[Кошачии ловец]

Статья подготовлена при поддержке LightBilling, бесплатный облачный Биллинг для операторов связи (https://lightbilling.cloud).

 

Загрузить актуальный список IP адресов СЗР (обновляется автоматически), можно по адресу: https://api.lightbilling.cloud/static/library/social/ip.lst

Список доменов: https://api.lightbilling.cloud/static/library/social/domain.lst

 

Коллеги, хотим поделиться простым способом реализации доступа к социально значимым ресурсам (далее по тексту СЗР) для отключенных абонентов.

Данная инструкция для маршрутизаторов МикроТик.

 

От себя хочу сказать, что очень много мнений по поводу СЗР. Но выполнять требования все равно придется, приоритет в реализации лучше отдать максимально простому способу как для себя, так и для абонента.

 

 

 

ОГЛАВЛЕНИЕ

1. Вариант реализации СЗР

2. Ответ в РКН о способе реализации СЗР

 

 

 

 

1. Как все это будет выглядеть?!

Выводим стандартную заглушку при отрицательном балансе. Снизу отображаем абоненту возможность перейти к перечню СЗР, при выполнении волеизъявления (как указано в законе). Акцептом является переход по ссылке. Чтобы не городить, это же ссылка переход на freeinternet.gosuslugi.ru. Вот такая маленькая хитрость.

Вот и наш перечень. Есть мнение, что необходимо хранить штампы «волеизъявления» абонента. Сделать это не сложно, хранить прямо в маленьком текстовике на микротике. Но как по мне, это лишняя информация.

Нажимаем на Вконтакте, все работает =)) Чудеса ;)

 

Приступим.

1. Добавляем в микротик скрипт (назовем его social) со следующим содержанием:

/tool fetch url="https://api.lightbilling.cloud/static/library/social/ip.lst" dst-path="ip.lst";
:delay 6s;

:set $ip [/file get ip.lst contents];

:while ([:len [:find $ip "\r" -1]] != 0) do={
  :set $ip ([:pick $ip 0 [:find $ip "\r" -1]] . "," . [:pick $ip ([:find $ip "\r" -1]+2) [:len $ip]]) ;
}

:set $ip [:toarray $ip];

:for i from=0 to=([:len $ip]-1) do={
  :do {/ip firewall address-list add address=[($ip->$i)] disabled="no" list="social";} on-error={}
  #:put ($ip->$i);
}

 

Скрипт выполняет загрузку актуального перечня IP адресов СЗР из облака LightBilling. Данные в облаке постоянно обновляются. Скрипт помещает IP адреса в address-list под именем social.

 

2. Добавляем scheduler, для автоматической выгрузки. Достаточно установить период раз в день.

/system scheduler add interval=1d name=social on-event="/sys scr run social;" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon starttime=startup

 

3. Добавляем разрешающее правило.

/ip firewall filter add action=accept chain=forward comment="\D1\EE\F6\E8\E0\EB\FC\ED\EE \E7\ED\E0\F7\E8\EC\FB\E5 \F0\E5\F1\F3\F0\F1\FB \E4\EB\FF \EE\F2\EA\EB\FE\F7\E5\ED\ED\FB\F5 \E0\E1\EE\ED\E5\ED\F2\EE\E2" dst-address-list=social

Подымаем правило на самый вверх в firewall. Небольшая ремарка, в качестве src лучше добавить adreess-list списка отключенных за неуплату.

 

4. Устанавливаем заглушку со ссылкой на freeinternet.gosuslugi.ru

/ip proxy access add action=deny comment="redirect" dst-address=0.0.0.0/0 redirect-to="api.lightbilling.cloud/stub/suspend/?social=1&url="

В качестве аргумента url= устанавливаем ссылку на страницу с ЛК.

 

 

2. Ответ в РКН о способе реализации СЗР

 

РКН просит отчитаться о проделанной работе. Если вы использовали предложенный вариант, можете скачать шаблон ответа (сзр.doc), заполнить его и отправить в РКН.

 

Edited July 8, 2022 by Кошачии ловец

[alibek]

У вас абоненты получают интернет через веб-прокси?

Не для всех это применимо.

[Кошачии ловец]

В 11.02.2022 в 13:33, alibek сказал:

У вас абоненты получают интернет через веб-прокси?

Не для всех это применимо.

Веб прокси используется для captive-portal. Все работает без прокси.

[Jora_1]

Сейчас многие браузеры работают через DOH по умолчанию, на сколько вероятно что каптив-портал откроется при DOH? Какова нагрузка на микрот при отработки веб-прокси если абонент начнёт спамить попыткой открытием веб-страниц? Как это всё будет работать, если к примеру у человека ранее не было инета и у него нет SSL-сертификатов для HTTP сайтов?

Edited February 11, 2022 by Jora_1

[sv-lex]

В 11.02.2022 в 11:52, Jora_1 сказал:

Сейчас многие браузеры работают через DOH по умолчанию, на сколько вероятно что каптив-портал откроется при DOH? Какова нагрузка на микрот при отработки веб-прокси если абонент начнёт спамить попыткой открытием веб-страниц? Как это всё будет работать, если к примеру у человека ранее не было инета и у него нет SSL-сертификатов для HTTP сайтов?

 

Задача реализовать требования закона, а не упростить доступ к халяве. Все эти проблемы только плюс.

[st_re]

В 11.02.2022 в 11:52, Jora_1 сказал:

Сейчас многие браузеры работают через DOH по умолчанию, на сколько вероятно что каптив-портал откроется при DOH? Какова нагрузка на микрот при отработки веб-прокси если абонент начнёт спамить попыткой открытием веб-страниц? Как это всё будет работать, если к примеру у человека ранее не было инета и у него нет SSL-сертификатов для HTTP сайтов?

 

ну ДОХ пока сам переключается на обычный ДНС, если не работает.. если ктото себе настроил не так, ну ок, не будет пользоваться халявным инетом.

 

а зачем человеку ssl сертификат для сайта иметь ранее ? сайт сам его отдаёт. ели есть связность то у человека будет сертификат от сайта, если нет связности то не будет, г как бы и не нужен.. всякие браузеры проверяющие crl или ocsp при отсутсвии стаплинга от сервера наверное обломаются.. ну так а вы чем помочь им хотите.. там целое министерство год рожало в муках. ну и опять же, православный хром и его клоны не проверяют.

[AKim]

другой вариант для тех кто использует HotSpot на микротике для ipoe, добавить ип в Walled garden IP.

Только в любом случае реализация выходит слишком простая. Доступ при нуле есть по умолчанию у всех, а надо чтобы они его брали на 24 часа и продляли, если нужно, каждые 24 часа.

 

В 11.02.2022 в 11:52, Jora_1 сказал:

Сейчас многие браузеры работают через DOH по умолчанию, на сколько вероятно что каптив-портал откроется при DOH? Какова нагрузка на микрот при отработки веб-прокси если абонент начнёт спамить попыткой открытием веб-страниц? Как это всё будет работать, если к примеру у человека ранее не было инета и у него нет SSL-сертификатов для HTTP сайтов?

многие сидят в соц сетях через моб приложение. Они даже не заметят, что интернет отключился.

Кстати в нагрузку к ВК идут ещё и одноклассники. Я когда проверял, ok открылись без проблем.

[sv-lex]

В 11.02.2022 в 14:50, AKim сказал:

другой вариант для тех кто использует HotSpot на микротике для ipoe, добавить ип в Walled garden IP.

Только в любом случае реализация выходит слишком простая. Доступ при нуле есть по умолчанию у всех, а надо чтобы они его брали на 24 часа и продляли, если нужно, каждые 24 часа.

 

многие сидят в соц сетях через моб приложение. Они даже не заметят, что интернет отключился.

Кстати в нагрузку к ВК идут ещё и одноклассники. Я когда проверял, ok открылись без проблем.

Начал тестировать через HotSpot у себя. Делаю роут пользователей с негативным депозитом на интерфейс с подянтым HotSpot, делаю user profile с keepalive timeout 24 часа. В настройках сервера Idle timeout 24 часа, в server profile разрешаю триал аккаунты с таймаутом 23:59:59 и Trial uptime reset 24 часа. Потом для пула адресов хотспот в фаерволе разрешаю ходить только к адресам из списка. Остается только сделать страничку с кнопкой получить доступ к сайтам, которая открывает триал доступ.  

[ne-vlezay80]

Можно на linux router'е зделать через tproxy.

[Saab95]

В 11.02.2022 в 14:50, AKim сказал:

многие сидят в соц сетях через моб приложение. Они даже не заметят, что интернет отключился.

Кстати в нагрузку к ВК идут ещё и одноклассники. Я когда проверял, ok открылись без проблем.

Так нужно давать доступ по запросу, а пока запрос не сделан - все блокировать. То есть пока абонент в ЛК не зайдет - все блокировать.

 

В 11.02.2022 в 14:50, AKim сказал:

Только в любом случае реализация выходит слишком простая. Доступ при нуле есть по умолчанию у всех, а надо чтобы они его брали на 24 часа и продляли, если нужно, каждые 24 часа.

 

Тут вместо Х.Х.Х.Х указываете IP вашего личного кабинета. В правиле блокировки делаете исключение, что бы не блокировалось промаркированное cabinet_m.

/ip firewall mangle
add action=mark-packet chain=prerouting new-packet-mark=cabinet_m2 passthrough=yes src-address-list=cabinet_2
add action=mark-packet chain=prerouting new-packet-mark=cabinet_m  passthrough=yes src-address-list=cabinet
add action=add-src-to-address-list address-list=cabinet address-list-timeout=10m chain=prerouting dst-address=Х.Х.Х.Х packet-mark=!cabinet_m2 src-address-list=list_balance_negative
add action=add-src-to-address-list address-list=cabinet_2 address-list-timeout=6h chain=prerouting dst-address=!Х.Х.Х.Х src-address-list=cabinet

В данном примере после того, как абонент что-то передаст в сторону Х.Х.Х.Х ему будет предоставлен доступ к ресурсам на 10 минут, а потом ему придется подождать 6 часов, прежде чем он снова сможет воспользоваться халявой.

 

Соответственно указываете везде 24 часа и дело в шляпе.

 

Желательно исключить возможность отправки пинга на адрес Х.Х.Х.Х, что бы ушлые абоненты не догадались запускать пинг, что бы никуда не заходить, или нечто подобное.

 

 

В 11.02.2022 в 11:52, Jora_1 сказал:

Какова нагрузка на микрот при отработки веб-прокси если абонент начнёт спамить попыткой открытием веб-страниц?

Не будет никакой загрузки, так у многих сделано, кто предоставляет доступ на микротике.

[Кошачии ловец]

В 11.02.2022 в 13:19, Кошачии ловец сказал:

2. Ответ в РКН о способе реализации СЗР

 

РКН просит отчитаться о проделанной работе. Если вы использовали предложенный вариант, можете скачать шаблон ответа (сзр.doc), заполнить его и отправить в РКН.

 

 

 

Сейчас РКН просит отчитаться о реализации СЗР. Подготовил шаблон ответа.

[kingleo]

а может есть у кого тоже самое, но для mikbill и cisco asr-1001x???

[dryukov]

В 05.03.2022 в 16:29, kingleo сказал:

а может есть у кого тоже самое, но для mikbill и cisco asr-1001x???

циска вышла из России вроде как.

[Барагоз]

В 11.02.2022 в 14:19, Кошачии ловец сказал:

Скрипт выполняет загрузку актуального перечня IP адресов СЗР из облака LightBilling.

А как долго будет работать эта функция при условии, что я LightBilling не пользуюсь? Т е как долго будет общедоступной?

 

Скрипт работает на 6.х. На OS 5.24 не работает. Пока не понял, почему. Почему не обновляюсь, не спрашивайте ) На одном определенном моем устройстве есть причины этого не делать.

[Кошачии ловец]

В 06.03.2022 в 00:30, Барагоз сказал:

А как долго будет работать эта функция при условии, что я LightBilling не пользуюсь? Т е как долго будет общедоступной?

 

Скрипт работает на 6.х. На OS 5.24 не работает. Пока не понял, почему. Почему не обновляюсь, не спрашивайте ) На одном определенном моем устройстве есть причины этого не делать.

Сервис LightBilling, уже работает несколько лет бесплатно, хорошо и надежно. Можете полностью доверять.

5.24 могут взломать ((((.

[Saab95]

В 06.03.2022 в 05:52, Кошачии ловец сказал:

5.24 могут взломать

Ничего там взломать не могут и никогда не могли. Достаточно отключить веб и всего делов.