Hotspot com certificado digital

Olá pessoal, blz!

Estou com um projeto de rede para um hotel com hotspot, porém estou tendo problemas com sites HTTPS. Quando alguém tentar acessar algum site com HTTPS antes de logar o navegador retorna erro e não redireciona para a pagina de login. Parece que isso é uma falha do mikrotik.

Achei vídeos ensinando a resolver o problema com o openssl, porém o navegar retorna um erro informando que esse a assinatura desse certificado não é segura. Ai o hospede teria que concordar e continuar navegando. Openssl funciona mais não é o ideal, já que a grande maioria dos usuário iniciam a navegação pela pesquisa do google (HTTPS) ou Facebook (HTTPS) e que ninguém ler a msg de erro, só vão disser que a internet não funciona.

Então eu aproveitei uma promoção do Go Daddy, Certificado por R$ 13,90. Imaginando que o certificado é para o domínio e não para o IP, fiz tudo o procedimento configurando no meu servidor (ex.: hs.meudominio.com) depois copiei os arquivos para o Mikrotik, também com o domínio hs.meudominio.com, e claro apaguei o subdominio do meu servidor. Mas não deu certo, bloqueia a navegação no site com HTTPS.

Então eu pergunto, como consigo instalar um certificado assinando pela Go Daddy ou qualquer outra empresa no meu Mikrotik?

Agradeço pela atenção de todos

Tem tempo que não trabalho com Hotspos mais se não me engano para resolver este problema você apenas precisa Apenas setar um nome em DNS name que já resolve este problema.


att,
wanderson Costa
Consultoria e projetos wireless
[email protected] /Skype: wanderson_costa2012

Já esta setado...

Fiz um certificado free (https://buy.wosign.com/free/) e também não entra

A msg de erro é a mesma que da quando uso o certificado assinado pela Go Daddy

Sua conexão não é particular

Invasores podem estar tentando roubar suas informações de www.google.com.br (por exemplo, senhas, mensagens ou cartões de crédito).
NET::ERR_CERT_COMMON_NAME_INVALID

O problema são os celulares. Muitas pessoas nem sabem para que serve um navegador. Acreditam que toda comunicação da internet esta confinada em aplicativos das redes sociais. O cara entra na sua rede e reclama que o whattsapp não funciona, que esta com problemas de rede. Alguns celulares criam uma notificação informando que a rede exige credenciais e ao clicar em tal notificação o usuário é direcionado para a página de login. Observei que alguns modeles de celular abrem a página de hotspot logo após a conexão ao ponto de acesso.
As operadas vendem acesso wifi em aeroportos. Dê uma espiada em como eles fazem para resolver o "problema". Outra solução seria comprar um certificado digital, não sei como foi a sua negociação, mas se deseja evitar dores de cabeça inclua o preço do certificado no seu projeto.

Não há como solucionar esse "problema", não importa o que façam. Não é um erro no sistema da MikroTik, é somente o SSL/TLS funcionando como deveria.

Basicamente, quando um usuário não autenticado tenta navegar, a RB vai redirecioná-lo (com dst-nat) para o servidor web que contém os arquivos do hotspot (e só então o usuário é redirecionado, por meio de recursos do HTTP, para a página de login). Nesse momento, a RB responderá pelo domínio redirecionado, mas há um problema: você não é dono de nenhum desses domínios (google.com.br, facebook.com, youtube.com, etc.), então você não tem um certificado SSL/TLS para ele e nem pode obter um, porque apenas o dono do domínio pode fazê-lo.

O certificado SSL/TLS que você precisa não é para o domínio do hotspot, se usar, é para o domínio redirecionado. Essa configuração de autenticação HTTPS do hotspot serve apenas para criptografar os dados de login e senha inseridos, evitando alguém obtê-los por sniffing.

Até há uma solução para esse "problema", mas é impossível: você precisaria de um certificado SSL/TLS wildcard, válido para todos domínios na Internet. É claro que você nunca vai obter um, pois seria uma falha de segurança catastrófica para toda a Internet, nenhuma empresa emite isso (talvez a NSA ou outros órgãos de segurança do tipo tenham algum, para fins de espionagem).

Eu comprei o certificado da Go Daddy...
O Chrome Bloqueia o redirecionamento para a tela de login, o Edger da a opção de salvar o certificado em alguma lista (não lembro o que dizia na msg) e funciona.

Mas pelo que TsouzaR falou, não tem solução.

Anexo 62795Anexo 62796Anexo 62797Anexo 62798Anexo 62799

Desculpe a ignorância, mas não tem como redirecionar https para http? Pelo menos os principais que você setar?

cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando

Apanhei com isso na minha casa. Ao comprar um 3Com sem wireless, usei um roteador para poder usar em notes, celulares, tablets...
Quando tentava acessar, redes sociais, browser, google play etc vinha aquela mensagem, " ERROR 404" e na janela fica como sem internet, desligava; ao ligar tudo normal. " e agora José?
No desk top tudo normal, apesar de estar conectado diretamente ao 3Com, então o problema é na rede wireless, cabo conectado no roteador, OK. mais essa.
Só resolvi, desativando o DHCP no 3Com, e o Multilaser em bridge, na realidade desativei também o DHCP dele.

Citação:

---

Postado originalmente por Pirigoso

cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando

---

Eu comprei o certificado pelo Go Daddy e já fiz o redirecionamento de porta, e mesmo assim não funcionou.

Não tenho muita experiencia com Mikrotik, posso está fazendo algo errado. Vc tem algum tutorial de como fazer isso?

Citação:

---

Postado originalmente por willmartins82

Olá pessoal, blz!

Estou com um projeto de rede para um hotel com hotspot, porém estou tendo problemas com sites HTTPS. Quando alguém tentar acessar algum site com HTTPS antes de logar o navegador retorna erro e não redireciona para a pagina de login. Parece que isso é uma falha do mikrotik.

Achei vídeos ensinando a resolver o problema com o openssl, porém o navegar retorna um erro informando que esse a assinatura desse certificado não é segura. Ai o hospede teria que concordar e continuar navegando. Openssl funciona mais não é o ideal, já que a grande maioria dos usuário iniciam a navegação pela pesquisa do google (HTTPS) ou Facebook (HTTPS) e que ninguém ler a msg de erro, só vão disser que a internet não funciona.

Então eu aproveitei uma promoção do Go Daddy, Certificado por R$ 13,90. Imaginando que o certificado é para o domínio e não para o IP, fiz tudo o procedimento configurando no meu servidor (ex.: hs.meudominio.com) depois copiei os arquivos para o Mikrotik, também com o domínio hs.meudominio.com, e claro apaguei o subdominio do meu servidor. Mas não deu certo, bloqueia a navegação no site com HTTPS.

Então eu pergunto, como consigo instalar um certificado assinando pela Go Daddy ou qualquer outra empresa no meu Mikrotik?

Agradeço pela atenção de todos

---

Não é falha do Mikrotik não. Utilizo hotspot faz mais de 8 anos sem problemas. Deve ter configurado errado alguma função.

/ip firewall nat add chain=pre-hotspot action=accept protocol=tcp dst-address-type=!local hotspot=!auth dst-port=443


/ip firewall filter add chain=hs-unauth action=drop protocol=tcp dst-address-type=!local dst-port=443


Achei essa regra num fórum gringo que bloqueia a porta 443 para quem ainda não logou. Isso faz com que não de erro de certificado, mas tbm não redireciona.

Alguém sabe como a partir disso eu redireciono para o ip 192.168.88.1?

Citação:

---

Postado originalmente por emilidani

Não é falha do Mikrotik não. Utilizo hotspot faz mais de 8 anos sem problemas. Deve ter configurado errado alguma função.

---

Eu estou utilizando a configuração básica para o hotspot funcionar com certificado. Não mexi em mais nada.

Vc criou alguma função a mais para o ssl funcionar?

Citação:

---

Postado originalmente por Pirigoso

cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando

---

Só se comprar um certificado para cada domínio de site HTTPS que o cliente pensar em acessar antes de ter autenticado, o que é impossível não só pela quantidade, mas também por não ser dono de nenhum dos domínios.

Imagine:
1) O usuário tenta acessar https://www.google.com.br;

2) O navegador abre uma conexão TCP para www.google.com.br na porta 443;

3) O roteador detecta que o cliente de origem dessa conexão não está autenticado e a requisição é redirecionada transparentemente, a nível TCP (dst-nat), para o servidor web do hotspot;

4) O navegador não percebe nada, acha que a conexão foi estabelecida com o servidor verdadeiro que responde por www.google.com.br, então ele inicia o handshake SSL/TLS e no meio disso solicita o certificado para esse domínio;

5) Essa solicitação foi parar no servidor web do hotspot. Como ele vai enviar o certificado de www.google.com.br, sendo que ele não possui (apenas a Google possui)? Ele pode enviar um certificado auto assinado (igual à interceptação de HTTPS que alguns caches fazem), mas o navegador vai verificar sua base de autoridades certificadoras (CA) e vai ver que o certificado recebido não foi emitido por nenhuma delas, resultado em uma mensagem erro de quebra de confiança para o usuário.

Esse redirecionamento que o hotspot faz é um ataque man-in-the-midle, e é isso que o SSL/TLS evita que ocorra. Ou seja, não existe solução para esse "problema".

Queria fazer autenticação pelo facebook. Mas pelo o que TsouzaR explicou e pelo que já pesquisei, realmente nao tem como....

Valeu a todos pela força....

Compra um roteador que faça essa autenticação de hotspot via facebook que já vem pronto, se for um projeto que não tem necessidade de muita performance, tem um modelo da intelbras que jah vem pronto custa menos de 300,00, caso contrario tem outros mais robustos que fazem, como o ruckus (veja na img os modelos disponíveis)

Olha como funciona:

https://www.facebook.com/business/facebook-wifi.

Anexo 62842



Sent from my iPhone using UnderLinux mobile app