d0nik Posted February 15, 2019 · Report post Здравствуйте. Мы разработали систему аутентификации в сетях WiFi через сотовый номер телефона. Всё это хозяйство работает на базе MikroTik routerboard и RADIUS. Сейчас стоит задача организовать показ рекламы каждые 10 минут. На просторах интернета нашёл пару статей для периодического показа "напоминалок об оплате" (На пример: тут и тут) Но, проблема в том, что я не специалист по сетевым технологиям, я backend программист, и изменить статью под свои нужды не получается. Помогите, пожалуйста, кто может расписать куда что прописать в winbox чтобы в определённый промежуток перенаправлять пользователя на нужный URL. Спасибо всем заранее! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 15, 2019 · Report post Перенаправить не получится. Если в используете функцию Hotspot Микротика, то проще всего в настройках хотспота уменьшить срок таймаута mac cookie до 10 минут. Тогда авторизация будет действовать только 10 минут, после чего потребуется вновь авторизоваться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
d0nik Posted February 15, 2019 · Report post Да, мы используем функцию Hotspot микротика. Сейчас режим аутентификации "MAC as username and password". Session timeout выставлен 30 минут. После того как время сессии заканчивается, интернет отрубается но нового запроса на аутентификацию нет (captive portal не отображается). С другой стороны, если не использовать хотспот, можно ли добиться периодического показа определённого URL? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 15, 2019 · Report post 3 минуты назад, d0nik сказал: но нового запроса на аутентификацию нет (captive portal не отображается). Потому что мобильное устройство проверяет WiFi на captive portal только вначале. После подключения и успешной авторизации оно эту проверку не делает. Нужно отключить и включить WiFi на устройстве. В качестве костыля — можно отключить на точке доступа клиента, тогда он переподключиться и скорее всего попадет на портал. 5 минут назад, d0nik сказал: можно ли добиться периодического показа определённого URL? В HTTPS нельзя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
d0nik Posted February 15, 2019 · Report post 7 минут назад, alibek сказал: Нужно отключить и включить WiFi на устройстве. Да я так и делаю. 8 минут назад, alibek сказал: В HTTPS нельзя Это значит мой "определённый URL" не должен быть https? или что вы имеете ввиду? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 15, 2019 · Report post Это значит, что если у пользователя в браузере открыт сайт по HTTPS (а таковых сейчас большинство), то туда нельзя влезть и подсунуть что-то свое (рекламу или страницу авторизации). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
d0nik Posted February 15, 2019 · Report post Только что, alibek сказал: Это значит, что если у пользователя в браузере открыт сайт по HTTPS (а таковых сейчас большинство), то туда нельзя влезть и подсунуть что-то свое (рекламу или страницу авторизации). Спасибо за объяснение. А есть ли возможность с помощью микротика показать всплывающее сообщение в браузере или с помощью captive portal (любыми средствами) при том, что пользователь не сидит на http/https, а на пример, сидит в Телеграмме или в Инстаграмме (не в браузере)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 15, 2019 · Report post Глупый вопрос. Нельзя. Все что может сделать Микротик — это подсунуть captive portal для неавторизованного пользователя. Сам он ничего показать не может. Если операционная система пользователя имеет представление о captive portal, она может показать пользователю уведомление о том, что для использования сети нужно выполнить авторизацию, и предложит открыть страницу captive portal. Если операционная система пользователя этого не умеет, либо если она проверяет captive portal только при первом подключении к беспроводной сети, то с этим ничего сделать нельзя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
d0nik Posted February 15, 2019 · Report post 44 минуты назад, alibek сказал: Глупый вопрос. Нельзя. Что я и говорил, я не спец по сетям. 44 минуты назад, alibek сказал: Все что может сделать Микротик — это подсунуть captive portal для неавторизованного пользователя. Сам он ничего показать не может. Хорошо. Как и что тогда настроить в МТ чтобы интернет отрубался, скажем, каждые 30 минут, и сразу же всплывал captive портал? Мои настройки User Profile на картинке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted February 15, 2019 · Report post 4 minutes ago, d0nik said: и сразу же всплывал captive портал? Вам же выше написали,надо клиента дропнуть с точки доступа. Именно подключение по 802.11. Hotspot - это костыльная технология,нету тут отдельного стандарта (ну кроме сравнительно нового 802.11w). Вы подключаетесь к точке доступа без пароля/авторизации,как только вы подключились специальное ПО на клиенте CPA (captive portal assistant),зондирует,нет ли авторизации. Делает это попыткой подключения к определенным адреса. Если это http-запрос,портал его перехватывает и редиректит на страницу авторизации. Вы видите все эти костыли? Вашу задачу наверное можно решить только скриптами,вопрос как еще их увязать с бэкэндом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted February 15, 2019 · Report post Видите Idle timeout и KeepAlive timeout? По ним определяется,ни ушел клиент уже с точки доступа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted February 15, 2019 · Report post 9 часов назад, d0nik сказал: А есть ли возможность с помощью микротика показать всплывающее сообщение в браузере или с помощью captive portal (любыми средствами) при том, что пользователь не сидит на http/https, а на пример, сидит в Телеграмме или в Инстаграмме (не в браузере)? Есть, но как ты это будешь реализовывать - твоя проблема. Смысл в том, что венда, гандройд и огрызок периодически запрашивают в днс определённые имена и тягают с определённых адресов определённые файлы. Как только днс возвращает другой адрес или вместо файла там редирект - ОС показывает уведомление что надо бы где то там залогонится и по щелчку на нём открывает в браузере чото. Вот тебе отправная точка для венды (это не конфиг глюкотика, просто названия+адреса которые гуглить): # Windows Internet emulator: Network Connectivity Status Indicator (NCSI) # https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/ee126135(v=ws.10) local-data: "dns.msftncsi.com 30 IN A 131.107.255.255" local-data: "dns.msftncsi.com 3600 IN AAAA fd3e:4f5a:5b81:0:0:0:0:1" local-data: "www.msftncsi.com 30 IN A 172.16.0.254" local-data: "ipv6.msftncsi.com 30 IN AAAA 2001:470:1f15:8e:0:0:0:1" Для гандройда и огрызка ищи сам, tcpdump/торч тебе в помощь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 16, 2019 · Report post На микротике есть web proxy, можно на нем сделать правило редиректа всех запросов на нужный ресурс, в нате есть действие редирект, которое может перенаправить с любого порта на порт веб прокси. Соответственно абонент попадет на нужную страничку, однако исходная страничка потеряется, и абоненту после надо будет или назад нажать, или по новой адрес ресурса ввести. Хотспот в таких случаях вообще не нужен, не ясно почему все только на нем и делают. По радиусу можно и через DHCP сервер IP адреса выдавать, заодно и устанавливать время аренды. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sherwood Posted February 17, 2019 · Report post 15 часов назад, Saab95 сказал: всех запросов на нужный ресурс, в нате есть действие редирект, которое может перенаправить с любого порта на порт веб прокси А можно увидеть правило редиректа https, которое работает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 17, 2019 · Report post 2 часа назад, sherwood сказал: А можно увидеть правило редиректа https, которое работает? /ip firewall address-list add address=10.10.10.10 list=block /ip firewall nat add action=redirect dst-address=!192.168.88.2 protocol=tcp port=80,443 src-address-list=block to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Разницы никакой какой протокол, будто на 443 порту обязательно должно быть шифрование. Браузер получит поток данных от прокси и отобразит страницу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prolan Posted February 17, 2019 · Report post 31 минуту назад, Saab95 сказал: /ip firewall address-list add address=10.10.10.10 list=block /ip firewall nat add action=redirect dst-address=!192.168.88.2 protocol=tcp port=80,443 src-address-list=block to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Разницы никакой какой протокол, будто на 443 порту обязательно должно быть шифрование. Браузер получит поток данных от прокси и отобразит страницу. На порту 443 шифрование действительно не обязательно. А в https, про которое и был вопрос - обязательно. Как всегда Saab отвечает бредом) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 17, 2019 · Report post В случае указанного примера абонент находится на сайте с HTTPS, тут ему с этого же сайта и этого же порта начинают выдавать другие данные и без шифрования. Абонент при нажатии на любую ссылку заставляет браузер открывать новую сессию, т.к. идет перенаправление всех данных на прокси, и в браузер выдается уже информационное сообщение, вместо данных по ссылке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prolan Posted February 17, 2019 · Report post Не информационное сообщение, а ошибка - т.к. вместо ожидаемого SSL прилетел какой-то текстовый бред. Что не является ответом на заданный вопрос Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 17, 2019 · Report post Какая ошибка? Вы куда хотите подставлять то, что бы у абонента был открыт ютуб с видяшкой, и тут раз, видео прервалось и открылось сообщение? Так не бывает. Любое открытие произойдет только при переходе по ссылке. И вот если абонент успел открыть сайт и он у него загрузился, то ему ничего выдать нельзя. И если на микротике указать определенный набор настроек, то как только абонент нажмет любую ссылку, то у него откроется страничка с напоминалкой. Да что спорить - по этому методу переадресовывают абонентов интернет провайдеры на страницу с уведомлением об отсутствии средств, и все отлично на нее попадают, на каком бы ресурсе не находились. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prolan Posted February 17, 2019 · Report post 1 час назад, Saab95 сказал: Какая ошибка? ERR_SSL_PROTOCOL_ERROR или SSL_ERROR_RX_RECORD_TOO_LONG в зависимости от браузера 1 час назад, Saab95 сказал: Вы куда хотите подставлять то, что бы у абонента был открыт ютуб с видяшкой, и тут раз, видео прервалось и открылось сообщение? Так не бывает. Любое открытие произойдет только при переходе по ссылке. И вот если абонент успел открыть сайт и он у него загрузился, то ему ничего выдать нельзя. И если на микротике указать определенный набор настроек, то как только абонент нажмет любую ссылку, то у него откроется страничка с напоминалкой. Да что спорить - по этому методу переадресовывают абонентов интернет провайдеры на страницу с уведомлением об отсутствии средств, и все отлично на нее попадают, на каком бы ресурсе не находились. Ни разу не видел работающего редиректа через https (о чем речь и идёт). Где хоть слово про прерывание видео? "Обколются своими микротиками и несут бред!" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 17, 2019 · Report post Если вы не знаете как работает браузер, который странички отображает, и даже не попробовали на микротике представленный пример, то ясно дело, более убедительные аргументы вам не помогут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prolan Posted February 17, 2019 · Report post Ну куда мне по знаниям тягаться с самим повелитем микротиков Саабом. Кстати, сколько их надо для этой схемы? 3? 5? 20? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 18, 2019 · Report post задолбали этот гугель с амазоном. дайте пример скрипта, чтоб юзеру корневной сертификат с веб-странички инсталировать :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted February 18, 2019 · Report post 21 час назад, Saab95 сказал: Если вы не знаете как работает браузер, который странички отображает, и даже не попробовали на микротике представленный пример, то ясно дело, более убедительные аргументы вам не помогут. а можно tcpdump того чуда, когда браузер по клику на ссылку https://forum.nag.ru смог получить РАСШИФРОВАННЫЙ HTML и не выдал ошибку. когда в сылке написано https то извините, но браузер запрос пошлет только договорившись с той стороной об шифрации и итд ... GET / HTTP/1.1 Host: forum.nag.ru поедет только после установления зашифрованного соединения унутре того соединения. (и да, браузер предварительно сверит что сертификат выдан доверенным ЦА и что список имен, на которые он выдан содержит forum.nag.ru либо *.nag.ru). В любом другом случае будет ашипка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted February 18, 2019 · Report post 23 hours ago, prolan said: Ни разу не видел работающего редиректа через https (о чем речь и идёт) И не увидите. Потому что его нет. Если бы можно было влезть с левым сертификатом и сделать редирект,это бы поставило под вопрос весь смысл существования ssl в том виде,в котором он существует,для тех задач,для которых он существует. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...