Mikrotik. Как правильно сделать переадресацию https трафика?

Question

[Ашот Асланян]

Как правильно сделать переадресацию https-трафика ? Поднимаю web-proxy и посредством dst-nat отправляю 80, 443 порты в web-proxy, но работает переадресация только на на сайтах где нет SSL, одним словом всё, что работает на 80 порту, работает, а вот если в браузере набрать https://qna.habr.com/question/new то переадресация не пройзойдет...
Хочу реализовать страницу переадресации, при отрицательном балансе.
Может быть будет эффективнее использовать Layer7 для переадресации https?
Или как нибудь, хоть как, чтоб только работало...

Answer 1

[Wexter]

Да никак, почитайте хоть что такое https и для чего оно нужно

Comments

[Ашот Асланян]

По вашему нельзя реализовать страницу переадресации для сайтов https на свой сайт?

[Wexter]

fellliche, нельзя, если вы конечно не поставите свой сертификат всем устройствам в сети

[Ашот Асланян]

а возможно ли неккоторым промежуточно пропустит редиректить через свой ссл для редиректа?

[Wexter]

fellliche, невозможно. иди хоть прочитай на википедии про https.

[Ашот Асланян]

Wexter, Нет ничего невозможного в этом мире, в п.с..
как сделаю и всем тут напишу решение. спасибо.

[Wexter]

fellliche, удачи. мне интересно каким образом кроме установки сертификата возможно подменять ssl трафик

[Ашот Асланян]

Wexter, В таком случае, как возможно такое, что когда у меня на телефоне заканчивается 4g траффик, всмысле интернет, то мобильный оператор при открытии любого сайта, перенаправляет резко меня на страницу с информацией при отрицательном балансе. как он это делает.???

[Wexter]

fellliche, https://igrolevel.ru/registraciya-v-seti-chto-eto-...
это фича сугубо дроида/ios, на пк такое не работает

[Wexter]

fellliche, Android регистрация в сети всплывающее уведомление, как сделать?

[Lynn «Кофеман»]

Как меня радуют дилетанты пафосно изрекающие «нет ничего невозможного»

[CityCat4]

fellliche, Точно так же как он это делает при посещении сайта забаненого РКН

[CityCat4]

Алексей Тен, Добро, обьясните дилетантам - как сделать переадресацию при https? Условие - клиентская тачка недоступна от слова совсем (то есть свой сертификат поставить нельзя).
Ваши действия?

[Lynn «Кофеман»]

Вам в самом начале сказали: никак.

[profesor08]

Алексей Тен, Wexter, если я забуду заплатить вовремя за интернет, то у меня открывается страничка личного кабинет интернет провайдера, при попытке зайти, например на https://google.com

Видимо достигается это не средствами подмены трафика, а какими-то другими. И, видимо, автор вопроса хочет узнать как подобное реализовывается.

[Wexter]

profesor08, очень даже интересно, требую пруфов с показом чей сертификат бьётся браузером

[profesor08]

Wexter, жди первого числа следующего месяца

[Lynn «Кофеман»]

Да можешь сейчас открыть гугл и посмотреть на сертификат

[sirota]

Wexter, спроси у мегафона. На пикабу была статья где чел зашёл с мобильника используя инет от меги на свой сайт с https и увидел встроенную рекламу.

[sirota]

Wexter, многие так делают. Просто все запросы заворачивают на свой хост. Уверен что там на все редирект. Как пример тебе - затычка у провайдеров на заблокированы сайты. Так что читать про https тебе надо. И не умничать.

[Алексей]

На пустом месте развели холивар на весь интернет. На мобильниках у вас весь трафик идет через точку доступа опсоса, поэтому когда у вас нулевой баланс он по вашему IMEI\MAC-адресу делает редирект на страницу оплаты, то же самое делает провайдер (с заблокированными сайтами так же: фильтр запросов и редирект на определенный ресурс).
fellliche,
> По вашему нельзя реализовать страницу переадресации для сайтов https на свой сайт?
Если все запросы будут идти через ваш DNS сервер, и ваш шлюз, то сможете.

[Wexter]

sirota, там без https, перечитай внимательнее

[Wexter]

AlexeyKolodchenko, это отменяет DNS кеш и HSTS заголовки? хватит бред нести

[sirota]

Wexter,

там без https, перечитай внимательнее

Где без https? У менафона? 100% там была разговор о https. Первые комменты были за это. Но автор уверил что именно https, что у него на хостинге преадресация с http на https.
Про редирект провайдеров:
Как пример DPI https://habr.com/ru/post/335436/

[Wexter]

sirota, жду пруф в виде ссылки на пост.
На хабре написано про редиректы на http, на https просто блокируются соединения.
Повторю ещё раз для слабоумных, без внедрения своего доверенного сертификата на устройство вы никаким образом не сделаете редирект на https

[sirota]

Wexter,

Повторю ещё раз для слабоумных

не стоит так. Это не делает тебя краше или умнее.

[Ашот Асланян]

Добрый День Всем! Wexter,

без внедрения своего доверенного сертификата на устройство вы никаким образом не сделаете редирект на https

Приведите пожалуйста пример, в котором можно будет внедрить свой ссл, и решить подобную задачу.

[Wexter]

fellliche, https://habr.com/ru/post/303736/

[Wexter]

sirota, тем не менее жду пруфов

[Ашот Асланян]

Добрый день всем! Wexter, вы отправили ссылку на теорию решения данного вопроса. Могу ли я Вас попросить привести пример реализации данной мысли на примере микротик?

[Wexter]

fellliche, чел, задрал парить мозг, иди кури как работает https (который как раз и придумали чтобы идеи типа твоей были невозможны в принципе) до полного просветления. Может тогда и пропадут такие глупые вопросы
https://habr.com/ru/post/188042/
https://ru.wikipedia.org/wiki/HTTPS
https://yandex.ru/blog/company/77455

[Ашот Асланян]

Wexter, Давай сделаем так. Если Вы не можете написать конкретный пример, то не стоит тут писать ссылки типа того что такое https, или поучительные ссылки в Википедии. Вроде бы Вы уверенно говорите что невозможно это, но в последующем предложении сами бросаете сомнение на ваше умозаключение! например пишите

который как раз и придумали чтобы идеи типа твоей были невозможны в принципе

типо и впринципе? щас как понять Вас, Вы уверены что это невозможно? так пишите уверенно, а не добавляйте слова впринципе и т.д.. понимаете, те кто полон энтузиазмом не мешайте им верить в то что это возможно! Я лично уверен что это возможно, и любой интернет провайдер просто должен уметь это делать, а именно должен уметь переадресовать клиента с https соединением на какой то ип или заглушку, или страницу с информацией!

[Wexter]

fellliche, так, объясняю последний раз для особо одарённых.
1) HTTPS придумали чтобы исключить MITM атаки с подменой трафика
2) Атаки всё ещё возможны при условии что вы доберётесь до компьютера жертвы и установите свой сертификат в качестве доверенного
3) Ставить массово незаметно свой сертификат невозможно, разве что у вас пользователи не особо одарённые и будут ставить ваш сертификат по инструкции с сайта и ответе ТП а-ля ставьте наш сертификат чтобы работал интернет.
4) При наличии нескольких десятков миллиардов долларов можете попробовать стать глобальным доверенным УЦ и через него подменять, но чую в течении недели-двух ваш хитрый план раскроют и ваш УЦ перестанет быть доверенным, а деньги будут потрачены впустую.

[Ашот Асланян]

Wexter, в общем скажу спасибо за ответ. только вот придержите свои нервы, по поводу одаренных. Тут нет одаренных, тут люди толкуют о том, что возможно а что нет.. а вы сразу прикрепляете к кому то статус одаренности.
вообщем спасибо!
я останусь при своем мнении. Сам найду решение и опубликую тут!

[Lynn «Кофеман»]

Ага-ага.
Пишите, озолотитесь :rofl:

[Wexter]

fellliche, жду с нетерпением

[Ашот Асланян]

Алексей Тен, приведу пример простого аналога.

отключаю соединение по локальной сети, вырубаю свой интернет, и перехожу на https://facebook.com/

мне открывает не пустая страница, а страница внедренная в хром от создателей хром, которые перенаправляют...

тоже идея, и еще, давайте рассмотрим вариант, что если сначала сделать мгновенный блок дроп а дальше переадресовать на страницу заглушки

[Ашот Асланян]

Wexter, жди, так или иначе, сами знаете, что это возможно.

[Wexter]

fellliche, товарищ, изучи сперва основы сетей, а затем уже фантазируй на тему "а что если".
Хотя если ты изучишь как оно работает внутри то вопросы отпадут сами собой.

[Lynn «Кофеман»]

Извините, не могу больше ржать. Работать надо.

[Ашот Асланян]

Алексей Тен, иди работай!

[Ашот Асланян]

рано смеешься и ржешь.

[Ziptar]

Какой антиресный холивар.
Tl;dr через web-прокси - никак, особенно через прокси самого микрота, сторонними методами - способов много, но конкретика зависит от структуры сети.
Подменять https трафик без установки своего сертификата на клиентские машины у вас действительно не получится, но вот перехватывать запросы и перенаправлять на свой сайт-заглушку вы сможете. Ровно так делают провайдеры, и ровно так осуществляется блокировка ркн.

[Lynn «Кофеман»]

Ziptar, Только вместо вашего сайта-заглушки все браузеры покажут страницу: «невалидный сертификат. Открывать не буду». В лучшем (для вас) случае, если сайт не слишком заморачивался, то на странице будет кнопка «всё равно показать», но на основных сайтах (гугл, яндекс и т.п.) её не будет.

[Wexter]

Ziptar,

Подменять https трафик без установки своего сертификата на клиентские машины у вас действительно не получится,

но вот перехватывать запросы и перенаправлять на свой сайт-заглушку вы сможете.

Щито? Можно поподробнее с этого места? Или опять речь пошла про http?

[Ашот Асланян]

Ziptar, как заранее перехватить https ? заранее спасибо

[Ziptar]

Wexter, fellliche, https://nixman.info/?p=2583

Теперь, можете убедиться сами, https-урлы успешно перехватываются (разумеется, их необходимо указать в walled-garden). Есть только один нюанс. Если сайт использует HSTS (например, Google и его сервисы), то пользователь все равно получит security exception.

Есть ещё такая информация:

On recent firefox/chrome/safari versions, any browser that get opened try first to make an HTTP request to a "test website", to check if there is a captive portal on your network

Да и, в конце концов, обыкновенные манипуляции DNS-запросами тоже будут работать, естественно для ограниченного списка заранее определённых сайтов. Да, разумеется, полностью "красиво" сделать не получится в любом случае. https так устроен, чтобы пользователь видел, что ему пытаются подсунуть не то, что он ожидал.

[Wexter]

Ziptar, не увидел в статье какой механизм позволяет произвести редирект при https трафике.
Captive Portal работает только для HTTP трафика, с HTTPS такое не прокатит

[Ziptar]

Wexter, послушайте, уважаемый, я тоже не вижу такого механиза в указанной статье. Я тоже отлично знаю как работает https. Но, во-первых, провайдеры прекрасно умеют подменять запросы при нулевом балансе или первом подключении, во-вторых, человек в статье, вероятно, не с бухты барахты пишет. Вероятно он знает что-то, чего не знаем ни я, ни вы. Пробовать я не буду, разумеется, но почему бы не попробовать тс?
Кроме того, у captive portal есть поддержка со стороны браузеров/ос, что позволяет клиенту обнаруживать captive portal, и, таким образом, необходимость изощрятся ч https трафиком и вовсе пропадает:

Android, начиная с версии 4, через несколько секунд после подключения запрашивает с одного из серверов компании Google файл с названием generate_204 и, не получая в http-ответе кода 204, создает соответствующее уведомление, при нажатии на которое в браузере открывается captive portal.
Windows и Windows Phone используют сервис Network Connectivity Status Indicator, который запрашивает файл с сайта, принадлежащего Microsoft, ожидая получить предопределённое содержимое. В некоторых случаях сверяется с эталоном IP-адрес сайта, возвращаемый DNS-сервером. При обнаружении captive portal так же, как и в Android, формируется уведомление для пользователя[4].

[Lynn «Кофеман»]

До сих пор не увидел ни одного доказательства что провайдер подменил https-трафик.

[Wexter]

Ziptar, понятно, очередная теория на тему "провайдеры всё могут" и ничего кроме неё.

[Ашот Асланян]

Алексей Тен, если вы не видите, вовсе не означает что это невозможно! ))))

[Ziptar]

Алексей Тен, и не увидите, потому что об этом никто, кроме вас, не говорит.
Wexter, я своим глазам предпочитаю доверять в большинстве случаев.

Я не очень понимаю, что вы двое тут забыли. У тс есть задача, он пытается её решить - я пытаюсь подсказать, как ему эту задачу решить; так или иначе. Вы же, как два барана, твердите "это невозможно", упёршись рогами в запертые ворота, и полностью игнорирую прикрытые калитки.

[Wexter]

Ziptar, аналогично. Поэтому хочется пруфов. Пока что вижу только голословные утверждения что оно где-то есть, но без пруфов

[Ziptar]

Wexter, переезжайте в москву, подключайте билайн, оплатите месяц, и подождите, пока он закончится - будет вам пруф.
Опять же, скорее всего провайдеры эксплуатируют поддержку captive portal со стороны браузеров/ос, а не занимаются перехватом https трафика.

[Lynn «Кофеман»]

Ziptar,
Читаю

но вот перехватывать запросы и перенаправлять на свой сайт-заглушку вы сможете. Ровно так делают провайдеры © Ziptar

Ну покажите уже как они это делают!

[Wexter]

Ziptar, определитесь уже, Captive Portal у вас кидает или обычный декстопный браузер с сайтов с https?
А то вы уже начали путаться в своих показаниях

[Ziptar]

Алексей Тен,

Ну покажите уже как они это делают!

Опять же, скорее всего провайдеры эксплуатируют поддержку captive portal со стороны браузеров/ос, а не занимаются перехватом https трафика.

Wexter, какое это имеет значение в рамках поставленной задачи?

[Wexter]

Ziptar, огромное. Задача то стоит HTTPS редиректить, а вы предлагаете редиректить HTTP

[Ziptar]

Wexter,
>Задача то стоит HTTPS редиректить
Не стоит такой задачи. Перечитайте пост тс.

[Wexter]

Ziptar,

но работает переадресация только на на сайтах где нет SSL,

[Ziptar]

Wexter, стоит задача "реализовать страницу переадресации, при отрицательном балансе.", так, чтобы клиент попадал на неё и при попытке зайти на https сайт. Если фича с определением наличия captive portal действительно работает - то необходимость технического редиректа https отпадает, достаточно создать лишь видимость. А вот работает ли она и что надо, чтобы она заработала - предлагаю выяснять тсу самостоятельно.

[Wexter]

Ziptar, Captive Portal работает только на ios/android, либо на http. На https captive portal не работает

[Ziptar]

Wexter,
https://blog.superuser.com/2011/05/16/windows-7-ne...
https://winreview.ru/kakim-obrazom-windows-opredel...
tl;dr, если блокировать доступ к www.msftconnecttest.com и www.msftncsi.com при правильном ответе от dns на лукап dns.msftncsi.com, то винда (vista и выше) должна предупреждать о необходимости авторизации в сети, и открывать браузер при нажатии на уведомление. Мне пока не удаётся быстро сэмулировать подобную ситуацию, и не удаётся найти что же в браузере винда будет пытаться открыть. Но копать определённо туда.

[Ziptar]

Wexter, значит, родной мой, если у тебя так горит, что ты аж в других топиках пытаешься со мной сраться, то расставим точки над i:
1. Технологически редирект https без ошибки проверки подлинности сертификата сайта невозможен. Я с этим, как бы, не спорю.
2. По всей вероятности, это технологическое "ограничение" можно "обойти" сторонними методами, и дать понять пользователю, что у него не просто "не работает", а ему, пользователю, требуется сделать какие-то шаги для того, чтобы заработало. В том числе пользователю на винде.
Вопросы есть?

[Ziptar]

Wexter, ненавижу глупость в любых её проявлениях.
Ещё вопросы есть?

[Руслан]

Wexter, маркировка трафика же есть

Answer 2

[Интернет]

Никак. Ибо SSL для того. И разрабатывали что бы никак никто не проксировал трафик.

Answer 3

[QuazarM]

Layer-7 firewall, маркируешь пакеты, а потом рулишь отмаркированные пакеты туда, куда тебе нужно.

Comments

[Ашот Асланян]

Брат напиши пример!

[QuazarM]

https://habr.com/ru/post/346052/

[Ашот Асланян]

Так речь идет о переадресации https. а не о блокировке!

[QuazarM]

fellliche, господи, пошевели мозгами и переделай под свои нужды, данная статься приведена в пример как вообще обращаться с L7 фильтрами.

[Wexter]

fellliche, QuazarM, вот и встретились два одиночества, один хочет невозможного, второй не знает как сделать но думает что всё изи

[QuazarM]

Wexter, Вот и пришел умник, который пришел поумничать, который думает, что он такой умный ;)

[QuazarM]

Wexter, никто не сказал, что это "просто". Это решаемо, в отличии от вышеуказанного ответа, что это "не реально".

[Wexter]

QuazarM, о, ещё один адепт редиректов на https. пруфы будут или тоже отмазки "это решаемо, пруфов не дам, провайдерывсёмогут11!!!!!!!!!!!!!!!"?

[Ашот Асланян]

QuazarM, так ты же написал так легко и просто

Layer-7 firewall, маркируешь пакеты, а потом рулишь отмаркированные пакеты туда, куда тебе нужно.

а я лишь попросил пример. Почему усложнять жизнь? можешь приведи пример. нет так нет.
и вообще, лучше не пиши, потому что методом Layer-7 не прокатит. поехали дальше!

[Ашот Асланян]

Стало быть, во всем мире, нет способов и реализации того, что если отключить абонента поводу оплаты, то нельзя его перенаправить хоть откуда, на свой сайт?

[Wexter]

fellliche, с https - нет, с http - пожалуйста

Answer 4

[Fwf]

Попробуйте копнуть в сторону captive portal push notification. Но учти. Все это на совести клиента. Он сам пытается определить, есть ли какая преграда перед интернетами и вывести сообщение клиенту.
Другого нет. Сейчас так работают все freeWIFI и вроде бы успешно, но только при подключении к сети.
Если тебе нужно в время сессии переадресовать, то извини чувак - облом.