Я хуй знает, че они не поправят никак

ну мы не берем HSTS - там все предельно ясно

Я хуй знает, че они не поправят никак

Простите, а как?

ВОт только хотел спросит

А как это попроавить

Если сертификат нужен один, а сайт у тебя другой?

Там и без HSTS вариантов нема

Там и без HSTS вариантов нема

То есть единственный верный способ - это просто закрывать 443 порт для всего что не в walled garden'e?

То есть единственный верный способ - это просто закрывать 443 порт для всего что не в walled garden'e?

ну можно и не закрывать. Юзер в любом случае обломится

Простите, а как?

302 засылать

302 засылать

Как в случае с редиректом через login.html?

так что, кто то еще верит что оно качнет 8G?

https://routerboard.com/CCR1036-8G-2SplusEM В табличке с тестами качает больше 8G при некоторых условиях ?

302 засылать

Чтобы заслать 302, нужно для начала распарсить урл. А с этим засада.

И да, хотспот это не 302, вам TLS нужно установить - а с кем

https://routerboard.com/CCR1036-8G-2SplusEM В табличке с тестами качает больше 8G при некоторых условиях ?

да это я видел, ну ничё, скоро будут практически результаты видимо. Посмотрим до куда проца хватит

https://routerboard.com/CCR1036-8G-2SplusEM В табличке с тестами качает больше 8G при некоторых условиях ?

вы понимаете разницу в НАТировании 8g и роутинге?

Чтобы заслать 302, нужно для начала распарсить урл. А с этим засада.

Че?

Чтобы заслать 302, нужно для начала распарсить урл. А с этим засада.

Окей, а заголовок с названием домена тоже шифруется?

Я вот тут что то пропустил, видимо

Нахера что-то парсить? На любой запрос отсылаешь пакет с заголовком 302

Окей, а заголовок с названием домена тоже шифруется?

Вы максимум вытащиет SNI. Ну т.е. то что серт показывает без вскрытия.

Нахера что-то парсить? На любой запрос отсылаешь пакет с заголовком 302

Покажите хоть один работающий с https хотспот

Не тупо редирект, а хотспот. Вам ведь еще WG надо отрабатывать

Логика работы на данный момент такая: пользователь едет на google.com и просит его сертификат, микрот его редиректит, и пользователь лезет на другой адрес, но его браузер все еще просит SSL с google.ru - верно?

Покажите хоть один работающий с https хотспот

Чилспот, любой цисковый

Чилспот, любой цисковый

вот прям работает без варнингов?

Щаз. Цисковый хотспот точно так же ругается на серты

Проверено

Логика работы на данный момент такая: пользователь едет на google.com и просит его сертификат, микрот его редиректит, и пользователь лезет на другой адрес, но его браузер все еще просит SSL с google.ru - верно?

Микрот гуглом представляется

Вылетает эксепшн и привет

Микрот гуглом представляется

каким образом?

вот прям работает без варнингов?

Да

Да

пруф скрин, где будет криптовая картинка гугла, с содержимым не гугла

каким образом?

Все Днс запросы на себя замыкает

Все Днс запросы на себя замыкает

как вы этим ssl обманите?

Микрот гуглом представляется

Простите, а как вы представитесь гуглом, не предъявив серта?

Не про микротик, а про методологию

Нашёл вот такую статью

И чо?

https://m.habrahabr.ru/post/272733/

пруф скрин, где будет криптовая картинка гугла, с содержимым не гугла

А вот и весь смысл в том, что при запросе сайта неавторизованный зользователь РЕДИРЕКТИТСЯ

https://m.habrahabr.ru/post/272733/

это ж фильтрация

Если как бы есть фильтрация, можно ли редиректить?

https://m.habrahabr.ru/post/272733/

Там бампинг, т.е. дальше SNI он не смотрит

А вот и весь смысл в том, что при запросе сайта неавторизованный зользователь РЕДИРЕКТИТСЯ

вы попробуйте это сделать вначале

вы попробуйте это сделать вначале

Уже делаю

Доделываю точнее

Только не на микротике, а под опенвртой

Доделываю точнее

ждём видео

Только не на микротике, а под опенвртой

да пофиг

А вот и весь смысл в том, что при запросе сайта неавторизованный зользователь РЕДИРЕКТИТСЯ

У вас пользователь заходя на гугл ожидает https-сессию. Внутри которой да, может быть 302

ждём видео

Ок

и да, вы же понимаете, что никаких самоподписанных сертов в данном случае быть не может в принципе?

Чилспот, любой цисковый

Я смотрел chillspot и coovachill - там тоже самое.

У вас пользователь заходя на гугл ожидает https-сессию. Внутри которой да, может быть 302

Ещё раз повторяю. На любой запрос http/https непвториз пользователя, мы генерируем пакет с 302 заголовком

и да, вы же понимаете, что никаких самоподписанных сертов в данном случае быть не может в принципе?

ну есть же letsencrypt)

и да, вы же понимаете, что никаких самоподписанных сертов в данном случае быть не может в принципе?

не подсказывай

ну есть же letsencrypt)

А вы через LE звёздочку получите?

грабли - они придуманы чтобы на них наступать. Ждём

По вашему как работают DPI от хуёвых сайтов роскомпозора?

По вашему как работают DPI от хуёвых сайтов роскомпозора?

с варнингами на https

По вашему как работают DPI от хуёвых сайтов роскомпозора?

роскомпозор до сих пор горит желанием заполучить SSL сертификаты всего и вся)

с варнингами на https

А вот хуй

Ещё раз повторяю. На любой запрос http/https непвториз пользователя, мы генерируем пакет с 302 заголовком

Я реально с удовольствием посмотрю. И вдвойне посмотрю, как в таких условиях реализовать WG, который тащем-та неотъемлемая часть хотспота

с варнингами на https

билайн, например, работает без варнингов

с варнингами на https

Ну почему. Инжектится звёздочка, звёздочка разливается через GPO...

Профит!

ERROR: S client not available

я тоже с радостью научусь чему то новому

вот прям все ждем)

Ну почему. Инжектится звёздочка, звёздочка разливается через GPO...

в домене я умею =)

Ну ок! Мониторьте. http://wifisocial.ru Как появятся слова про мультивендорность, продолжим дискуссию

Ну ок! Мониторьте. http://wifisocial.ru Как появятся слова про мультивендорность, продолжим дискуссию

А при чём тут мультивендорность? Ещё раз: вы готовы на любом хотспота (чилли, циска, микрот, не важно) предоставить видео, при котором пользователь, пройда на любой https сайт (явно https) без ворнингов и эксепшенов будет редиректнут на вашу welcome page?

Притом без установки каких-либо корневых сертов на клиент

А при чём тут мультивендорность? Ещё раз: вы готовы на любом хотспота (чилли, циска, микрот, не важно) предоставить видео, при котором пользователь, пройда на любой https сайт (явно https) без ворнингов и эксепшенов будет редиректнут на вашу welcome page?

Поперёк мои сообщения читаете? Я говорю же, доделываю. Как сделаю, на этом сайте сразу появится инфо про мультивендорность

сейчас ещё станет поппулярным hsts тогда, вообще вариантов не останется

сейчас ещё станет поппулярным hsts тогда, вообще вариантов не останется

Уже активно набирает оборты

Ну и да, раз уж у вас не просто визитка, а ещё и номер телефона можно ввести, то неплохо бы к сайту https прикрутить :)

сейчас ещё станет поппулярным hsts тогда, вообще вариантов не останется

Да собственно уже... учитывая у какого количества человек стартовой страницей прописан гугл...

Притом без установки каких-либо корневых сертов на клиент

кстати, мы с вами год назад обсуждали заглушку для CNA на iOS. Там была реализация через триалку. А вы не пробовали не через триалку, а через success в заголовке? Что бы даже на мека на секундный доступ не было?

Сайт делал пидарас криворукий, щас найду нормального чела и переделаем. Все как всегда быстро и из говна и палок

кстати, мы с вами год назад обсуждали заглушку для CNA на iOS. Там была реализация через триалку. А вы не пробовали не через триалку, а через success в заголовке? Что бы даже на мека на секундный доступ не было?

CNA это убогое криворукое поделие, которое, к тому же, в разных iOS работает по-разному. В итоге других рабочих вариантов не нашёл, а потом и тема загнулась

CNA это убогое криворукое поделие, которое, к тому же, в разных iOS работает по-разному. В итоге других рабочих вариантов не нашёл, а потом и тема загнулась

ну вот я на данный момент успешно работаю с триалкой и переписываю пот success

потому что удручает меня эта дырка в несколько секунд, которая идет вразрез с законодательством

Сайт делал пидарас криворукий, щас найду нормального чела и переделаем. Все как всегда быстро и из говна и палок

Кстати вопрос в сторону: а вы как соцсети фильтруете? по IP? они же в WG должны быть, если логин через них

Кстати вопрос в сторону: а вы как соцсети фильтруете? по IP? они же в WG должны быть, если логин через них

а в чем проблема walled garden? зачем ip?

ну вот я на данный момент успешно работаю с триалкой и переписываю пот success

Если поделитесь кодом - я буду только рад :) ну или расскажете, как сделали.

Кстати вопрос в сторону: а вы как соцсети фильтруете? по IP? они же в WG должны быть, если логин через них

Пока топорно в WG.

Если поделитесь кодом - я буду только рад :) ну или расскажете, как сделали.

через триалку или через success?

Можно очень до ума довести через тот же wg

а в чем проблема walled garden? зачем ip?

Ну для логина через соцсеть она должна быть в WG. Но открывать по ip ко всему ВК - это как-то некомильфо

Можно очень до ума довести через тот же wg

там https, в этом и проблема :)

Там вроде как l7

Не работает

Проверено

Ок, завтра гляну

через триалку или через success?

Давайте в личку

Я тут сделал чуть по-другому. У меня для неизвестных вообще пользователей используется fw и у них только сайт авторизации с доступом к смс/звонку доступен.

Какая же пиздатая мне идея по поводу сквида пришла! Если сработает, прям кайфец будет

Какая же пиздатая мне идея по поводу сквида пришла! Если сработает, прям кайфец будет

я уже давно мучаю)