+ Responder ao Tópico



  1. #1

    Padrão Hotspot com certificado digital

    Olá pessoal, blz!

    Estou com um projeto de rede para um hotel com hotspot, porém estou tendo problemas com sites HTTPS. Quando alguém tentar acessar algum site com HTTPS antes de logar o navegador retorna erro e não redireciona para a pagina de login. Parece que isso é uma falha do mikrotik.

    Achei vídeos ensinando a resolver o problema com o openssl, porém o navegar retorna um erro informando que esse a assinatura desse certificado não é segura. Ai o hospede teria que concordar e continuar navegando. Openssl funciona mais não é o ideal, já que a grande maioria dos usuário iniciam a navegação pela pesquisa do google (HTTPS) ou Facebook (HTTPS) e que ninguém ler a msg de erro, só vão disser que a internet não funciona.

    Então eu aproveitei uma promoção do Go Daddy, Certificado por R$ 13,90. Imaginando que o certificado é para o domínio e não para o IP, fiz tudo o procedimento configurando no meu servidor (ex.: hs.meudominio.com) depois copiei os arquivos para o Mikrotik, também com o domínio hs.meudominio.com, e claro apaguei o subdominio do meu servidor. Mas não deu certo, bloqueia a navegação no site com HTTPS.

    Então eu pergunto, como consigo instalar um certificado assinando pela Go Daddy ou qualquer outra empresa no meu Mikrotik?

    Agradeço pela atenção de todos

  2. #2
    Suporte em Redes Avatar de wdnc5
    Ingresso
    Nov 2011
    Localização
    LUZIANIA GO
    Posts
    555

    Padrão Re: Hotspot com certificado digital

    Tem tempo que não trabalho com Hotspos mais se não me engano para resolver este problema você apenas precisa Apenas setar um nome em DNS name que já resolve este problema.


    att,
    wanderson Costa
    Consultoria e projetos wireless
    [email protected] /Skype: wanderson_costa2012

  3. #3

    Padrão Re: Hotspot com certificado digital

    Já esta setado...

    Fiz um certificado free (https://buy.wosign.com/free/) e também não entra

    A msg de erro é a mesma que da quando uso o certificado assinado pela Go Daddy

    Sua conexão não é particular

    Invasores podem estar tentando roubar suas informações de www.google.com.br (por exemplo, senhas, mensagens ou cartões de crédito).
    NET::ERR_CERT_COMMON_NAME_INVALID





  4. #4

    Padrão Re: Hotspot com certificado digital

    O problema são os celulares. Muitas pessoas nem sabem para que serve um navegador. Acreditam que toda comunicação da internet esta confinada em aplicativos das redes sociais. O cara entra na sua rede e reclama que o whattsapp não funciona, que esta com problemas de rede. Alguns celulares criam uma notificação informando que a rede exige credenciais e ao clicar em tal notificação o usuário é direcionado para a página de login. Observei que alguns modeles de celular abrem a página de hotspot logo após a conexão ao ponto de acesso.
    As operadas vendem acesso wifi em aeroportos. Dê uma espiada em como eles fazem para resolver o "problema". Outra solução seria comprar um certificado digital, não sei como foi a sua negociação, mas se deseja evitar dores de cabeça inclua o preço do certificado no seu projeto.

  5. #5

    Padrão Re: Hotspot com certificado digital

    Não há como solucionar esse "problema", não importa o que façam. Não é um erro no sistema da MikroTik, é somente o SSL/TLS funcionando como deveria.

    Basicamente, quando um usuário não autenticado tenta navegar, a RB vai redirecioná-lo (com dst-nat) para o servidor web que contém os arquivos do hotspot (e só então o usuário é redirecionado, por meio de recursos do HTTP, para a página de login). Nesse momento, a RB responderá pelo domínio redirecionado, mas há um problema: você não é dono de nenhum desses domínios (google.com.br, facebook.com, youtube.com, etc.), então você não tem um certificado SSL/TLS para ele e nem pode obter um, porque apenas o dono do domínio pode fazê-lo.

    O certificado SSL/TLS que você precisa não é para o domínio do hotspot, se usar, é para o domínio redirecionado. Essa configuração de autenticação HTTPS do hotspot serve apenas para criptografar os dados de login e senha inseridos, evitando alguém obtê-los por sniffing.

    Até há uma solução para esse "problema", mas é impossível: você precisaria de um certificado SSL/TLS wildcard, válido para todos domínios na Internet. É claro que você nunca vai obter um, pois seria uma falha de segurança catastrófica para toda a Internet, nenhuma empresa emite isso (talvez a NSA ou outros órgãos de segurança do tipo tenham algum, para fins de espionagem).

  6. #6

    Padrão Re: Hotspot com certificado digital

    Eu comprei o certificado da Go Daddy...
    O Chrome Bloqueia o redirecionamento para a tela de login, o Edger da a opção de salvar o certificado em alguma lista (não lembro o que dizia na msg) e funciona.

    Mas pelo que TsouzaR falou, não tem solução.

    Clique na imagem para uma versão maior

Nome:	         Sem título.png
Visualizações:	312
Tamanho: 	66,1 KB
ID:      	62795Clique na imagem para uma versão maior

Nome:	         Sem título2.png
Visualizações:	287
Tamanho: 	6,5 KB
ID:      	62796Clique na imagem para uma versão maior

Nome:	         Sem título3.png
Visualizações:	297
Tamanho: 	13,9 KB
ID:      	62797Clique na imagem para uma versão maior

Nome:	         Sem título4.png
Visualizações:	282
Tamanho: 	13,4 KB
ID:      	62798Clique na imagem para uma versão maior

Nome:	         Sem título5.png
Visualizações:	285
Tamanho: 	42,8 KB
ID:      	62799

  7. #7

    Padrão Re: Hotspot com certificado digital

    Desculpe a ignorância, mas não tem como redirecionar https para http? Pelo menos os principais que você setar?

  8. #8

    Padrão Re: Hotspot com certificado digital

    cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando

  9. #9
    Avatar de Nilton Nakao
    Ingresso
    Sep 2013
    Localização
    Carlos Chagas, Minas Gerais
    Posts
    1.357

    Padrão Re: Hotspot com certificado digital

    Apanhei com isso na minha casa. Ao comprar um 3Com sem wireless, usei um roteador para poder usar em notes, celulares, tablets...
    Quando tentava acessar, redes sociais, browser, google play etc vinha aquela mensagem, " ERROR 404" e na janela fica como sem internet, desligava; ao ligar tudo normal. " e agora José?
    No desk top tudo normal, apesar de estar conectado diretamente ao 3Com, então o problema é na rede wireless, cabo conectado no roteador, OK. mais essa.
    Só resolvi, desativando o DHCP no 3Com, e o Multilaser em bridge, na realidade desativei também o DHCP dele.

  10. #10

    Padrão Re: Hotspot com certificado digital

    Citação Postado originalmente por Pirigoso Ver Post
    cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando
    Eu comprei o certificado pelo Go Daddy e já fiz o redirecionamento de porta, e mesmo assim não funcionou.

    Não tenho muita experiencia com Mikrotik, posso está fazendo algo errado. Vc tem algum tutorial de como fazer isso?

  11. #11

    Padrão Re: Hotspot com certificado digital

    Citação Postado originalmente por willmartins82 Ver Post
    Olá pessoal, blz!

    Estou com um projeto de rede para um hotel com hotspot, porém estou tendo problemas com sites HTTPS. Quando alguém tentar acessar algum site com HTTPS antes de logar o navegador retorna erro e não redireciona para a pagina de login. Parece que isso é uma falha do mikrotik.

    Achei vídeos ensinando a resolver o problema com o openssl, porém o navegar retorna um erro informando que esse a assinatura desse certificado não é segura. Ai o hospede teria que concordar e continuar navegando. Openssl funciona mais não é o ideal, já que a grande maioria dos usuário iniciam a navegação pela pesquisa do google (HTTPS) ou Facebook (HTTPS) e que ninguém ler a msg de erro, só vão disser que a internet não funciona.

    Então eu aproveitei uma promoção do Go Daddy, Certificado por R$ 13,90. Imaginando que o certificado é para o domínio e não para o IP, fiz tudo o procedimento configurando no meu servidor (ex.: hs.meudominio.com) depois copiei os arquivos para o Mikrotik, também com o domínio hs.meudominio.com, e claro apaguei o subdominio do meu servidor. Mas não deu certo, bloqueia a navegação no site com HTTPS.

    Então eu pergunto, como consigo instalar um certificado assinando pela Go Daddy ou qualquer outra empresa no meu Mikrotik?

    Agradeço pela atenção de todos

    Não é falha do Mikrotik não. Utilizo hotspot faz mais de 8 anos sem problemas. Deve ter configurado errado alguma função.

  12. #12

    Padrão Re: Hotspot com certificado digital

    /ip firewall nat add chain=pre-hotspot action=accept protocol=tcp dst-address-type=!local hotspot=!auth dst-port=443


    /ip firewall filter add chain=hs-unauth action=drop protocol=tcp dst-address-type=!local dst-port=443


    Achei essa regra num fórum gringo que bloqueia a porta 443 para quem ainda não logou. Isso faz com que não de erro de certificado, mas tbm não redireciona.

    Alguém sabe como a partir disso eu redireciono para o ip 192.168.88.1?

  13. #13

    Padrão Re: Hotspot com certificado digital

    Citação Postado originalmente por emilidani Ver Post
    Não é falha do Mikrotik não. Utilizo hotspot faz mais de 8 anos sem problemas. Deve ter configurado errado alguma função.

    Eu estou utilizando a configuração básica para o hotspot funcionar com certificado. Não mexi em mais nada.

    Vc criou alguma função a mais para o ssl funcionar?

  14. #14

    Padrão Re: Hotspot com certificado digital

    Citação Postado originalmente por Pirigoso Ver Post
    cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando
    Só se comprar um certificado para cada domínio de site HTTPS que o cliente pensar em acessar antes de ter autenticado, o que é impossível não só pela quantidade, mas também por não ser dono de nenhum dos domínios.

    Imagine:
    1) O usuário tenta acessar https://www.google.com.br;

    2) O navegador abre uma conexão TCP para www.google.com.br na porta 443;

    3) O roteador detecta que o cliente de origem dessa conexão não está autenticado e a requisição é redirecionada transparentemente, a nível TCP (dst-nat), para o servidor web do hotspot;

    4) O navegador não percebe nada, acha que a conexão foi estabelecida com o servidor verdadeiro que responde por www.google.com.br, então ele inicia o handshake SSL/TLS e no meio disso solicita o certificado para esse domínio;

    5) Essa solicitação foi parar no servidor web do hotspot. Como ele vai enviar o certificado de www.google.com.br, sendo que ele não possui (apenas a Google possui)? Ele pode enviar um certificado auto assinado (igual à interceptação de HTTPS que alguns caches fazem), mas o navegador vai verificar sua base de autoridades certificadoras (CA) e vai ver que o certificado recebido não foi emitido por nenhuma delas, resultado em uma mensagem erro de quebra de confiança para o usuário.

    Esse redirecionamento que o hotspot faz é um ataque man-in-the-midle, e é isso que o SSL/TLS evita que ocorra. Ou seja, não existe solução para esse "problema".

  15. #15

    Padrão Re: Hotspot com certificado digital

    Queria fazer autenticação pelo facebook. Mas pelo o que TsouzaR explicou e pelo que já pesquisei, realmente nao tem como....

    Valeu a todos pela força....

  16. #16

    Padrão Re: Hotspot com certificado digital

    Compra um roteador que faça essa autenticação de hotspot via facebook que já vem pronto, se for um projeto que não tem necessidade de muita performance, tem um modelo da intelbras que jah vem pronto custa menos de 300,00, caso contrario tem outros mais robustos que fazem, como o ruckus (veja na img os modelos disponíveis)

    Olha como funciona:

    https://www.facebook.com/business/facebook-wifi.

    Clique na imagem para uma versão maior

Nome:	         ImageUploadedByUnderLinux1455699851.056746.jpg
Visualizações:	333
Tamanho: 	80,9 KB
ID:      	62842



    Sent from my iPhone using UnderLinux mobile app