hotspot con captive esterno e rimbalzo

[bsd3000]

Salve

sono in uno strano ambiente (che naturalmente non posso cambiare altrimenti avrei gia risolto)
provo a spiegarlo sperando di dare piu info possibili.

SCENARIO
=======
ho un mikrotik rb751 (in verita' tanti, ma ragioniamo con uno per semplicita') che ha l'hotspot abilitato
ed ha sulla WLAN la rete 192.168.10.1/4 ed e' connesso ad internet sulla WAN (ip pubblico)

ho un web server sulla rete 172.16.1.0/24

ho un radius sulla rete 172.16.1.0/24

il routing tra la rete 172 e la rete 192 e' garantito da una vpn stabilita tra il mikrotik ed il firewall
che c'e' davanti al webserver/radius.

FUNZIONAMENTO
===========
ho impostato che gli utenti che si agganciano lla WLAN vengano rediretti (captive porta)
su una url del webserver sulla rete 172.xx
come la seguente:
https://mylogin.miodominio.tld/login.do ... xx&ip=xxxx
a questo punto l'utente si trova davanti un login e pass che deve riempire.
Una volta messi user e pass la action della pagina di cui sopra non e' puntato su
http://192.168.10.1/login (il mikrotik)
ma e' puntato su
https://mylogin.miodominio.tld/checklogin.php
che riceve quindi i dati

a questo punto il web server che gestisce https://mylogin.miodominio.tld/checklogin.php
deve fare una POST http a http://192.168.10.1/login autenticando il client

PROBLEMA
=======
Se mi sono spiegato bene, si dovrebbe evincere da quanto sopra che siamo in una condizione
in cui NON e' il client connesso alla mikrotik ad effettuare il propio login, ma e' il webserver sulla 172
che lo fa per il client (quindi e' una situazione un po atipica)

il mio problema e' che se dal webserver sulla rete 172 provo a fare una curl (una get http)
al web server http://192.168.10.1/login mi risponde con un 404 (pagina non trovata)
questo per il fatto che il webserver http://192.168.10.1/login di fatto e' un redirect che fa la mikrotik
sulla porta 6472 di se stessa, questo redirect funziona SOLO per gli utenti sulla WAN sotto hotspot

il webserver sulla porta 6472 non e' raggiungibile dalla rete 172 (probabilmente e' in bind su localhost della mikrotik)


DOMANDA
=======
come faccio a fare in modo che il traffico che proviene dalla rete 172 tramite vpn venga visto come traffico proveniente dalla wlan e quindi andare a finire nelle regole di jump/redir uguali a quelle della wlan?

se vi servono pezzi di conf posso incollarli.. no prob!

sperando di essere stato piu chiaro possibile, ringrazio anticipatamente per gli eventuali HELP

[piciccia]

Se mi sono spiegato bene, si dovrebbe evincere da quanto sopra che siamo in una condizione
in cui NON e' il client connesso alla mikrotik ad effettuare il propio login, ma e' il webserver sulla 172
che lo fa per il client (quindi e' una situazione un po atipica)

Assolutamente no, è la normalità.
Devi solo mettere il web server in walled garden, altrimenti non ti funzionerà mai.

Saluti
C.

[bsd3000]

ciao piciccia e grazie per la risposta

il mio problema non e' il fatto che i client non raggiungono il web mio web server esterno (che funziona ci arrivo senza prob)

ma il fatto che dal mio webserver esterno (su rete 172 via vpn) non riesco a fare il POST dei dati
sull'indirizzo ip di WLAN dell'apparato

o per meglio dire ci arrivo.. ma mi risponde il webserver dell'admin del mikrotik e non il webserver
dell'hostpot (quello a cui vengono redirette le chiamate del client)

grazie comunque!

[piciccia]

Non so come lo hai realizzato, ma ti assicuro che se riporti i dati corretti il tutto funziona correttamente.

Saluti
C.

[piciccia]

O forse fai un giro di troppo e ti perdi i dati in POST.
Non puoi ritornare subito all'hotspot dopo l'AUTH ?
Perchè devi gestire una pagina nuova ? Non ti conviene farlo in Ajax o in script sulla stessa pagina ?

C.

[bsd3000]

ciao piciccia e grazie ancora della disponibilita'!

i dati che invio al mikrotik sono corretti il problema e' che risponde il il webserver di admin (del mikrotik) e non quello dell'hotspot (sempre del mikrotik che e' su una porta diversa in bind su localost su cui gli utenti hotspot vengono redirezionati)

purtroppo deve essere il loginportal (quello su rete 172) a fare l'effettiva abilitazione dell'utente, non posso farlo fare all'utente facendogli fare una post sul mikrotik dal suo client (per motivazioni un po complicate da spiegare qui ma purtroppo da cui non posso esimermi in quanto il sistema e' gia fatto e non posso modificarlo).

P.S. anche se potessi modificarlo, non mi piacerebbe comunque in quanto poi l'utente farebbe il post sul mikrotik su una url non in ssl (e non posso mettere un cert valido su ogni apparato sarebbe un costo elevatissimo) ma questa e' un'altra storia

Penso (ma domani ci spatacco un'altro po) che devo mettere delle regole che prendono il traffico
proveniente dalla rete 172 e diretto verso l'ip del mikrotik e lo redirigano sulla porta 64872 dove c'e' il vero webserver hotspot (come fanno le regole attuali che mette in automatico il wizard)
purtroppo pero' non ci capisco una cippa su come lavorano le varie chains dell'hotspot

.. buona serata!

[piciccia]

È l'hotspot che autentica, non il web server, altrimenti è un'altra cosa.

[bsd3000]

ciao picciccia

nel mio caso io faccio una autenticcazione su un mio sistema (web server nella mia lan raggiungibile via vpn)
e poi effettuo un post dei dati all'apparato (sempre dal sistema di cui sopra) che a sua volta si autentica sul radius e fa poi passare il mac address dell'utente

il problema e' che non posso far inviare i dati al client ma li devo inviare io dal portale di accesso
(con altri apparati tipo motorola riesco a farlo)

il problema e' che non posso inviare i dati dalla vpn all'apparato in quanto mi risponde il servizio di admin del mikrotik e non il servizio hotspot (che ha delle redirezioni solo per gli utenti di Wlan)

grazie comunque per la risposta