Как грамотно обработать iOS CNA при подключении к WiFI с Captive Portal?

Question

[Леонид]

Доброго времени суток!

Задача: нужна авторизация пользователей WiFi. На iOS требуется открыть портал авторизации не в CNA, а в Safari. Собственно, это у меня получилось...почти.

iOS при подключении к WiFi делает определенный запрос, ожидая получить определенный ответ. Если этот ответ подделать, то iOS решит, что интернет открыт. Но тогда не покажется CNA, а это плохо.

Идея такая:

1. Первый запрос не подделываем. Возвращаем HTML, в котором есть ссылка, например, click me. Откроется CNA (мааааленький ограниченный браузер);

2. Остальные запросы подделываем, как будто отвечает сам apple.

Частично это сработало. Если нажать на ссылку из п.1, CNA закроется, а ссылка начнет открываться в Safari. Вроде время радоваться, но шиш! Запрос уходит через мобильную сеть, а от WiFi-сети iOS молча отключается.

Я понимаю сейчас задачу так: когда CNA уже на экране, заставить iOS думать, что доступ в Интернет через этот WiFi уже открыт. Тогда iOS не отключится от WiFi и запрос в браузере уже пойдет правильно и будет счастье! Как это сделать, пока не догнал(

Решение явно существует. В московском метро это сделали.

Люди, помогите! Нет возможности кататься по метро и снифить трафик((

P.S. Стандартый CNA не подходит, т.к. он закрывается и отключается от WiFi на каждый чих. В моем случае, пользвателю иногда требуется зайти в приложение SMS и затем вернуться на портал.

UPD. : в CNA есть кнопка "Готово". Если ее нажать, вместо ссылки, то iOS решает, что доступ в Интернет есть. Вероятно, нужно как-то сэмулировать нажатие этой кнопки при переходе по ссылке

Comments

[DenZel]

Леонид, подскажите Вам удалось реализовать данную проблему?

[Леонид]

Денис: увы, нет. На данный момент я блокирую IOS CNA, подделывая www.apple.com/library/test/success.html

[DenZel]

Леонид : А не подскажите как мне лучше реализовать открытие сайта на сафари без доступа в интернет (только доступ на мой сайт)? Спасибо

[Леонид]

Денис: Не совсем понял вопрос. Вы хотите напрочь заблокировать доступ к иным ресурсам, кроме вашего сайта? Или сделать редирект для неавторизованных пользователей? Или редирект после авторизации? В любом случае, ваш вопрос выходит за рамки моего конкретного вопроса и лучше сформулировать его отдельно (киньте ссылочку сюда, попробую помочь). Так же почитайте мануал wiki.mikrotik.com/wiki/Manual:Customizing_Hotspot. Я ответы на почти все вопросы нашел там.

[DenZel]

Леонид: Привет! Да необходимо что автоматически открылась сафари с моим сайтом, но при этом доступ был запрещен на другие сайты, а при попытке ввести url- редирект на мой сайт. (пользователь не важно авторизован или нет). сейчас я пытаюсь сделать так чтоб пройдя авторизацию пользователя выкидывало в сафари (автоматически без действий на cna) где ему открывался мой сайт. Спасибо большое.
PS.: Изучаю wiki, просто к сожалению с html никогда не работал и немножко тяжело идет понимание процессов....

[Леонид]

Денис:
Если я правильно тебя понял, ты хочешь, чтобы доступ в Интернет пользователю был закрыт ВСЕГДА и все редиректилось на твой сайт. Я бы это делал с помощью firewall (wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT), а не hotspot.

Будет выглядеть примерно так (не проверял, просто для примера):

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=!ip сайта dst-port=80,443 protocol=tcp to-addresses=ip сайта

Наверно, это можно сделать и с помощью ip proxy (не пользовался, не подскажу).

Если это нужно сделать силами hotspot, то:
- добавить адрес сайта в /ip hotspot walled-garden;
- в файле rlogin.htm замени $(link-redirect) на адрес твоего сайта.
- получить гемор с HTTPS.

[DenZel]

Леонид: И не подскажите почему у меня выкидывает из Wi-Fi при открывании сафари (я так понимаю ios понимает что нет интернет через Wi-Fi) и переключается на другую сеть....

[DenZel]

Леонид: 443 и web-proxy не получится же редиректить.... А вот по farewell не получится же заставить сафари открыться автоматически ...вот для этого я и задействую хотспот с переброской на сафари, но вот в этот процесс wi fi кратковременно прерывается (я так понимаю iOS получает пакеты от сайтов своих и подтверждает доступность интернета)и после этого он опять подрубается к сети WiFi...как можно будет это исправить пока не додумаюсь ....

[DenZel]

Леонид: у меня вообщем такая же проблема как и у Вас в вопросе,я пришел к этому, подскажите как проделать success от Apple,в какой файл нужно записать ...спасибо большое за помощь !

[Леонид]

Денис: вот тут есть пример для iOS7 wiki.mikrotik.com/wiki/Manual:Customizing_Hotspot. Для более новых версий придется допилить, т.к. там изменился User-Agent. Лично я делаю тоже самое, но на стороне сервера. Если User-Agent матчится по регулярному выражению m/.*CaptiveNetworkSupport.*/i, то возвращаю звглушку.

[DenZel]

Понял,спасибо большое!будем пробывать!

Answer 1

[OCTAGRAM]

Следите за руками:

21:23:25 GET "captive.apple.com" /hotspot-detect.html HTTP/1.0 302 0 - "CaptiveNetworkSupport-346 wispr" - - - "http://captive.apple.com/hotspot-1.html"
21:23:25 GET "captive.apple.com" /hotspot-1.html HTTP/1.0 403 86 - "CaptiveNetworkSupport-346 wispr" - - - -
21:23:26 GET "captive.apple.com" /hotspot-detect.html HTTP/1.1 200 467 - "Mozilla/5.0 (iPhone; CPU iPhone OS 10_2 like Mac OS X) AppleWebKit/602.3.12 (KHTML, like Gecko) Mobile/14C92" - - - -
21:23:26 GET "captive.apple.com" /hotspot-detect.html HTTP/1.0 200 68 - "CaptiveNetworkSupport-346 wispr" - - - -
21:23:28 GET "captive.apple.com" /hotspot-2.html HTTP/1.1 302 0 - "Mozilla/5.0 (iPhone; CPU iPhone OS 10_2 like Mac OS X) AppleWebKit/602.3.12 (KHTML, like Gecko) Version/10.0 Mobile/14C92 Safari/602.1" - - - "http://мой-URL"

Первые два ответа — это чтобы показать wispr такую бяку, чтоб он захотел вмешаться. wispr и на Mac OS X, и на iOS заканчивается на " wispr". Сразу 403 или 200 без Success как-то не очень работают, а 302 — вполне, но раз 302, то и по другому адресу надо что-то ответить. Потом запускается CNS (нет Safari), и ему отдаётся страничка, на которой есть Success и скрипт, который через полсекунды создаст обычную (без _blank) ссылку с абсолютным URL (который с двоечкой) и нажмёт по ней click()'ом. При отдаче страницы на stateful сервере помечается этот комп. Либо переход по ссылке, либо Success и код 200 на странице, либо просто это делается каждый раз после первого открытия, пока не разобрался, что-то из этого заставляет сделать ещё один запрос wispr, и на этот раз помеченному компу отдаётся самый обычный Success, а когда через полсекунды пойдёт переход по ссылке, CNS уже будет в состоянии «Готово» и направит переход в настоящий Safari, а сам закроется. При обнаружении открытия ссылки настоящим Safari пометка с компа сбрасывается.

Бывает, зацикливается в CNA, но после увеличения задержки на секунду вроде нормализовалось.

with AWS.Status;
with AWS.Response;

package Worker_Echoes.Apple.Captive is

   function Service (Request : AWS.Status.Data)
     return AWS.Response.Data;

end Worker_Echoes.Apple.Captive;

with Ada.Strings.Fixed;

with AWS.URL;
with AWS.Messages;

with Worker_Echoes.Protected_Strings;
with Worker_Echoes.Config;

package body Worker_Echoes.Apple.Captive is

   use AWS;
   use all type AWS.Messages.Status_Code;

   Last_CNA_CNS_Peername : Protected_Strings.Protected_String;

   -------------
   -- Service --
   -------------

   function Service (Request : Status.Data) return Response.Data is
      URL_Object : constant URL.Object := Status.URI (Request);
      URL_String : constant String := URL.URL (URL_Object);
      User_Agent : constant String := Status.User_Agent (Request);
   begin
      if User_Agent'Length >= 6 and then User_Agent (User_Agent'Last - 5 .. User_Agent'Last) = " wispr" then
         if Last_CNA_CNS_Peername.Get = Status.Peername (Request) then
            return Response.Build
              (Status_Code => S200,
               Content_Type => "text/html; charset=utf-8",
               Message_Body => "<HTML><HEAD><TITLE>Success</TITLE></HEAD><BODY>Success</BODY></HTML>");
         elsif URL_String = "http://captive.apple.com/hotspot-1.html" then
            return Response.Build
              (Status_Code => S200,
               Content_Type => "text/html; charset=utf-8",
               Message_Body => "<HTML><HEAD></HEAD><BODY></BODY></HTML>");
         else
            return Response.URL ("http://captive.apple.com/hotspot-1.html");
         end if;
      elsif Ada.Strings.Fixed.Index (User_Agent, "Safari") = 0 then
         Last_CNA_CNS_Peername.Set (Status.Peername (Request));

         -- 1. Not sure if intact "<BODY>Success</BODY>" matters, but probably yes.
         -- 2. There was no delay previously, thus A had to be created before BODY is processed.
         --    Now it's possible to click A with id, but touching working code was avoided.
         return Response.Build
           (Status_Code => S200,
            Content_Type => "text/html; charset=utf-8",
            Message_Body => "<HTML><HEAD><SCRIPT>" &
                               "window.setTimeout (function () {" &
                                  "var A = document.createElement (""a"");" &
                                  "A.setAttribute (""href"", ""http://captive.apple.com/hotspot-2.html"");" &
                                  "var Body = document.getElementsByTagName (""body"");" &
                                  "if (Body.length > 0) {" &
                                     "Body = Body [0];" &
                                  "} else {" &
                                     "Body = document.createElement (""body"");" &
                                     "document.getElementsByTagName (""html"") [0].appendChild (Body);" &
                                  "}" &
                                  "Body.appendChild (A);" &
                                  "A.click ();" &
                               "}, 1000);" &
                            "</SCRIPT>" &
                            "<STYLE>body { display: none; }</STYLE>" &
                            "<TITLE>Success</TITLE></HEAD><BODY>Success</BODY></HTML>");
      else
         Protected_Strings.Reset (Last_CNA_CNS_Peername, Status.Peername (Request)); -- reset if matches
         return Response.URL (Config.Get_Target_URL);
      end if;
   end Service;

end Worker_Echoes.Apple.Captive;

Comments

[Леонид]

спасибо. В комментарии ответить не получилось. Написал отдельный пост.

Answer 2

[Леонид]

1. Спасибо большое OCTAGRAM за развернутый ответ. Комментарии не поддерживают форматирование, поэтому отвечу отдельным постом.

2. У меня получилось как-то проще. Может я что-то упускаю, но работает стабильно на нескольких айфонах с разными версиями IOS (8-10).

Код на python:

# функция обрабатывает URL /hotspot-.*.html
# для запоминания пользователей я использую redis
def get(self):
  # если мы помним, что этот пользователь уже обращался на hotspot-.*.html,
  # подделываем ответ captive.apple.com
  if self.redis_conn.get('apple_wispr:some_user_marker'):            
    self.finish(
      '''
        <HTML>
          <HEAD><TITLE>Success</TITLE></HEAD>
          <BODY>
            <a href="http://ya.ru">This link will open in Safari</a>
          </BODY>
        </HTML>    
      '''
  )
  # иначе, запоминаем этого пользователя на 10 секунд
  # и отдаем заглушку. всплывет CNA
  else:
    self.redis_conn.set('apple_wispr:some_user_marker', 1, 10)
    self.finish('<html></html>')

Как видно, даже без "success" в body прокатывает.

В nginx это выглядит так:

"GET /hotspot-detect.html HTTP/1.0" 200 13 "-" "CaptiveNetworkSupport-346 wispr"
"GET /hotspot-detect.html HTTP/1.1" 200 273 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_2 like Mac OS X) AppleWebKit/602.3.12 (KHTML, like Gecko) Mobile/14C92"
"GET /hotspot-detect.html HTTP/1.0" 200 273 "-" "CaptiveNetworkSupport-346 wispr"

3. Собственно в чем была моя проблема:

До того, что надо на первый wispr запрос отвечать коряво, а на все остальные подделывать оригинальный ответ captive.apple.com я допер еще до того, как задал этот вопрос.

Проблема была такая: при нажатии на ссылку, от WiFi-сети устройство отключалось и шло в safari через мобильный интернет. Это при том, что в CNA уже была кнопка "Done" и вроде как CNA уже обманут.

Когда до меня дошло, я долго себя материл за тупость. Причина:

Для перенаправления пользователя на сервер авторизации я использую функционал Mikrotik ip hotpsot.
При попытке ios достучаться до captive.apple.com, Mikrotik его редиректил (с помощью HTTP 302) на сервер авторизации. И так при КАЖДОМ ЗАПРОСЕ.

IOS на оригинальные запросы ВСЕГДА получал 302. Интересно, что частично он принимал ответы после редиректа за нормальные (кнопка done же появлялась).

Решение: перенаправить запросы на сервер авторизации без использования HTTP.
Я прописал в DNS Mikrotik'a A-запись captive.apple.com на свой сервер и добавил на сервере обработчик на /hotspot-.*.html

И похоже, что ура.

Comments

[entermix]

Здравствуйте!

Интересно, а как Вы идентифицировали пользователя, который уже запрашивал /hotspot-.*.html?

Я вижу, Вы пишете в redis:

self.redis_conn.set('apple_wispr:some_user_marker', 1, 10)

Но, что выступает в роли маркера some_user_marker, чтобы поптом получить нужную запись ?

if self.redis_conn.get('apple_wispr:some_user_marker'):

[Леонид]

entermix Хороший вопрос. Это, действительно, проблема. После отказа от HTTP редиректа на уровне микротика, идентифицировать пользователя проблематично.

Можно сделать так: настроить туннель между микротиком и вашим веб-сервером и настроить маршрут до сервера через этот туннель. NAT на туннеле не включать. Таким образом на веб-сервер будут приходить пакеты с оригинальными IP, вот и идентификатор.

Нужно вести ip план и следить, чтобы на ваших роутерах не пересекались IP, выдаваемые клиентам. На веб-сервере, соответственно, тоже должны быть настроены маршруты до каждой из этих подсетей.

Для себя я решил этим не заниматься, пока не возникнет реальной необходимости - очень уж много гемора, хотя и вполне реально. Сейчас я просто подделываю все запросы от ios cna, блокируя его всплывание. Негатива у пользователей это не вызывает.

[entermix]

Леонид: То есть у Вас не получилось открыть ссылку в safari?

[Леонид]

entermix: почему, получилось. Просто осталась проблема: как разрешить коллизию, если несколько IOS устройств подключается одновременно? Для этого нужно их уметь идентифицировать.

Вместо some_user_marker я использовал IP адрес, с которого пришел HTTP запрос. В случае стандартной настройки роутера это будет IP-адрес роутера, т.к. NAT. Соответственно нужно избавиться от NAT. Как это сделать я написал в предыдущем комментарии.

[eri]

Леонид, хочу попробовать завернуть на внутренний прокси чтоб получить x-forwarded-for header

Answer 3

[master_fox]

Ну вот: всё верно, по A-записи ВСЕГДА при запросе домена captive.apple.com отправляете гаджет на свой сервер (предварительно прописанный в walled-garden, разумеется). А сервер нужно научить при подобных запросах глядеть в записи об открытых radius-сессиях на предмет наличия там мака девайса (да и логина юзера тоже), чтобы в случае наличии активной сессии (например, если последняя началась меньше чем N часов до установленного вами максимума) - отвечать гаджету всегда "Success" и отправлять с миром. По идее тогда айфоны будут меньше "нервничать" в руках пользователей, будучи УЖЕ авторизованными по механизмам MAC-cookie или HTTP-cookie.
М? :)

Comments

[Руслан Ибрагимов]

о каком маке речь? как вы его получите? до того как каптив портал(mikrotik или другой) переадресует на свой IP и данным о маке и тд, вы его не получите.. на сервере мы получаем только внешний IP роутера через который подключается устройство. я столкнулся с двумя проблемами из за этого, если одновременно два устройства подключаются к хотспоту то одному из них сразу приходит success, это если делать по принципу храним IP-время последнего запроса. дальше я сделал как в примере у OCTOGRAM, только на php и чуть по другому, сброс пометки об IP, идет не когда уже был переход в Safari а когда был первый ответ success, то есть только узнали что есть такой IP сразу же очищаем пометку для следующего клиента. но все равно стабильности нет, версии ios могут быть одни но железо разное, кто то успевает за 1 сек после открытия этого попап бразера сделать еще один запрос и получить success, кто то нет.. а делать больше 1 сек задержку уже не красиво так как пользователь может успеть нажать ГОТОВО и будет думать что интернет уже есть

[Руслан Ибрагимов]

еще увидел интересный вариант и на сколько я мог его понять..
у mywifi24.ru сделано так, если это попап браузер они сразу авторизовывают пользователя с данными captive:{password} с ограниченной сессией, допустим 10 секунд.. за это время ios проходит проверку, получает success и уже появляется кнопка готов, открывается ссылка в safari, идет logout из того пользователя и там уже нормальная авторизация по номеру тел и тд, попробую реализовать отпишусь тут. это решение более стабильное, но.. в первом варианте ты отключаешься от wifi и снова подключаешься и клиенту снова можно показать рекламу, я сделал это так, в попап в ссылке которая кликается через 1 секунду сидит ссылка на статус микротика к примеру 10.2.0.1/status, а в status.html идет редирект с нужными данными на мой сервер где я идентифицирую пользователя и хотспот с которого он пришел

[Sector_nn]

Руслан Ибрагимов, всё верно. Делается так (у меня микротик, делал на нём):

1. На микротике включается trial-авторизация, с таймингами trial-uptime-limit=1s trial-uptime-reset=20s
2. На странице login.html captive-портала добавляется автоматический логин пользователя с триалом, ЕСЛИ он доступен.
3. Добавляется правило фаерволла для блокировки generate_204 для Android-устройств. Для того, чтобы на них не колбасило заглушку (она пропадает, если девайс получает доступ в сеть).
4. Убираются строки:

$(if session-timeout-secs != 0)
   "seconds-remaining": $(session-timeout-secs),
$(endif)

из файлика api.json, чтобы устройства не отключались от Wi-Fi сети после окончания триала

Т.о. девайсы открывают заглушку, автоматом авторизуются через триал на 1 секунду, Apple'ы разблокируют свой CNA, и после этого возвращаются на login.html. Решение очень стабильное и универсальное. В моём случае это требуется для возможности отправить клиента в телеграм-бот для авторизации. Без разблокированного CNA на Apple это сделать невозможно =( Сейчас ищу способ добавить возможность авторизации через Viber-бот: трудность в том, что в отличие от телеги у вайбера нет фиксированного списка сетей, которые можно было бы открыть в walled garden чтобы на устройствах без авторизации работал Viber-клиент :(