Ανοίγω νέο θέμα εδώ... για να δούμε την διαδικασία... και το τι επιλογές υπάρχουν, ώστε να έχουμε στο hotspot https login με ασφαλή σύνδεση και πράσινη μπάρα.

η μικροτικ μας λέει αυτά (https://wiki.mikrotik.com/wiki/Manual:Hotspot_HTTPS_example)...

για δώστε τα φώτα σας οι ειδικοί!

Για ποιό λόγο το κάνεις?
Μόνο για την πράσινη μπάρα ή για να μήν μπορεί κάποιος να κλέψει τον κωδικό?

Νομίζω απο άποψη ασφάλειας το hotspot με ελεύθερο ασύρματο (χωρίς WPA2/AES) είναι πολύ τρύπιο.
Είχα κάνει λίγο google "mikrotik hotspot hack" και βρήκα πολλά αποτελέσματα.

Για ποιό λόγο το κάνεις?
Μόνο για την πράσινη μπάρα ή για να μήν μπορεί κάποιος να κλέψει τον κωδικό?

Νομίζω απο άποψη ασφάλειας το hotspot με ελεύθερο ασύρματο (χωρίς WPA2/AES) είναι πολύ τρύπιο.
Είχα κάνει λίγο google "mikrotik hotspot hack" και βρήκα πολλά αποτελέσματα.


γιατί αν το κάνεις με κωδικό WPA2/AES... τον έχει όλοι η γειτονιά σου... σε χρόνο τετε... ενώ με το hotspot έχει ο κάθε χρήστης τον δικό του... και γενικά ελέγχεις ποιος μπαίνει!

πιο πολύ για να ξέρεις ποιος είναι μέσα...τρέχεις το hotspot. τιποτα άλλο!

Εμ αυτό σου λέω.
Με hotspot κάνεις 5-6 βήματα και μπήκες

Με wpa2 πρέπει να στον πεί κάποιος.

Και τουλάχιστον με wpa2 αλλάζεις τον κωδικό και δεν μπαίνει κανένας αν δε θέλεις. Με hotspot ότι και να κάνεις θα μπούν!

Το https γιατί το θές?

Εμ αυτό σου λέω.
Με hotspot κάνεις 5-6 βήματα και μπήκες

Με wpa2 πρέπει να στον πεί κάποιος.

Και τουλάχιστον με wpa2 αλλάζεις τον κωδικό και δεν μπαίνει κανένας αν δε θέλεις. Με hotspot ότι και να κάνεις θα μπούν!

Το https γιατί το θές?


γιατί σε κάποιες συσκευές... δεν ανοίγει αυτόματα η login page λόγο ότι έχουν αρχική κάποια με https... και πρέπει να βάλεις κάποια χωρίς... ώστε να σου την εμφανίσει!

εκτός αν κάνω κάτι λάθος!

γιατί σε κάποιες συσκευές... δεν ανοίγει αυτόματα η login page λόγο ότι έχουν αρχική κάποια με https... και πρέπει να βάλεις κάποια χωρίς... ώστε να σου την εμφανίσει!

εκτός αν κάνω κάτι λάθος!

δε νομίζω να ισχύει αφού στο dstnat έχει redirect για 80 και 443

δε νομίζω να ισχύει αφού στο dstnat έχει redirect για 80 και 443

ξανα έτυχε χτες... σε κινητό samsung... που δεν μπορούσε να συνδεθεί...

στο ΝΑΤ αυτά έχει μέσα...

193089

φαίνεται να δουλεύει σωστά
ο redirect 443 μετράει κανονικά

η συσκευή πρώτη φορά προσπαθούσε?
(όχι ότι γνωρίζω τίποτα απο hotspot!)

φαίνεται να δουλεύει σωστά
ο redirect 443 μετράει κανονικά

η συσκευή πρώτη φορά προσπαθούσε?
(όχι ότι γνωρίζω τίποτα απο hotspot!)

μα για να δουλέψει ο redirect 443 θα πρέπει να είναι και τσεκαρισμένο το https στο hotspot!

η συσκευή έκανε αρκετές προσπάθειες... μέχρι που το κάνα χειροκίνητα.

- - - Updated - - -

νταξει για μένα... θα έπρεπε να έχει βρει τρόπο η μικροτικ... ώστε να υπάρχει έτοιμο... χωρίς extra domain κτλ.

μα για να δουλέψει ο redirect 443 θα πρέπει να είναι και τσεκαρισμένο το https στο hotspot!

η συσκευή έκανε αρκετές προσπάθειες... μέχρι που το κάνα χειροκίνητα.

- - - Updated - - -

νταξει για μένα... θα έπρεπε να έχει βρει τρόπο η μικροτικ... ώστε να υπάρχει έτοιμο... χωρίς extra domain κτλ.

ότι και να κάνεις αν δεν ανοίξει ο mini browser του κινητού για να σε πάει κατευθείαν στο hotspot, θα πρέπει να ζητήσεις http σελίδα για να σε κάνει redirect.
και αυτό δεν είναι θέμα Mikrotik ούτε οποιουδήποτε vendor, είναι θέμα του πρωτοκόλου https και των browsers.
Σε https είτε δεν θα κάνει καθόλου redirect είτε θα βγάλει warning για πιθανό man in the middle attack.
Και ssl να έχεις αν εγώ ζητάω https://facebook.com ο browser περιμένει ένα πιστοποιητικό για το facebook.com, αν του έρθει ένα για το mydomain.gr θα μπλοκάρει τη σύνδεση.

Καλημέρα σε όλους.
Επειδή και εμένα με απασχολεί πολύ το θέμα, και μετά από έρευνα, κατέλειξα ότι πρέπει να εκδοθεί ένα πιστοιποιήτικό από έναν Trusted CA στην IP του hotspot, βέβαια, δεν το έχω δοκιμάσει.
Σίγουρα δεν παίζει με self signed. - Ο browser ενημερώνει με Warning αν και η ανακατεύθυνση γίνεται σωστά (δοκιμασμένο).
Επείσης υπάρχουν προτάσεις που αναφέρουν άνοιγμα στο Walledgarden τις υπηρεσίες της google, αν και δεν μου φαίνεται πολύ αποδοτικό.
To redirect, γίνεται σωστά και με https.
Αν κάποιος μπορεί να δοκιμάσει το trusted CA cert για να μας πει αν γίνεται και σωστά ο εντοπισμός captive portal απο συσκευές;

Επειδή το έχω ψάξει το θέμα, σου λέω πως τα πράγματα δεν είναι και τόσο απλά στο θέμα του hotspot με ssl ανακατεύθυνση.

1ο) Τι διεύθυνση θα έχεις στο hotspot gateway; Υποθέτω όπως όλοι μας private. Σε private διεύθυνση πως θα πάρεις πιστοποίηση;

2o) Ακόμα και να έχεις πιστοποίηση για την σελίδα που κάνει redirect ο hotspot gateway, τι νομίζεις ότι θα συμβεί όταν ένας χρήστης που ακόμα δεν έχει κάνει login και καλέσει τον google με https; Ο browser του χρήστη ενώ θα περιμένει να πάρει το πιστοποιητικό του google, εσύ θα του στέλνεις το δικό σου...

Μπορείς να ορίσεις στο hotspot dns name πχ hotspot.mydomain.gr και να αγοράσεις πιστοποιητικό για αυτό. Και πάλι όμως σε σελίδες που έχουν HSTS δεν θα γίνει redirect.

Εγώ πιστεύω ότι θα έπρεπε να το λύσει η μικροτικ αυτό το θέμα... εφόσον το παρέχει.

Τι να λύσει ρε συ; Είναι θέμα ασφαλείας που προέρχεται από το https. Δεν έχει καμία σχέση η όποια MikroTik με αυτό.

Τι να λύσει ρε συ; Είναι θέμα ασφαλείας που προέρχεται από το https. Δεν έχει καμία σχέση η όποια MikroTik με αυτό.

θα μπορούσε πχ... μέσω μιας cloud υπηρεσίας να κάνεις login μέσω σελίδας που έχει https...

Αντε παλι. Το πρόβλημα δεν είναι αν έχει η σελίδα σου https. Αυτό λύνεται πολύ εύκολα. Το θέμα είναι τι έχει η σελίδα που ζητάει ο πελάτης κι εσύ πας να κάνεις redirect στη δική σου.

Αντε παλι. Το πρόβλημα δεν είναι αν έχει η σελίδα σου https. Αυτό λύνεται πολύ εύκολα. Το θέμα είναι τι έχει η σελίδα που ζητάει ο πελάτης κι εσύ πας να κάνεις redirect στη δική σου.

πόσες περιπτώσεις υπάρχουν? δηλαδή.. τι θα μπορούσε να έχει ο πελάτης?

1) Να ζητήσει μια σελίδα http όπου θα γίνει κανονικά redirect.
2) να ζητήσει μια σελίδα https η οποία δεν έχει HSTS όπου αν εσύ έχεις ssl το redirect θα γίνει κανονικα
3) να ζητήσει μια σελίδα https η οποία έχει και HSTS όπου το redirect δεν θα γίνει ποτέ είτε έχεις ssl είτε οχι

1) Να ζητήσει μια σελίδα http όπου θα γίνει κανονικά redirect.
2) να ζητήσει μια σελίδα https η οποία δεν έχει HSTS όπου αν εσύ έχεις ssl το redirect θα γίνει κανονικα
3) να ζητήσει μια σελίδα https η οποία έχει και HSTS όπου το redirect δεν θα γίνει ποτέ είτε έχεις ssl είτε οχι

άρα δηλαδή... ο πρόβλημα είναι μόνο στο 3....

ωραία... δεν ξεπερνιέται αυτό? τα υπόλοιπα συστήματα hotspot... τι κάνουν σε αυτές τις περιπτώσεις?

Τίποτα. Δεν μπορούν να κάνουν τίποτα.

Θα μπορούσε να ξεπεραστεί το πρόβλημα αυτό μόνο αν υπήρχε σωστή υποστήριξη με κοινό πρωτόκολλο από όλα τα λειτουργικά στο detect portal, που δυστυχώς αυτό δεν γίνεται. Το κάθε λειτουργικό έχει το δικό του τρόπο, που κάποιες φορές δουλεύει και κάποιες όχι.

Αυτήν την 3η περίπτωση... πια λειτουργικά την έχουν?

Όλα τα υπάρχοντα λειτουργικά έχουν τον δικό τους τρόπο να ανιχνεύουν την hotspot σύνδεση. Αν κάνεις ένα ψάξιμο για Captive Portal detect, θα βρεις τους τρόπου που δουλεύουν τα λειτουργικά.