[Lista ArNOG] Mikrotik con hotspot

Mariano Absatz - gmail el.baby en gmail.com
Vie Mayo 5 16:06:50 ART 2017 

¿Eduardo vengo a ser yo? :-P


-- 
Mariano Absatz


On 05/05/17 15:26, Marco Appendino wrote:
>
> ​Gracias a todos por las respuestas, la solución de incluir en Walled 
> Garden IP List ya la había planteado pero buscaba una solución mas 
> radical al problema, y por la forma de trabajar de ssl me temía que no 
> lo había y reafirmo mi postura con la explicación de Eduardo.​
>
>
> *Ing. Appendino Marco**
> *
> Centro Operación de Red - NOC
> Div. Gestión e Implantación Servicios de Datos
> Subgerencia de Infraestructura de Comunicaciones
> *Empresa Provincial de Energía de Córdoba*
> Av. Richeri 3850 - X5000EVX - Tel. 54 351 4296492/93
> ------------------------------------------------------------------------
> *De:* lista-bounces en arnog.com.ar <lista-bounces en arnog.com.ar> en 
> nombre de Jose Luque <jluque en telered.net.ar>
> *Enviado:* viernes, 5 de mayo de 2017 12:45
> *Para:* lista en arnog.com.ar
> *Asunto:* Re: [Lista ArNOG] Mikrotik con hotspot
> permitile en el "Walled Garden IP List" del Hotspot...
>
> permitile el acceso sin autenticar a "www.google.com.ar 
> <http://www.google.com.ar/>" o la pagina que quieras... (como para no 
> recibir quejas de que el HotSpot esta fucnionando mal) y cuando 
> quieran ingresar a otro portal... salta la solicitud de 
> autenticacion... si en definitiva google solo lo usan para buscar e 
> ingresar a alguna otra pagina...
>
> no se, digo, así lo puse yo... y problema resuelto...
>
> Saludos!
>
>
> --
> *Jose Luque**
> Tecnologia y Nuevos Servicios
> *
>
> ******
> **
>
> ***
> ***Email: jluque en telered.net.ar <mailto:jluque en telered.net.ar>**
> Tel. +54 (011) 4469.7450 int. 2406*
> *Directo +54 (011) *5171.5153
> *Av Pte Peron 1783 - San Miguel*
> Buenos Aires - ARGENTINA
> www.telered.com.ar <http://www.telered.com.ar/>
> *
>
> El 5 de mayo de 2017, 11:58, Eduardo Tealdi Saad <eduardots en amc.com.ar 
> <mailto:eduardots en amc.com.ar>> escribió:
>
>     Mas clara la explicacion imposible.
>
>
>     Un posible parche seria agregar www.google.com
>     <http://www.google.com/> al wallen-garden y rogar que la segunda
>     pagina que visiten tus usuarios no sea https.
>
>     Saludos Eduardo
>
>
>
>     ------------------------------------------------------------------------
>
>     *Eduardo Tealdi Saad*
>     Administrador de Red
>
>     +54 (220) 499-8100 Int.120
>     +549 (221) 643-4291
>     eduardots en amc.com.ar <mailto:eduardots en amc.com.ar>
>     	Cooperativa Mariano Acosta 	*Cooperativa Mariano Acosta*
>
>     Superi 660 - C.P.: 1723
>     Mariano Acosta, Bs.As.
>     +54 (220) 499-8100
>     www.marianoacosta.coop <http://www.marianoacosta.coop/>
>
>
>
>     El 5/5/2017 a las 11:24 a. m., Mariano Absatz - gmail escribió:
>>
>>
>>
>>     On 05/05/17 07:36, Marco Appendino wrote:
>>>
>>>
>>>>>>
>>>     Hola buen día, tengo un problema que hace unos meses no puedo
>>>     resolver.
>>>
>>>     Trabajo con mikrotik, en el cual tengo configurado un hotspot
>>>     con un disclaimer, el mismo tiene cargado un certificado ssl
>>>     verificado por COMODO CA.
>>>
>>>     El problema se genera cuando los usuarios se conectan a la red
>>>     mediante dispositivos móviles, los cuales trabajan con google
>>>     chrome y la pagina por defecto https://google.com
>>>     <https://google.com/>.
>>>
>>>     Antes de acceder a google se redirecciona al hotspot y es aquí
>>>     donde se produce el error. No se muestra la página con el
>>>     disclaimer.
>>>
>>>     Si alguien puede ayudarme agradezco su voluntad.
>>>
>>     Hola Marco.
>>
>>     A priori, tu problema no tiene solución y, salvo que aparezca y
>>     se difunda algún mecanismo de autorización de conexión a una red
>>     inalámbrica mejor que el dichoso "portal cautivo", sospecho que
>>     no la tendrá.
>>
>>     El problema es que el certificado que vos le compraste a COMODO
>>     debe ser para un nombre de dominio tuyo
>>     (portalcautivo.epec.com.ar <http://portalcautivo.epec.com.ar/>,
>>     wifi.epec.com.ar <http://wifi.epec.com.ar/>, ap.epec.com.ar
>>     <http://ap.epec.com.ar/>, o lo que sea). Obviamente, ni COMODO,
>>     ni nadie en su sano juicio te daría a vos un certificado para
>>     www.google.com <http://www.google.com/> (e igualmente, no te
>>     serviría del todo). El asunto es que vos configuraste un portal
>>     cautivo (no importa si con mikrotik, cisco o lo que sea) que hace
>>     que cualquiera que se conecte a tu red e intente una conexión web
>>     caiga en ese portal.
>>
>>     Eso lo logra el mikrotik mintiéndole al cliente con el DNS o con
>>     el ruteo. Es decir, se detecta una conexión nueva en el AP,
>>     cualquier consulta DNS que se reciba a través de esa conexión se
>>     le contesta con la IP del portal cautivo. Alternativamente,
>>     cualquier conexión al puerto 80 o 443 a cualquier IP, se la
>>     captura y se la rutea al portal cautivo que contesta como si
>>     fuera esa IP (no sé cuál de las dos estrategias usa mikrotik,
>>     pero no importa).
>>
>>     El asunto es que el dispositivo conectado (no importa si es una
>>     PC, un teléfono o una tostadora) cree estar estableciendo una
>>     conexión web con un sitio y en realidad está conectado a tu
>>     portal cautivo.
>>
>>     Si no hubiese SSL involucrado, no habría ningún problema. El tipo
>>     pone www.googe.com <http://www.googe.com/>, el portal cautivo
>>     hace de cuenta que es www.google.com <http://www.google.com/> y
>>     manda una redirección a la IP (o el nombre) del portal y desde
>>     ahí sigue. El problema cuando usás SSL es que el teléfono (o la
>>     PC o la tostadora) al intentar establecer una conexión segura con
>>     www.google.com <http://www.google.com/> (o cualquier otro sitio
>>     con https), durante el /handshake/ le pide al servidor el
>>     certificado, cuando tu servidor le manda el certificado que
>>     tiene, el teléfono compara y ve que en el campo CN en lugar de
>>     decir www.google.com <http://www.google.com/> dice
>>     portalcautivo.epec.com.ar <http://portalcautivo.epec.com.ar/> por
>>     lo cual supone (y tiene razón) que el teléfono /no obtuvo/ la
>>     página de un servidor autorizado por Google y lo que hace es
>>     informarle eso al usuario.
>>
>>     Eso /debe/ funcionar así.
>>
>>     La única solución es convencer a los usuarios que vayan por las
>>     opciones avanzadas y le "crean" al certificado (no recomendable)
>>     o decirles que visiten una página que NO tenga SSL (cada vez son
>>     menos) o, quizás la mejor opción, decirle que vayan a una página
>>     tuya propia (como ser www.epec.com.ar <http://www.epec.com.ar/>)
>>     de la que, o bien tengas el nombre en el certificado, o bien vos
>>     sepas que no usa SSL.
>>
>>     -- 
>>     Mariano Absatz
>
>

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20170505/50dd302a/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/png
Size: 2500 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20170505/50dd302a/attachment-0001.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/jpeg
Size: 26808 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20170505/50dd302a/attachment-0001.jpe>

Más información sobre la lista de distribución Lista