+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Веб-прокси с аутентификацией через хотспот

Веб-прокси с аутентификацией через хотспот, RouterOS

aminahoora

Guest

09.10.2011 07:59:00

Здравствуйте, уважаемая служба поддержки! У меня серьёзная проблема с терминологией. У меня есть сервис Mikrotik Web Proxy, но я хочу использовать аутентификацию для своих пользователей. Я прочитал все ваши документы про web proxy, hotspot и правила файрвола. Возможен ли такой вариант: использовать веб-прокси, а пользователи настраивают прокси в своих браузерах и в любое время, когда они хотят выйти в интернет (открыть любой сайт), у них на интерфейсе появляется hotspot с запросом аутентификации и ограничением по времени доступа?

Существует ли правило файрвола, которое направляет HTTP/HTTPS трафик на сервис hotspot, а после аутентификации пользователя hotspot перенаправляет обратно на web proxy? Раньше я нашёл способ переадресовывать весь HTTP-трафик на web proxy, но не могу направить HTTPS-трафик на web proxy, потому что это будет «атака посредника».

Помогите, мне нужна аутентификация через web proxy с Radius-сервером. Большое спасибо!

daviddem

Guest

31.10.2011 11:19:00

Привет, Feklar. Если я правильно тебя понял, то чтобы http-трафик аутентифицированных пользователей хотспота проходил через прозрачный прокси, нужно поставить галочку «transparent proxy» в их профиле. А дальше что? Значит ли это, что на них будут распространяться правила "walled garden"? Или мне нужно настроить отдельный прокси в меню /proxy? Если правила "walled garden" действительно начнут работать после включения этой галочки, то как тогда применить разные правила для авторизованных и неавторизованных клиентов, а ещё лучше — разные правила для разных пользователей или профилей? Всё ещё копаюсь в документации и на форуме, пытаясь разобраться…

Feklar

Guest

31.10.2011 13:29:00

Вам нужно включить прокси и настроить в нем правила для аутентифицированных гостей через меню прокси. Walled garden использует те же функции, что и прокси, но применяется только к неаутентифицированным гостям. Также не забудьте настроить фаервол для защиты прокси от интернета, иначе кто-то его найдёт и начнёт злоупотреблять.

daviddem

Guest

31.10.2011 18:04:00

Спасибо, Feklar, что так быстро всё прояснили. Теперь я понимаю, куда идти дальше. Похоже, я запутался из-за статей и постов, где объясняется, что сам хотспот выступает как прокси даже для авторизованных пользователей ( mum.mikrotik.com/presentations/US10/FelixWindt.pdf и http://wiki.mikrotik.com/wiki/Manual:Customizing_Hotspot ), поэтому думал, что могу настроить правила фильтрации прокси прямо в этом хотспот-прокси, включая авторизованных пользователей.

В вашем другом посте ( http://forum.mikrotik.com/t/using-mikrotik-web-proxy-in-hotspot-setup/42713/1 ) вы пишете, что редирект на прокси можно сделать либо через правило NAT (или правило в таблице pre-hotspot), либо поставив галочку «transparent proxy» в профиле пользователя.

Мой вопрос: точно знаете, какое правило в брандмауэре добавляется, когда ставишь эту галочку «transparent proxy»? Меня смущает, что галочку можно поставить, а вот где указать, на какой порт слушает прокси — непонятно.

Feklar

Guest

31.10.2011 19:15:00

Отметка этого пункта, как я понимаю, добавляет дополнительный шаг в процесс работы hotspot, который перенаправляет трафик на прокси внутри системы, поэтому для этого фактически не создаётся правило в фаерволе. Поддержка должна уточнить, как именно это работает, так как нам этот функционал недоступен. Но по сути, когда hotspot активирован, он делает именно то, что говорит fewi.

С помощью правила NAT вы получаете больше контроля над процессом, так как можете фильтровать пакеты через фаервол. Это позволяет, например, исключать определённых пользователей из использования прозрачного прокси, добавляя их в адресный список, или перенаправлять на прокси только отдельных пользователей.

daviddem

Guest

31.10.2011 19:25:00

Спасибо еще раз, и я согласен, что этот пункт действительно нуждается в пояснении от службы поддержки. Есть вероятность, что они ответят тут, или мне лучше сразу написать им напрямую? Пока что, раз я любитель всего контролировать, воспользуюсь правилом перенаправления, как ты предложил. Мне кажется, правильное место для этого — в таблице pre-hotspot.

Feklar

Guest

31.10.2011 19:30:00

Обращаться в поддержку по электронной почте — лучший способ получить ответ на такой вопрос. Иногда на подобные вопросы в теме отвечают, но не всегда. Да, pre-hotspot будет лучшей цепочкой для этого. Ещё одно преимущество правила NAT в том, что его можно отключить для всех сразу, просто выключив правило, а если оно применяется на уровне профиля, людям придётся выйти из системы и войти снова, чтобы изменения вступили в силу.

arashams Guest	#8 0 15.10.2016 05:12:00 Всем привет! У меня проблема с использованием Webproxy вместе с хотспотом. Когда я включаю правило dst-nat (для портов 80 и 443) в файрволе, чтобы перенаправить трафик на порт webproxy, интернет перестаёт работать. Помогите, пожалуйста.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры