Jump to content
Калькуляторы

Редирект HTTPS на микротике

Reply to this topic

Andrey75   

Andrey75
Posted

Всем доброго дня!
есть схема работы на Hotspot с радиус биллинга.

должников отправляет в отдельный firewall address-list.

как организовать редирект подключенного абонента по https?
пробовал :

image.thumb.png.95d7996a3d0e229c2e258f908ff7470b.png

 

редиректа при просмотре страниц нет (все на https) при входе на http работает.
Ка я понял для этого необходим сертификат, есть сертификат домена для https с поддоменами. 

 

Как возможно запустить схему редиректа должников?

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted

Сертификат, разумеется, нужен, устанавливается на роутер, после чего включается ip www-ssl сервис с указанием данного сертификата. Дальше через консоль в контексте профиля включается /ip hotspot profile set <имя профиля> login-by=https ssl-certificate=<CN сертификата>. Дальше идут нюансы:

 

Для начала, роутер не влезет в ВЕСЬ HTTPS от клиента, особенно если там еще и DoH, как в современных браузерах. То есть все страницы гигантов вроде FAANG редиректить не будет в принципе, TLS error и все. Частично можно решить правилами файеволла/NAT с опцией redirect, заворачивая ВЕСЬ 443 на себя (есть специальная цепочка в файерволле hotspot под эти цели, пример смотрите в Manual:Customizing Hotspot - MikroTik Wiki ).

 

После этого, вы обнаружите, что типичный гейфон/ведроид пытается открывать и держать несколько сотен соединений. Причем долбит, зачастую, как пулемёт. Все это будет падать в ваш captive portal. И если он на самом роутере, то вы, в лучшем случае, будете иметь постоянную серьезную нагрузку на CPU. В худшем у вас роутер просто склеит ласты, потому как вебсервис в нем предназначен админку отображать, а не для high-load. Потому лучше все-же делать redirect на какой-то сервер, способный выдержать тысячи подключений.

Share this post

Link to post
Share on other sites

Andrey75   

Andrey75
Posted
В 14.09.2022 в 13:16, jffulcrum сказал:

Сертификат, разумеется, нужен, устанавливается на роутер, после чего включается ip www-ssl сервис с указанием данного сертификата. Дальше через консоль в контексте профиля включается /ip hotspot profile set <имя профиля> login-by=https ssl-certificate=<CN сертификата>. Дальше идут нюансы:

 

Для начала, роутер не влезет в ВЕСЬ HTTPS от клиента, особенно если там еще и DoH, как в современных браузерах. То есть все страницы гигантов вроде FAANG редиректить не будет в принципе, TLS error и все. Частично можно решить правилами файеволла/NAT с опцией redirect, заворачивая ВЕСЬ 443 на себя (есть специальная цепочка в файерволле hotspot под эти цели, пример смотрите в Manual:Customizing Hotspot - MikroTik Wiki ).

 

После этого, вы обнаружите, что типичный гейфон/ведроид пытается открывать и держать несколько сотен соединений. Причем долбит, зачастую, как пулемёт. Все это будет падать в ваш captive portal. И если он на самом роутере, то вы, в лучшем случае, будете иметь постоянную серьезную нагрузку на CPU. В худшем у вас роутер просто склеит ласты, потому как вебсервис в нем предназначен админку отображать, а не для high-load. Потому лучше все-же делать redirect на какой-то сервер, способный выдержать тысячи подключений.

на одном все запустил, спасибо!
на ruter OS 7.5 в профиле подключения не появляется галочка HTTPS redirect, через консоль тоже не хочет.

Share this post

Link to post
Share on other sites

Andrey75   

Andrey75
Posted (edited)

hotspot на беспроводном, дальше есть и оптика и WiFi

запустил все работает.СПАСИБО!

 

в HOST пролазят адреса с маком роутера без домашнего ната

image.png.7fffaaf885062b8c6a70f36aa4692971.png

 

и ошибки в логах:
78:8A:20:EA:93:68 (172.xx.xxx.xxx): internal error: login failed: failed to add address-list rule: already have such entry (6)

 

закрыть интерфейс для сетти 192.168.0.0/16?

 

/ip/firewall/filter> print
Flags: X - disabled, I - invalid; D - dynamic 
 0  D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth 
 

chain=forward action=drop src-address=192.168.1.0/24 in-interface=ethe1111 log=no log-prefix=""

 

добавил, но трафика по нему нет.

Edited by Andrey75

Share this post

Link to post
Share on other sites

Andrey75   

Andrey75
Posted (edited)

Здравствуйте!

подскажите можно реализовать на микротике редирект через встроенный прокси на страницу сайта пользователем из адрес листа?

например адреса из:

OnLine попадают в интернет

OffLine на страницу заглушки вне микротика

 

не пойму как сделать редирект средствами ip/nat

 

Edited by Andrey75

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Нужно делать редирект на порт веб прокси, а в самом прокси создать правило перенаправления на нужный ресурс (адрес сайта со страничкой).

Share this post

Link to post
Share on other sites

Andrey75   

Andrey75
Posted
Цитата

Нужно делать редирект на порт веб прокси, а в самом прокси создать правило перенаправления на нужный ресурс (адрес сайта со страничкой).

так все работает. но только с без https
сертификат на микротике стоит

микротик редирект https умеет?

 

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Mikrotik коммутаторы и маршрутизаторы