Alaksza Balázs <[email protected]> ezt írta (időpont: 2020. júl. 1., Sze, 20:44):
> > Kész megoldást én sem tudok, de én captive portal helyett elgondolkoznék > egy transzparens proxys gépen, amin tiltva van minden domain és a > "hibaoldal" a helyi szolgáltatások ismertetője, így amikor ide route-ol > az OPNSense akkor bármit kér a kliens ezt kapja válaszul. > Így megoldható lenne a http-https gond is > > Jó gondolat! Nekem is ez jutott eszembe legelőször, a Captive Portal csak ezután. Ezzel csak az a problémám, hogy a HTTPS oldalak bumpolásához szükség van egy tanúsítványra, ami nyilván csak általam generált lehet. A böngészők meg nem fogják ismerni és panaszkodnak rá, tehát nem egyből a hibaüzenet jön be, hanem az ismeretlen tanúsítványra figyelmeztető oldal. Azzal meg kb. ugyanott vagyok pl. egy magyar szakos kollégánál, mintha csak simán nem lenne internet ;o) Szóval tanúsítványokkal nem szeretnék kínlódni és nem szeretném felmásolni sem az intézmény 140 gépére. A captive portal meg most úgy működik, ha behozok egy http lapot, vagy egyszer meghívom közvetlenül a captive portal-t, akkor utána már https-sel is bejön egyből, mindenféle tanúsítványos macera nélkül. Ezért tetszett meg ez a megoldás. Próbálkoztam azzal is, hogy port forwarding-gal átirányítottam minden 80-as és 443-as portra érkező forgalmat a 8000-re, de ez sem jött be. (A 8000-en van a captive portal) Azt is próbáltam, hogy bizonyos domain-eket (pl. .com, .hu, .org, stb.) átirányítottam DNS A rekord segítségével a tűzfalra, de ott meg nem tudok portot megadni. No meg a megnyitott oldalaknál a Firefox pl. egyből észreveszi, hogy DNS eltérítés történt és nem enged tovább. Eddig talán azzal jutottam legmesszebbre, hogy egyszerű tűzfal szabállyal a HTTP és a HTTPS forgalmat átirányítottam egy HTTPS oldalra, de a tanúsítvány gondok itt is jelentkeztek. Olyan (külső) oldalra irányítottam át, aminek van rendes tanúsítványa és mégis ismeretlennek detektálta a böngésző. Gondolom azért, mert észrevette, hogy a domiain adatok nem ahhoz a tanúsítványhoz valók. Sima HTTP esetében viszont jól működik ez is. Most eljutottam ide: https://forum.opnsense.org/index.php?topic=12026.0 Ez nem pontosan erről szól, de hasonló problémát old meg. Ebben egyedül a DHCP beállítást nem tudtam még megcsinálni, mert az nekem külön ISC-DHCP szerver, amit ráadásul egy saját fejlesztésű admin oldalról birizgálok, úgyhogy nem is szeretném ezt a feladatot az OPNSense-re bízni. Igazság szerint már múlt héten kezdtem el vele foglalkozni, mert elsőre egyszerűnek tűnt, mint az 1x1 és sok mindennel próbálkoztam már, de még nem leltem rá a tökéletes megoldásra. Köszi az ötletelést! Ha van még, ne tartsd magadban, jókat szoktál mondani! Üdv, Venczel József
_______________________________________________ Techinfo mailing list [email protected] Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
