Direcionar paginas HTTPS para tela do login do hotspot

Quando o usuário acessa uma pagina HTTP:// o mesmo é direcionado para a pagina de login do hotspot, até ai tudo OK, agora quando ele acessa uma pagina HTTPS:// ele retorna um erro de SSL não encontrado, e não abre a pagina de login do hotspot, já tentei vários direcionamentos e nada, alguém já passou por isso, e tem alguma solução ou ao menos alguma sugestão ???

Versão do Mikrotik 5.20

Já tentei esse comando aqui mas não resolveu:
/ip firewall nat add action=redirect chain=hotspot comment=“redirecionamento https antes do login no hotspot” dst-port=443 hotspot=local-dst protocol=tcp to-ports=80


Obrigado.

Citação:

---

Postado originalmente por Arthur Bernardes

Interessante isso aqui (http://clubedomikrotik.com/usando-ce...l-no-mikrotik/).

---

Já tentei criar meu SSL com o openSSL, mas ao adicionar o certificado ficava dando mensagem em todas as paginas dizendo que não foi possível completar a solicitação, inclusive nas HTTP://

Citação:

---

Postado originalmente por Arthur Bernardes

Tentou usar a ação de "dst-nat" ao invés de "redirect"?

---

Tentei, mas continua a mesma coisa "ERRO de conexão SSL"

Já resetei o mikrotik pra tentar fazer tudo do zero e nada também.

Pode não ser o mesmo caso, mas já aconteceu conosco de um cliente ou outro acontecer de receber a mensagem de erro de SSL.

Mas ao abrir com outro navegador passou normal.

Citação:

---

Postado originalmente por benerofonte

Nao tem como amigo voce redirecionar uma pagina HTTPS para uma outra HTTPS ou HTTP. Vai de fora do conceito de SSL.

O que da para fazer é bloquear as paginas HTTPS antes de o usuario logar, e depois de logado liberar-las.

---

Como assim bloquear??? O problema aqui esta quando o usuario se conecta a rede do hotspot, e quando vai abrir o navegador caso o site inicial seja algum site com https:// da erro de SSL, já quando a pagina inicial é http:// ele é redirecionado para a pagina de login do hotspot.

Citação:

---

Postado originalmente por 1929

Pode não ser o mesmo caso, mas já aconteceu conosco de um cliente ou outro acontecer de receber a mensagem de erro de SSL.

Mas ao abrir com outro navegador passou normal.

---

Já tentei explorer, chrome, mozilla, windows, linux, macosx, ja tentei em todos os navegadores e plataformas possíveis, o que indica ser algo no mikrotik... ja tentei também criar um certificado SSL,reiniciei tudo pra configurar do zero. Já não tenho mais ideia do que fazer.

é amigo é bem difícil isso.
da uma lida no forum oficial http://forum.mikrotik.com/viewtopic.php?f=13&t=65547
Teve um cara que só conseguiu usando Dns, No qual ele redirecionava o site (Geralmente google) para uma pagina http.
Ja nesse tópico aqui existe a solução, mais tem que ter certificado VALIDO.
http://forum.mikrotik.com/viewtopic.php?f=2&t=81683
Eu Optaria por não usar Hotspot...
Você pode ter um site em sua rede se você quer anúncios, sem usar hotspot.

Citação:

---

Postado originalmente por stevefox

é amigo é bem difícil isso.
da uma lida no forum oficial http://forum.mikrotik.com/viewtopic.php?f=13&t=65547
Teve um cara que só conseguiu usando Dns, No qual ele redirecionava o site (Geralmente google) para uma pagina http.
Ja nesse tópico aqui existe a solução, mais tem que ter certificado VALIDO.
http://forum.mikrotik.com/viewtopic.php?f=2&t=81683
Eu Optaria por não usar Hotspot...
Você pode ter um site em sua rede se você quer anúncios, sem usar hotspot.

---

Já tinha ligo esses dois posts tmb kkkkkk.... e tentei criar um certificado SSL próprio, mas não funcionou tmb...

Quanto a não usar hotspot não tem jeito, a minha aplicação só tem como funcionar com ele.

Então você tem que da um jeito de fazer funciona o Certificado...
Porque exatamente sua aplicação depende do Hotspot ?
Eu tinha o mesmo problema que você demorei pra resolver, mais foi.
Minha rede era IpXMac e eu queria uma pagina de manutenção.
Na hora da pagina entra, funcionava porém quem estava né um site https tinha o erro de certificado, resolvi instalando um certificado gratuito no meu Web Server.

Eu ja instalei um certificado que criei, mas agora não acessa pagina nenhuma da mensagem de "esta pagina não esta disponível".

Minha aplicação é justamente um hotspot para hotel, não tenho outra opção. Só o SSL que não vai por nada, o resto já esta tudo configurado, mas esta dando muita dor de cabeça, pois como não redireciona para o login por causa do https as pessoas acham que esta sem internet.

Boa Tarde Amigão!
eu tenho esse problema aqui também, mas resolvi avisando os clientes o site para pagina de acesso do login ex: aqui os clientes digita no navegador
"www.vianet.com.br " e abre a telinha normalmente!
configura o hotspot ai e coloca uma plaquinha avisando para acessar a internet entre em tal site! mas lembre-se sem o https no começo do site! somente "www.seunome.com.br" que vai funcionar muito bem!
Espero ter ajudado!

Citação:

---

Postado originalmente por DaviViaNet

Boa Tarde Amigão!
eu tenho esse problema aqui também, mas resolvi avisando os clientes o site para pagina de acesso do login ex: aqui os clientes digita no navegador
"www.vianet.com.br " e abre a telinha normalmente!
configura o hotspot ai e coloca uma plaquinha avisando para acessar a internet entre em tal site! mas lembre-se sem o https no começo do site! somente "www.seunome.com.br" que vai funcionar muito bem!
Espero ter ajudado!

---

Já tentei algo do tipo, mas nem todos os clientes veem com bons olhos, fica muito gambiarrado, e tem muito cliente cabeçudo. Tenho tido uma dor de cabeça enorme com isso.

Citação:

---

Postado originalmente por benerofonte

Voce pode redicionar normalmente o cliente para a sua pagina em http se o site que ele solicitou estiver em http, agora se o cliente solicitou uma pagina em https, a pagina de login do hotspot nao funcionará. Dara erro de SSL ou pagina expirada.


Como o amigo falou, coloque um aviso dizendo qual a pagina de login dos usuarios que evita este problema. De resto vai procurar, procurar e procurar na internet e acabara ficando doido e nao resolvendo o problema.

:bebored:

---

Alguem já tentou usando um certificado SSL valido ???

Pois se funcionar estou disposto a comprar.

Citação:

---

Postado originalmente por jeanpablojp

Já tentei explorer, chrome, mozilla, windows, linux, macosx, ja tentei em todos os navegadores e plataformas possíveis, o que indica ser algo no mikrotik... ja tentei também criar um certificado SSL,reiniciei tudo pra configurar do zero. Já não tenho mais ideia do que fazer.

---

NO meu caso, eu não tinha configurado para utilizar SSL no hotspot. Por isso que de vez em quando se aparece algum cliente com a menssagem de erro de SSL procuramos abrir noutro navegador.
Agora fiquei na dúvida. Você configurou para utilizar certificado com o hotspot? Aí a estória é outra ( ou história, heheh)

Citação:

---

Postado originalmente por 1929

NO meu caso, eu não tinha configurado para utilizar SSL no hotspot. Por isso que de vez em quando se aparece algum cliente com a menssagem de erro de SSL procuramos abrir noutro navegador.
Agora fiquei na dúvida. Você configurou para utilizar certificado com o hotspot? Aí a estória é outra ( ou história, heheh)

---

Sim, criei um certificado no OpenSSL e adicionei no hotspot, mas agora não consigo abrir site nenhum, até mesmo os HTTP:// estão dando mensagem de "Esta pagina da web não esta disponível".

Citação:

---

Postado originalmente por jeanpablojp

Já tentei algo do tipo, mas nem todos os clientes veem com bons olhos, fica muito gambiarrado, e tem muito cliente cabeçudo. Tenho tido uma dor de cabeça enorme com isso.

---

Não vejo isso como uma gambiarra e sim como uma solução!!!
cliente cabeçudo você é quem educa!
Boa sorte ai!

Citação:

---

Postado originalmente por jeanpablojp

Sim, criei um certificado no OpenSSL e adicionei no hotspot, mas agora não consigo abrir site nenhum, até mesmo os HTTP:// estão dando mensagem de "Esta pagina da web não esta disponível".

---

Não tenho a mínima experiencia com certificados. Teria como você zerar o mikrotik e refazer as configurações sem certificado?
Porque está usando certificado?

Citação:

---

Postado originalmente por 1929

Não tenho a mínima experiencia com certificados. Teria como você zerar o mikrotik e refazer as configurações sem certificado?
Porque está usando certificado?

---

Usei o certificado usando dicas de outros fóruns, mas tmb não funcionou... já refiz tudo do zero aqui algumas vezes e continua o problema.

Citação:

---

Postado originalmente por jeanpablojp

Usei o certificado usando dicas de outros fóruns, mas tmb não funcionou... já refiz tudo do zero aqui algumas vezes e continua o problema.

---

Já refez do zero sem usar certificado?

Por que no faz um tutorial de PPOE e deixa no quarto do hotel ou recepção e aew só basta a pessoa pedir a liberação do login e senha ?

Citação:

---

Postado originalmente por 1929

Já refez do zero sem usar certificado?

---

Fiz sim, inclusive com versões diferentes de mikrotik 4x, 5x, 6x , as versões menores não me atenderiam.

Citação:

---

Postado originalmente por stevefox

Por que no faz um tutorial de PPOE e deixa no quarto do hotel ou recepção e aew só basta a pessoa pedir a liberação do login e senha ?

---

Grande parte das pessoas usam celular, tablets, o que torna difícil a autenticação. Se não fosse esse https estaria tudo perfeito.

No caso esse uso é restrito ao quarto ? Porque se for daria pra instalar roteador em cada quarto...
Hoje tem roteador de 40,00.
Um Amigo meu consegue fazer esse certificado seu funciona, se quiser o contato dele me chama por Inbox.

Citação:

---

Postado originalmente por stevefox

No caso esse uso é restrito ao quarto ? Porque se for daria pra instalar roteador em cada quarto...
Hoje tem roteador de 40,00.
Um Amigo meu consegue fazer esse certificado seu funciona, se quiser o contato dele me chama por Inbox.

---

Mas em noteis eles não querem internet apenas nos quartos, mas em todo estabelecimento, tenho hotel aqui que tem sala de eventos, etc. O hotspot ainda é a melhor opção.

Alguém teve sucesso com a regra ou de alguma outra forma ?

Realmente o problema não tem solução, acredito que só pppoe nos clientes pra resolver ou então adiquirindo um certificado ssl pra conseguir funcionar de acordo com o vídeo https://www.youtube.com/watch?v=8TwZnI-wPK8, porem no vídeo precisa do cliente (navegador) adicionar uma exceção para aquele certificado, mas se ele for válido talvez funciona sem problema.

Alguém sabe me dizer com exatidão qual desses certificados eu preciso adquirir para ser um certificado válido e ser reconhecido pelos navegadores :

https://www.certisign.com.br/certificado-servidor/ssl

Será que vou precisar de somente 1 certificado ou serão 1 para cada url, se bem que se for por url, pode-se padronizar o dns do hotspot server pra uma única url e ter somente um certificado ???????

por e telefone que não puxa o autenticador.... to sofrendo e pensando em voltar ao velho ip+mac .....

2017 alguem conseguiu uma solução definitiva?

Citação:

---

Postado originalmente por iburanet

2017 alguem conseguiu uma solução definitiva?

---

Cara só se tiver chave SSH válida! Para usar no hotspot

Citação:

---

Postado originalmente por ab5x2

Errado Marcelo, é SSL. E essa é a solução 2017 até mesmo 2100.

---

Exato, eu não lembrava o nome rs

Caraca, 3 anos e a coisa continua fermentando e sem solução...
Volto a dizer que felizmente aqui não acontece nada disso. Nunca tivemos um cliente reclamando que não conseguia autenticar por chamar uma pagina https.
Não usamos certificado SSL.

Citação:

---

Postado originalmente por 1929

Caraca, 3 anos e a coisa continua fermentando e sem solução...
Volto a dizer que felizmente aqui não acontece nada disso. Nunca tivemos um cliente reclamando que não conseguia autenticar por chamar uma pagina https.
Não usamos certificado SSL.

---

Quando ele vai entrar no Google não dá erro? Na primeira vez

Eu abandonei hotspot, por causa disso! kkkkkkkkk
Migrei pra pppoe os meus clientes.
É claro que ainda da erro de ssl, quando tem q aparecer a pagina de aviso ou corte!
Cliente liga dizendo q esta sem net, eu respondo; abre o navegador e digita la em cima, ex: g1 .com . br - e ja aparece o aviso ou corte. hehehehehe. Depois o cliente vem aqui quieto e paga a mensalidade! kkkkkk (coloquei espaços pra nao criar o link).

Citação:

---

Postado originalmente por marcelorodrigues

Quando ele vai entrar no Google não dá erro? Na primeira vez

---

não dá. É redondinho...
Quanto a login no hotspot temos config o cookie para uma semana. Então entra direto.

Já experimentei muito tempo atrás configurar login por MAC. Funcionou pois o usuário entrava direto, mas aconteceu um conflito de vez em quando, (conflito este mais por minha culpa e não me detive para ver o motivo), que não me lembro mais qual era e por isso não usei mais. Faz tempo.

Um pouco de informação não faz mal a ninguém...

https://cryptoid.com.br/ssl/o-que-sao-ssl-ssh-https/

P.S.: por favor prestem a atenção quando se diz "entre dois computadores", não entre o seu computador e a torcida do Flamengo! E por favor não digam que "o problema não foi resolvido", por que não é um problema, é apenas o comportamento esperado do protocolo SSL!

Eu abandonei hotspot, por causa desse probleminha. Não resolve colocar o google, como pagina inicial, la no arquivo alogin do hotspot. hehehehe....
Usei hotspot por um tempo, acho q no máximo 1 ano. E depois migrei para pppoe.
Com o uso do Mk-Auth.

Eu ainda acho que tem algo que passa desapercebido. Pois uso hotspot desde 2008 e quando começou a aparecer https nós não fizemos nada. Simplesmente continuou abrindo normalmente e fazendo login no hotspot normalmente.
Nunca ativei certificado.

Citação:

---

Postado originalmente por muttley

Eu abandonei hotspot, por causa desse probleminha. Não resolve colocar o google, como pagina inicial, la no arquivo alogin do hotspot. hehehehe....
Usei hotspot por um tempo, acho q no máximo 1 ano. E depois migrei para pppoe.
Com o uso do Mk-Auth.

---

Não é um problema do Hotspot. Isso também ocorre com páginas de bloqueio/aviso: tente acessar algum site HTTPS enquanto o cliente está bloqueado, com um DSTNAT redirecionando ele para alguma página de aviso... o resultado vai ser o mesmo com Hotspot, PPPoE ou qualquer outra coisa que você faça.

Entenda:

O cliente tenta acessar https://www.google.com.br, por exemplo, então o navegador inicia uma conexão TCP com o servidor para o qual www.google.com.br aponta e logo começa o handshake TLS/SSL.

1) Se um DSTNAT redireciona o cliente para um servidor HTTP, seja para página de aviso, bloqueio ou login do Hotspot, o handshake vai falhar, porque esse servidor não vai responder à negociação SSL/TLS e receberá um monte de dados desconhecidos, sendo que ele esperava uma requisição HTTP.

2) Se um DSTNAT redireciona o cliente para um servidor HTTPS (ou seja, você configura lá seu certificado válido no Hotspot ou até nas páginas de aviso do seu MK-Auth ou qualquer outro sistema), de cara o SNI, que é basicamente a informação do hostname com o qual o cliente está tentando se comunicar, não vai bater com nenhum certificado que o servidor tem para apresentar e o handshake vai falhar. Mesmo que você gere certificados falsos (para www.google.com.br, por exemplo) para cada SNI apresentando, igual algumas soluções de cache fazem, esse certificado não estará assinado por uma Autoridade Certificadora (CA) reconhecida (porque você nunca vai conseguir comprar um certificado para um hostname que não é seu), então ocorrerá aquele erro de segurança no navegador, onde você até pode ignorar e a página de login/aviso/bloqueio/etc. vai ser apresentada. Ou pode fazer a mesma coisa que servidores de cache que tentam interceptar HTTPS: instale no navegador de cada dispositivo do cliente a sua CA privada, para que eles confiem nos certificados gerados por ela. Já viu que não são soluções interessantes, para não chamar de gambiarras, né?

Esse comportamento não é um problema de fato. SSL/TLS foi projetado assim justamente para impedir interceptações. Não importa se está interceptando apenas para mostrar uma página de login, aviso ou bloqueio, é isso que essas camadas de segurança impedem porque a mesma tática poderia ser usada para fins maliciosos.

Citação:

---

Postado originalmente por 1929

Eu ainda acho que tem algo que passa desapercebido. Pois uso hotspot desde 2008 e quando começou a aparecer https nós não fizemos nada. Simplesmente continuou abrindo normalmente e fazendo login no hotspot normalmente.
Nunca ativei certificado.

---

Talvez a maioria de seus clientes estejam com navegadores desatualizados, em uma versão que ainda não implementava o HSTS.

Nesses navegadores antigos, se você coloca na barra de endereços apenas "www.google.com.br", por exemplo, o navegador vai tentar primeiro uma requisição HTTP (e somente depois disso os próprios sites redirecionariam para HTTPS), e se houver um DSTNAT no meio do caminho redirecionando a porta 80, a página de login/aviso/bloqueio vai ser exibida normalmente. Se o cliente acessou "https://www.google.com.br" alguma vez, assim que colocar "www.google.com.br" na barra de endereços o navegador já procurará o servidor HTTPS, mas como você deve fazer esse DSTNAT aí há muito tempo, talvez isso nunca tenha ocorrido.

Todas versões não tão antigas dos navegadores implementam HSTS. Um site com HSTS devidamente configurado (já é praticamente padrão) estará dizendo ao navegador que ele nunca deve ser acessado por HTTP puro, então a conexão para ele sempre será iniciada já com SSL/TLS e qualquer interceptação entrará no caso 2 do que expliquei para o muttley.

Inclusive, aquele tal HTTPS Reflector do ThunderCache se baseia no funcionamento desses clientes HTTP sem HSTS implementado, bem como casos em que o site nunca foi acessado por HTTPS (por isso, às vezes, eles pedem para limpar todos dados do navegador: - cache, cookies, histórico, etc. - fazer parecer ser o primeiro acesso, que pode ocorrer em HTTP, e interceptar aí). No caso do Google Chrome, a Google força seus serviços a HTTPS não importando se é o primeiro acesso ou não; só não lembro se isso é em todas versões não tão antigas do Chrome ou se é desde que ela começou a usar HTTPS (o que faz muito tempo).


---
Se fosse possível resolver esse "problema" das páginas de login/aviso/bloqueio/etc. com sites HTTPS, de que o pessoal tanto reclama, teria cache HTTPS funcionando lindamente hoje em dia e com a mesma capacidade de interceptar que na época em que tudo era HTTP puro.

Mas imaginar que todos os assinantes estejam com navegadores desatualizados é algo impossível de ocorrer.

Concordo. E agora que me lembrei de um detalhe sobre HSTS, é ainda mais estranho a ocorrência desse comportamento aí na sua rede: mesmo que o primeiro acesso ao site tenha sido feito em HTTP e interceptado, o site pode passar a informar ao navegador da exclusividade do HTTPS em acessos futuros a ele, então todo mundo aí deveria estar apresentando esse problema de interceptação do HTTPS...

Sei lá o que ocorre aí (já que não é um monte de gente com navegador bem desatualizado - único caso que consigo imaginar), mas gostaria de saber, hehehehe.

Citação:

---

Postado originalmente por jeanpablojp

Quando o usuário acessa uma pagina HTTP:// o mesmo é direcionado para a pagina de login do hotspot, até ai tudo OK, agora quando ele acessa uma pagina HTTPS:// ele retorna um erro de SSL não encontrado, e não abre a pagina de login do hotspot, já tentei vários direcionamentos e nada, alguém já passou por isso, e tem alguma solução ou ao menos alguma sugestão ???

Versão do Mikrotik 5.20

Já tentei esse comando aqui mas não resolveu:
/ip firewall nat add action=redirect chain=hotspot comment=“redirecionamento https antes do login no hotspot” dst-port=443 hotspot=local-dst protocol=tcp to-ports=80


Obrigado.

---

ola amigo! estou com o mesmo problema de redirecionamento.
o que vc fez para resolver este problema?

A duvida que nós temos é! COMO RESOLVER ESTA QUESTÃO DE PAGINAS HTTPS NÃO DIRECIONADAS AO HOTSPOT LOGIN?

Ainda usam isso para provedor? Eu estou querendo sair do PPPoE, estou assistindo no GTER sobre IPoE, ideia interessante para os dias atuais.

Amigo tem algum material sobre o IPoE que possa compartilhar....acho quase nada na net sobre isso.

Olá galera, desculpe ressuscitar esse tópico, mas estamos no meio de 2018 e ainda não resolvemos isso, e agora me aparece um cara no Mercado Livre dizendo que consegue fazer o MK redirecionar qualquer pagina https para o login do hotspot, sem aviso de certificado invalido nem nada.

Ele me cobrou 300 reais para isso.. segue print dele no Mercado Livre, será que consegue mesmo?

Anexo 68663

o que acho mais engraçado é que aqui, o site da globo.com, que é https, redireciona para a tela de login... Sempre falo com meus clientes para acessar por ele, mas gostaria muito de resolver