Andrey75 Опубликовано 14 сентября, 2022 · Жалоба Всем доброго дня! есть схема работы на Hotspot с радиус биллинга. должников отправляет в отдельный firewall address-list. как организовать редирект подключенного абонента по https? пробовал : редиректа при просмотре страниц нет (все на https) при входе на http работает. Ка я понял для этого необходим сертификат, есть сертификат домена для https с поддоменами. Как возможно запустить схему редиректа должников? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 14 сентября, 2022 · Жалоба Сертификат, разумеется, нужен, устанавливается на роутер, после чего включается ip www-ssl сервис с указанием данного сертификата. Дальше через консоль в контексте профиля включается /ip hotspot profile set <имя профиля> login-by=https ssl-certificate=<CN сертификата>. Дальше идут нюансы: Для начала, роутер не влезет в ВЕСЬ HTTPS от клиента, особенно если там еще и DoH, как в современных браузерах. То есть все страницы гигантов вроде FAANG редиректить не будет в принципе, TLS error и все. Частично можно решить правилами файеволла/NAT с опцией redirect, заворачивая ВЕСЬ 443 на себя (есть специальная цепочка в файерволле hotspot под эти цели, пример смотрите в Manual:Customizing Hotspot - MikroTik Wiki ). После этого, вы обнаружите, что типичный гейфон/ведроид пытается открывать и держать несколько сотен соединений. Причем долбит, зачастую, как пулемёт. Все это будет падать в ваш captive portal. И если он на самом роутере, то вы, в лучшем случае, будете иметь постоянную серьезную нагрузку на CPU. В худшем у вас роутер просто склеит ласты, потому как вебсервис в нем предназначен админку отображать, а не для high-load. Потому лучше все-же делать redirect на какой-то сервер, способный выдержать тысячи подключений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 15 сентября, 2022 · Жалоба В 14.09.2022 в 13:16, jffulcrum сказал: Сертификат, разумеется, нужен, устанавливается на роутер, после чего включается ip www-ssl сервис с указанием данного сертификата. Дальше через консоль в контексте профиля включается /ip hotspot profile set <имя профиля> login-by=https ssl-certificate=<CN сертификата>. Дальше идут нюансы: Для начала, роутер не влезет в ВЕСЬ HTTPS от клиента, особенно если там еще и DoH, как в современных браузерах. То есть все страницы гигантов вроде FAANG редиректить не будет в принципе, TLS error и все. Частично можно решить правилами файеволла/NAT с опцией redirect, заворачивая ВЕСЬ 443 на себя (есть специальная цепочка в файерволле hotspot под эти цели, пример смотрите в Manual:Customizing Hotspot - MikroTik Wiki ). После этого, вы обнаружите, что типичный гейфон/ведроид пытается открывать и держать несколько сотен соединений. Причем долбит, зачастую, как пулемёт. Все это будет падать в ваш captive portal. И если он на самом роутере, то вы, в лучшем случае, будете иметь постоянную серьезную нагрузку на CPU. В худшем у вас роутер просто склеит ласты, потому как вебсервис в нем предназначен админку отображать, а не для high-load. Потому лучше все-же делать redirect на какой-то сервер, способный выдержать тысячи подключений. на одном все запустил, спасибо! на ruter OS 7.5 в профиле подключения не появляется галочка HTTPS redirect, через консоль тоже не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 сентября, 2022 · Жалоба @Andrey75 А ваши абоненты проводные или беспроводные? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 17 сентября, 2022 (изменено) · Жалоба hotspot на беспроводном, дальше есть и оптика и WiFi запустил все работает.СПАСИБО! в HOST пролазят адреса с маком роутера без домашнего ната и ошибки в логах: 78:8A:20:EA:93:68 (172.xx.xxx.xxx): internal error: login failed: failed to add address-list rule: already have such entry (6) закрыть интерфейс для сетти 192.168.0.0/16? /ip/firewall/filter> print Flags: X - disabled, I - invalid; D - dynamic 0 D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth chain=forward action=drop src-address=192.168.1.0/24 in-interface=ethe1111 log=no log-prefix="" добавил, но трафика по нему нет. Изменено 17 сентября, 2022 пользователем Andrey75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 30 марта (изменено) · Жалоба Здравствуйте! подскажите можно реализовать на микротике редирект через встроенный прокси на страницу сайта пользователем из адрес листа? например адреса из: OnLine попадают в интернет OffLine на страницу заглушки вне микротика не пойму как сделать редирект средствами ip/nat Изменено 30 марта пользователем Andrey75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 апреля · Жалоба Нужно делать редирект на порт веб прокси, а в самом прокси создать правило перенаправления на нужный ресурс (адрес сайта со страничкой). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey75 Опубликовано 9 апреля · Жалоба Цитата Нужно делать редирект на порт веб прокси, а в самом прокси создать правило перенаправления на нужный ресурс (адрес сайта со страничкой). так все работает. но только с без https сертификат на микротике стоит микротик редирект https умеет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...