[jffulcrum]

Transparent proxy невозможен для HTTPS c встроенным прокси Микротика. Это проверено. Разве что перенаправлять на что-то внешнее, вроде SQUID. 

[LostSoul]

В 15.02.2019 в 11:20, d0nik сказал:

Мы разработали систему аутентификации в сетях WiFi

Вот это особенно красиво звучит, в свете не знания элементарных основ того, как работает https.

 

[sherwood]

В 17 февраля 2019 г. в 10:25, Saab95 сказал:

Разницы никакой какой протокол, будто на 443 порту обязательно должно быть шифрование. Браузер получит поток данных от прокси и отобразит страницу.

При попытке открыть http все хорошо, при попытки открыть https:

 

ERR_Time_Out

 

 

В 17 февраля 2019 г. в 10:57, prolan сказал:

/ip firewall nat add action=redirect dst-address=!192.168.88.2 protocol=tcp port=80,443 src-address-list=block to-ports=8123

Может дело в отсутствии Chain ?

[prolan]

2 минуты назад, sherwood сказал:

При попытке открыть http все хорошо, при попытки открыть https:

 

ERR_Time_Out

 

 

Может дело в отсутствии Chain ?

Без chain все-таки Saab написал, а у меня это была цитата :)

[sherwood]

Только что, prolan сказал:

Без chain все-таки Saab написал, а у меня это была цитата :)

Извиняюсь, ошибся, вопрос был именно к нему (нельзя называет его имя, ну знаете кого).

[st_re]

3 часа назад, jffulcrum сказал:

Transparent proxy невозможен для HTTPS c встроенным прокси Микротика. Это проверено. Разве что перенаправлять на что-то внешнее, вроде SQUID. 

Даже если перенаправлять на внешний прокси, то все одно, трафик менять, не имея возможности подсунуть сертификат, который браузер съест как валидный, не выйдет. Или митм трафика или отдавать as is или.. ну получите ашипку.

[zdutpdzi]

Самое смешное в этой ситуации,что чуваки поставили телегу вперед лошади: потратили энное количество бабла и человеко-часов для написания бэкэнда. Чтобы потом выяснить,что основная диллема это как раз как скрестить это с хотспотом. Я тут в одном треде уже писал про планирование...

On 2/15/2019 at 9:20 AM, d0nik said:

Но, проблема в том, что я не специалист по сетевым технологиям, я backend программист,

1. Перепиливать под интерпрайз.
2. Вешать рядом с хостпотом таблица "Уважаемые пользователи! Чтобы у вас нормально работало,нужно скачать сертификат вот по этой ссылке и установить его в хранилище Trusted CA"
3. Переезжать в Казахстан.

[LostSoul]

3 часа назад, zdutpdzi сказал:

поставили телегу вперед лошади

"К пуговицам претензии есть? - Нет! Пришиты насмерть, не оторвёшь! "

[jffulcrum]

@st_re С подменой трафика-то да, просто забавно, что эксперт по микротикам не в курсе, что встроенный proxy ничего окромя http не поддерживает, ни https, ни ftp

[alibek]

Так просто https это устаревшая технология.

[LostSoul]

8 минут назад, jffulcrum сказал:

С подменой трафика-то да, просто забавно, что эксперт по микротикам не в курсе, что встроенный proxy ничего окромя http не поддерживает, ни https, ни ftp

Постоянно использую микротик, как proxy для https.   Но в прозрачном режиме не пробовал.

Кстати whatsapp жестко банит номер, если недавно зарегистрированным номером попытаться через web-вацап зайти через такой прокси ( он честно свои header к запросу добавляет ) ,  так что видимо спамеры активно пользуются микротиками на шару :-)

[jffulcrum]

1 минуту назад, LostSoul сказал:

он честно свои header к запросу добавляет

Там есть галочку анонимности. На самом деле он долго был анонимным безвариантно, народ годами клевал поддержку на эту опцию, потому как полно кейсов, когда нужно видеть некоторые заголовки с прокси, хотя бы X-Forwarded-For

[Saab95]

Микротик ничего не подменяет, если был запрос на https://nag.ru, он не будет подставлять домен nag.ru, он перенаправит на другой адрес, который указан в редиректе прокси.

[st_re]

tcp dump этого мы увидим ?

[LostSoul]

31 минуту назад, Saab95 сказал:

Микротик ничего не подменяет, если был запрос на https://nag.ru, он не будет подставлять домен nag.ru, он перенаправит на другой адрес, который указан в редиректе прокси.

скорее всего, после невозможности соединится с сайтом nag.ru по https ваш браузер предпринимает попытку соединится по http.

Но это лишь оттого, что у сайта nag не настроен hsts  , явно указывающий , что на него по http ходить нельзя.

 

[st_re]

ненене, браузер не пытается фейлбюатчиться на http с нехера.. в независимости от hsts..

наличие hsts сделает невозможным поход на http: а сразу отправит на https даже если ссылка была на http:// или пользователь набрал в стоке просто имя сайта без указания http или https.

Но если в html вставлена ссылка https://www.ya.ru то без вариантов браузер пойдет на https и или отдаст страницу подписанным валидным сертификатом (с точки зрения браузера) или вернет ту или иную ошибку. никакого http не будет

 

Я боюсь что человек путает редирект на заглушку 443 порта и автоддетект необходимости авторизации на каптив-портале встроенныую в некоторые системы.

 это мало поможет. Во прервых на каптив порталы чекают не все. если вдруг включитть такой редирект для https, то браузер обломится и вернет ошибку.. как быстро мобила снова сходит на проверку и покажет окно логина. очень сильно зависит от устройства и других факторов.. и еще раз, это НИ РАЗУ НЕ РЕДИРЕКТ HTTPS. Устройство дергает проверялку по http и срабатывает на 30х вместо своей страницы, как на необходимость показать окно для логина..