать его в сеть уже без повторной авторизации. Сделать это средствами хотспота не всегда возможно и удобно. Через радиус с DHCP сервером на микротике все можно сделать, в том числе и подключение к самому wi-fi.

[fenikssss]

5 минут назад, Saab95 сказал:

Вам нужно найти причину, по которой страничка приветствия не появляется.

Вообще в хотспоте все просто - клиент открывает браузер, заходит на какой-то сайт и у него появляется окно приветствия, где он либо подтверждает доступ, либо нет. У вас похоже схема такая - абонентское устройство подключается к сети, происходит отправка смс для подтверждения, далее появляется доступ в интернет. При этом, скорее всего, повторное подтверждение известного мака не требуется.

 

В этом случае схема должна быть такая - после авторизации нужно сохранять мак адрес устройства и пускать его в сеть уже без повторной авторизации. Сделать это средствами хотспота не всегда возможно и удобно. Через радиус с DHCP сервером на микротике все можно сделать, в том числе и подключение к самому wi-fi.

о сааб я тестирую уже 2-3 дня... все глобальнее... все дело в ойфонах.... 

если айфон видит подключенный вайфай, но пробует достучаться до aple.com и если видит его, то вступает в нормальную работу - всегда подключен к вайфай и даже в ждущем режиме вайфай работает и приходят онлайн сообщения вк и ватсап

НО!!!

ежели айфон видит что вайфай подключен и сайт apple недоступен, то вступает в епастическую работу! а именно требует авторизоваться, (авторизация ничем технически не отличается от хотспота в мт) и после авторизации инет работает, но стоит только заблочить экран то все.... устройство автоматически отключается от вайфай... оно думает что вайфай гамно)))....

 

а мой вопрос как же с этим жить.... я понимаю что дело в яблоке.... но это сраное устройство самое популярное в мире среди телефонов... и надо как то с этим жить

[Saab95]

Так в чем дело?

 

Допустим точка без авторизации. Устройство подключилось к сети, получила доступ на сайт и все работает без проблем.

Ваш вариант - вы добавили доступ на сайт в исключения. То есть устройство подключилось к сети, доступ на сайт есть. Но ничего другое не работает, потому что нет авторизации. И если вы ее произведете, то все равно связь потом обрывается?

 

Может тут дело в другом - посмотрите под какими мак адресами светится айфон, они обычно маки постоянно меняют. Если телефон авторизовался с одним маком, а после перешел в ждущий режим, то после повторного подключения к сети мак изменяется, а на хотспоте он под этим маком не авторизовался, вот доступ к сети и пропадает.

[fenikssss]

3 минуты назад, Saab95 сказал:

Так в чем дело?

 

Допустим точка без авторизации. Устройство подключилось к сети, получила доступ на сайт и все работает без проблем.

Ваш вариант - вы добавили доступ на сайт в исключения. То есть устройство подключилось к сети, доступ на сайт есть. Но ничего другое не работает, потому что нет авторизации. И если вы ее произведете, то все равно связь потом обрывается?

да, дал исключение, но в слутчае если эпл видит сайт эпла то не выдает авто окно авторизации))) вот это тоже дает дискомфорт и ничего не работает пока я не зайду в сафари и не попробую обратиться на 80 пор... после обращения на 80 порт меня редиректит на страницу авторизации

 

3 минуты назад, Saab95 сказал:

 

Может тут дело в другом - посмотрите под какими мак адресами светится айфон, они обычно маки постоянно меняют. Если телефон авторизовался с одним маком, а после перешел в ждущий режим, то после повторного подключения к сети мак изменяется, а на хотспоте он под этим маком не авторизовался, вот доступ к сети и пропадает.

читали про динамик мак... но на моем примере мониторим... мак всегда один и тот же

[Saab95]

Значит нужно сделать так, что бы несколько запросов на сайт эпла блокировалось, тогда откроется окно авторизации. А после уже разрешать доступ на этот сайт.

То есть надо сделать правило в файрволе, что если в адрес листе list1 нету src.address, то добавить его в адрес лист. А второе если src.address нет в адрес листе list1 то делать дроп, и поместить его выше по списку. Вместо дроп можно поставить редирект на хотспот. Как-то так.

[fenikssss]

В 29.11.2017 в 19:14, Saab95 сказал:

Значит нужно сделать так, что бы несколько запросов на сайт эпла блокировалось, тогда откроется окно авторизации. А после уже разрешать доступ на этот сайт.

То есть надо сделать правило в файрволе, что если в адрес листе list1 нету src.address, то добавить его в адрес лист. А второе если src.address нет в адрес листе list1 то делать дроп, и поместить его выше по списку. Вместо дроп можно поставить редирект на хотспот. Как-то так.

Увы Сааб но ты не в "теме" проблемы... если только возникнет это окно авторизации инструмента хотспота, то эпл автоматически запоминает что вайфай не хороший, и будет его вырубать при блокировке экрана..... конкуренты на рукус перешли... дороже... но все таки проблем никаких нет... а с микротиком никто и помочь не может.... лазию по форуму уже 2 недели

[Saab95]

А у рукуса что, встроенный хотспот используется?

[fenikssss]

19 часов назад, Saab95 сказал:

А у рукуса что, встроенный хотспот используется?

ай тут не знаю.... мне бы с микротиком победить.... ну не верю что нельзя исправить... неуж то так все глобально

[DVMi]

Попробуй отключить keep-alive timeout и idle-timeout в профиле пользователя. Тогда ТД будет помнить, что устройство авторизовано до тех пор, пока есть DHCP лиза. И даже если устройство выключало WiFi, пустит его без повторного запроса авторизации.

[LapTop]

On 19.12.2017 at 10:07 AM, DVMi said:

Попробуй отключить keep-alive timeout и idle-timeout в профиле пользователя. Тогда ТД будет помнить, что устройство авторизовано до тех пор, пока есть DHCP лиза. И даже если устройство выключало WiFi, пустит его без повторного запроса авторизации.

Не помогает такое. Мы от скуки пошли дальше: запилили авторизацию по HTTPS с radius (да-да, покупали дорогущий Wildcard-сертификат для доменов, участвующих в авторизации), да и много чего ещё весьма виртуозного налепили ;)

Вот например для того, чтобы после radius-авторизации автоматом не схлопывались каптив-обработчики на свежих версиях Android, а также чтобы запускать любую анимацию (фото/видеорекламу, опросы и прочие полезности для маркетологов) после успешной radius-авторизации юзера - сделали автооткрывание реального браузера (при этом каптив-обработчик сам схлопывается в фоне, а юзер выполняет все-все действия в автозапущенном браузере). Сафари на победили, хахаа! Всё бы здорово, НО: после погасания экрана даже в режиме "НЕэкономии электричества" айфоны и айпады впадают в состояние "я - только приёмник", т.е. реально ПРИНИМАЮТ пакеты из wifi-сети, но не отдают "без надобности" их обратно. Это видно в разделе "Connections" файерволла. Даже смешнее: пингуешь с микротика айфон подключенный, и как только погас экран - через пару секунд пинги не возвращаются... Включил экран - пинги снова идут =)) Получается дикая картина: кто-то из внешнего мира присылает юзеру мессадж в Телеграм. Сообщение успешно приходит, телефон брякает об этом. Чел открывает главный экран чтобы прочитать и ответить и.. о Боги!: телефон ломится проверять домен cative.apple.com на предмет доступности, а мы именно прописыванием статической DNS-записи на нашу внешнюю страничку-заглушку выполили трюк автооткрытия браузера (т.е. при обращении к этому домену смартфон перенаправляется на спец-страницу нашего сервера, который всегда доступен через "садик"). Ну и в итоге от этой страницы он благополучно СНОВА получает ответ "нэта нет" (при этом микротик УЖЕ незаметно в фоне авторизовал гаджет по MAC-Cookie и HTTP-Cookie одновременно, сессия то не кончилась!). И телефон, снова запрашивая у роутера страницу авторизации (по её исходному домену, который ему сообщила страничка-заглушка и этот домен тоже прописан статикой в DNS-сервере микротика) - благополучно получат от микротика редирект на "/status"(ты же в интернете, вот тебе твой статус, дарагой!). Пока что в грёбанном status.html прописали тупо автозакрытие страницы. Чел в итоге видит внезапное открытие Сафари и мгновенное открытие/закрытие белой страницы, после чего видит последнюю открытую им в Сафари страницу. Вроде бы всё нормально, но это НЕСКАЗАННО за*бывает юзеров, все нервы пропилили уже. Каждый раз открываешь телефон - получи "выпрыгивание Сафари", когда реально собирался вообще другое приложение открыть.

Вот и вопрос потому: КАК блин сделать так, чтобы будучи авторизованным телефон или НЕ ломился на этот captive.apple.com (похоже что никак) или как-то сообщать гаду, что он В ИНЕТЕ уже.

Пока мысль одна: вместо статичной заглушки как щас - на сервере сделать динамический "отвечатель": если прошла радиус-авторизация - то пока не истечёт время сессии (а мы то знаем: это 6 часов у нас) - отвечать каптив-обработчику "усё норм, чувак, ты в нете, не надо никуда ломиться больше", а когда сессия истекла - опять стандартный отлуп на домен авторизации.

Потестим на неделе. Похоже я сам на свой вопрос тут ответил )))

Может это будет кому-то полезно, коллеги =)

 

[Arata]

В 10.02.2018 в 20:50, LapTop сказал:

после успешной radius-авторизации юзера - сделали автооткрывание реального браузера (при этом каптив-обработчик сам схлопывается в фоне, а юзер выполняет все-все действия в автозапущенном браузере).

Уважаемый LapTop, можете пояснить, как именно вы сделали автооткрывание браузера у клиента? Средствами самого Микротика?

[DVMi]

Кстати, вот что еще нашел про эпплы:
https://developer.apple.com/news/?id=q78sq5rv

Сам внедрять не пробовал ;)