[d0nik]

Здравствуйте.

Мы разработали систему аутентификации в сетях WiFi через сотовый номер телефона. Всё это хозяйство работает на базе MikroTik routerboard и RADIUS.

Сейчас стоит задача организовать показ рекламы каждые 10 минут. На просторах интернета нашёл пару статей для периодического показа "напоминалок об оплате" (На пример: тут и тут) Но, проблема в том, что я не специалист по сетевым технологиям, я backend программист, и изменить статью под свои нужды не получается.

Помогите, пожалуйста, кто может расписать куда что прописать в winbox чтобы в определённый промежуток перенаправлять пользователя на нужный URL.

Спасибо всем заранее!

[alibek]

Перенаправить не получится.

Если в используете функцию Hotspot Микротика, то проще всего в настройках хотспота уменьшить срок таймаута mac cookie до 10 минут.

Тогда авторизация будет действовать только 10 минут, после чего потребуется вновь авторизоваться.

[d0nik]

Да, мы используем функцию Hotspot микротика. Сейчас режим аутентификации "MAC as username and password". Session timeout выставлен 30 минут. После того как время сессии заканчивается, интернет отрубается но нового запроса на аутентификацию нет (captive portal не отображается).

 

С другой стороны, если не использовать хотспот, можно ли добиться периодического показа определённого URL?

[alibek]

3 минуты назад, d0nik сказал:

но нового запроса на аутентификацию нет (captive portal не отображается).

Потому что мобильное устройство проверяет WiFi на captive portal только вначале.

После подключения и успешной авторизации оно эту проверку не делает.

Нужно отключить и включить WiFi на устройстве. В качестве костыля — можно отключить на точке доступа клиента, тогда он переподключиться и скорее всего попадет на портал.

 

5 минут назад, d0nik сказал:

можно ли добиться периодического показа определённого URL?

В HTTPS нельзя.

[d0nik]

7 минут назад, alibek сказал:

Нужно отключить и включить WiFi на устройстве.

Да я так и делаю.

 

8 минут назад, alibek сказал:

В HTTPS нельзя

Это значит мой "определённый URL" не должен быть https? или что вы имеете ввиду?

[alibek]

Это значит, что если у пользователя в браузере открыт сайт по HTTPS (а таковых сейчас большинство), то туда нельзя влезть и подсунуть что-то свое (рекламу или страницу авторизации).

[d0nik]

Только что, alibek сказал:

Это значит, что если у пользователя в браузере открыт сайт по HTTPS (а таковых сейчас большинство), то туда нельзя влезть и подсунуть что-то свое (рекламу или страницу авторизации).

Спасибо за объяснение.

 

А есть ли возможность с помощью микротика показать всплывающее сообщение в браузере или с помощью captive portal (любыми средствами) при том, что пользователь не сидит на http/https, а на пример, сидит в Телеграмме или в Инстаграмме (не в браузере)?

[alibek]

Глупый вопрос.

Нельзя.

Все что может сделать Микротик — это подсунуть captive portal для неавторизованного пользователя. Сам он ничего показать не может.

Если операционная система пользователя имеет представление о captive portal, она может показать пользователю уведомление о том, что для использования сети нужно выполнить авторизацию, и предложит открыть страницу captive portal.

Если операционная система пользователя этого не умеет, либо если она проверяет captive portal только при первом подключении к беспроводной сети, то с этим ничего сделать нельзя.

[d0nik]

44 минуты назад, alibek сказал:

Глупый вопрос.

Нельзя.

Что я и говорил, я не спец по сетям.

44 минуты назад, alibek сказал:

Все что может сделать Микротик — это подсунуть captive portal для неавторизованного пользователя. Сам он ничего показать не может.

Хорошо. Как и что тогда настроить в МТ чтобы интернет отрубался, скажем, каждые 30 минут, и сразу же всплывал captive портал? Мои настройки User Profile на картинке.

[zdutpdzi]

4 minutes ago, d0nik said:

и сразу же всплывал captive портал?

Вам же выше написали,надо клиента дропнуть с точки доступа. Именно подключение по 802.11. Hotspot - это костыльная технология,нету тут отдельного стандарта (ну кроме сравнительно нового 802.11w). Вы подключаетесь к точке доступа без пароля/авторизации,как только вы подключились специальное ПО на клиенте CPA (captive portal assistant),зондирует,нет ли авторизации. Делает это попыткой подключения к определенным адреса. Если это http-запрос,портал его перехватывает и редиректит на страницу авторизации. Вы видите все эти костыли? Вашу задачу наверное можно решить только скриптами,вопрос как еще их увязать с бэкэндом.

[zdutpdzi]

Видите Idle timeout и KeepAlive timeout? По ним определяется,ни ушел клиент уже с точки доступа.

[Ivan_83]

9 часов назад, d0nik сказал:

А есть ли возможность с помощью микротика показать всплывающее сообщение в браузере или с помощью captive portal (любыми средствами) при том, что пользователь не сидит на http/https, а на пример, сидит в Телеграмме или в Инстаграмме (не в браузере)?

Есть, но как ты это будешь реализовывать - твоя проблема.

 

Смысл в том, что венда, гандройд и огрызок периодически запрашивают в днс определённые имена и тягают с определённых адресов определённые файлы.

Как только днс возвращает другой адрес или вместо файла там редирект - ОС показывает уведомление что надо бы где то там залогонится и по щелчку на нём открывает в браузере чото.

 

Вот тебе отправная точка для венды (это не конфиг глюкотика, просто названия+адреса которые гуглить):

# Windows Internet emulator: Network Connectivity Status Indicator (NCSI)
# https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/ee126135(v=ws.10)
local-data: "dns.msftncsi.com            30    IN A    131.107.255.255"
local-data: "dns.msftncsi.com            3600    IN AAAA    fd3e:4f5a:5b81:0:0:0:0:1"
local-data: "www.msftncsi.com            30    IN A    172.16.0.254"
local-data: "ipv6.msftncsi.com            30    IN AAAA    2001:470:1f15:8e:0:0:0:1"

 

Для гандройда и огрызка ищи сам, tcpdump/торч тебе в помощь.

[Saab95]

На микротике есть web proxy, можно на нем сделать правило редиректа всех запросов на нужный ресурс, в нате есть действие редирект, которое может перенаправить с любого порта на порт веб прокси. Соответственно абонент попадет на нужную страничку, однако исходная страничка потеряется, и абоненту после надо будет или назад нажать, или по новой адрес ресурса ввести. Хотспот в таких случаях вообще не нужен, не ясно почему все только на нем и делают.

 

По радиусу можно и через DHCP сервер IP адреса выдавать, заодно и устанавливать время аренды.

[sherwood]

15 часов назад, Saab95 сказал:

всех запросов на нужный ресурс, в нате есть действие редирект, которое может перенаправить с любого порта на порт веб прокси

А можно увидеть правило редиректа https, которое работает?

[Saab95]

2 часа назад, sherwood сказал:

А можно увидеть правило редиректа https, которое работает?

 

/ip firewall address-list
add address=10.10.10.10 list=block
/ip firewall nat
add action=redirect dst-address=!192.168.88.2 protocol=tcp port=80,443 src-address-list=block to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=192.168.88.2

 

Разницы никакой какой протокол, будто на 443 порту обязательно должно быть шифрование. Браузер получит поток данных от прокси и отобразит страницу.

[prolan]

31 минуту назад, Saab95 сказал:

 

/ip firewall address-list
add address=10.10.10.10 list=block
/ip firewall nat
add action=redirect dst-address=!192.168.88.2 protocol=tcp port=80,443 src-address-list=block to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=192.168.88.2

 

Разницы никакой какой протокол, будто на 443 порту обязательно должно быть шифрование. Браузер получит поток данных от прокси и отобразит страницу.

На порту 443 шифрование действительно не обязательно. А в https, про которое и был вопрос - обязательно. Как всегда Saab отвечает бредом)

[Saab95]

В случае указанного примера абонент находится на сайте с HTTPS, тут ему с этого же сайта и этого же порта начинают выдавать другие данные и без шифрования. Абонент при нажатии на любую ссылку заставляет браузер открывать новую сессию, т.к. идет перенаправление всех данных на прокси, и в браузер выдается уже информационное сообщение, вместо данных по ссылке.

[prolan]

Не информационное сообщение, а ошибка - т.к. вместо ожидаемого SSL прилетел какой-то текстовый бред. Что не является ответом на заданный вопрос

[Saab95]

Какая ошибка? Вы куда хотите подставлять то, что бы у абонента был открыт ютуб с видяшкой, и тут раз, видео прервалось и открылось сообщение? Так не бывает. Любое открытие произойдет только при переходе по ссылке. И вот если абонент успел открыть сайт и он у него загрузился, то ему ничего выдать нельзя. И если на микротике указать определенный набор настроек, то как только абонент нажмет любую ссылку, то у него откроется страничка с напоминалкой.

 

Да что спорить - по этому методу переадресовывают абонентов интернет провайдеры на страницу с уведомлением об отсутствии средств, и все отлично на нее попадают, на каком бы ресурсе не находились.

[prolan]

1 час назад, Saab95 сказал:

Какая ошибка?

ERR_SSL_PROTOCOL_ERROR или SSL_ERROR_RX_RECORD_TOO_LONG в зависимости от браузера

1 час назад, Saab95 сказал:

Вы куда хотите подставлять то, что бы у абонента был открыт ютуб с видяшкой, и тут раз, видео прервалось и открылось сообщение? Так не бывает. Любое открытие произойдет только при переходе по ссылке. И вот если абонент успел открыть сайт и он у него загрузился, то ему ничего выдать нельзя. И если на микротике указать определенный набор настроек, то как только абонент нажмет любую ссылку, то у него откроется страничка с напоминалкой.

 

Да что спорить - по этому методу переадресовывают абонентов интернет провайдеры на страницу с уведомлением об отсутствии средств, и все отлично на нее попадают, на каком бы ресурсе не находились.

Ни разу не видел работающего редиректа через https (о чем речь и идёт). Где хоть слово про прерывание видео?

 

"Обколются своими микротиками и несут бред!"

[Saab95]

Если вы не знаете как работает браузер, который странички отображает, и даже не попробовали на микротике представленный пример, то ясно дело, более убедительные аргументы вам не помогут.

[prolan]

Ну куда мне по знаниям тягаться с самим повелитем микротиков Саабом. Кстати, сколько их надо для этой схемы? 3? 5? 20?

[LostSoul]

задолбали этот гугель с амазоном.

дайте пример скрипта, чтоб юзеру корневной сертификат с веб-странички инсталировать :-)

 

[st_re]

21 час назад, Saab95 сказал:

Если вы не знаете как работает браузер, который странички отображает, и даже не попробовали на микротике представленный пример, то ясно дело, более убедительные аргументы вам не помогут.

а можно tcpdump того чуда, когда браузер по клику на ссылку https://forum.nag.ru смог получить РАСШИФРОВАННЫЙ HTML и не выдал ошибку.

 

когда в сылке написано https то извините, но браузер запрос пошлет только договорившись с той стороной об шифрации и итд ... 

GET / HTTP/1.1

Host: forum.nag.ru

поедет только после установления зашифрованного соединения унутре того соединения. (и да, браузер предварительно сверит что сертификат выдан доверенным ЦА и что список имен, на которые он выдан содержит forum.nag.ru либо *.nag.ru). В любом другом случае будет ашипка.

[zdutpdzi]

23 hours ago, prolan said:

Ни разу не видел работающего редиректа через https (о чем речь и идёт)

И не увидите. Потому что его нет. Если бы можно было влезть с левым сертификатом и сделать редирект,это бы поставило под вопрос весь смысл существования ssl в том виде,в котором он существует,для тех задач,для которых он существует.