Redirect utenti PPPoE scaduti verso captive portal

[wifinetwork]

Buongiorno ragazzi è da giorni che provo, ma senza esito, di reindirizzare gli utenti scaduti verso un captive portal o hotspot.
Secondo voi è fattibile?
Ringrazio anticipatamente

[ppraz]

Ciao, io faccio che, quando un utente non paga, tramite radius gli assegno un indirizzo IP particolare.
Quindi, purtroppo a mano, lo faccio staccare dal pppoe-server affinché al re-login acquisisca il nuovo IP.
Sul router di frontiera ho introdotto una regola di redirect e alcune regole di filter che colpiscono gli utenti con ip nel "range dei cattivi"
Con le regole di filter gli autorizzo le richieste dns ma blocco tutto il traffico uscente verso l'esterno della mia rete
Con la redirect "devio" le connessioni su porta 80 verso una pagina statica dove viene invitato a prendere contatto con l'amministrazione
Se ti serve ti incollo due righe di script di come faccio

[wifinetwork]

ciao Ppraz, intanto grazie per la risposta, ma questa configurazione l'ho fatta gia da tempo ma mi fa il redirect solo sulla porta 80. tutti i siti più utilizzati (youtube,facebook,ecc) utilizzano https e quindi la porta 443, che non posso bloccare in quanto utilizzo paypal come metodo di pagamento.
l'idea del captive portal mi è venuta dal cubo della 3, che quando finisce il giga a disposizione si apre automaticamente il captive portal che ti da tutte le info. non ci sono altre soluzioni affinchè possa mettere in atto la mia idea?

[xanio]

scusa puoi bloccare e fai una regola di mangle in cui permetti solo Paypal.

[wifinetwork]

Ho provato ma paypal utilizza molti ip e molti domini. Dimmi gentilmente come impostare la regola e faccio una prova. Grazie

[xanio]

puoi usare L7, quindi delle lista *.paypa.com *paypal.it e dovresti risolvere il problema.

[EnricoLorenzoni]

non credo che le regole L7 riescano a leggere il traffico criptato con SSL, io farei forse la cosa opposta, ovvero bloccare a livello di classi IP quei pochi siti https che fanno piu` traffico (facebook, google, youtube?), cosi` il cliente non potra` mai dire che paypal non va.

[xanio]

ma in questo caso lui non deve leggere traffico criptato, ma intercettare le connessioni dirette a pypal e PERMETTERLE, quindi lui blocca qualsiasi ip/host di destinazione eccetto quelli presenti nella lista permit.
Quindi tramite una regola di mangle ad hoc, lui intercetta se la connessione è destinata a paypal ed aggiungere la "walled garden", altrimenti ciao!
Ora non l'ho provata ma dovrebbe andare, visto che al volo

Codice: Seleziona tutto

/ip firewall layer7-protocol
add name=Block regexp="^.+(paypal.com|paypal.it).*\$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=Block

questo pool di rules non mi permetto di raggiungere il sito, in quanto il drop avviene prima di instaurare una connessione SSL.

[rosario]

Ciao, io faccio che, quando un utente non paga, tramite radius gli assegno un indirizzo IP particolare.
Quindi, purtroppo a mano, lo faccio staccare dal pppoe-server affinché al re-login acquisisca il nuovo IP.
Sul router di frontiera ho introdotto una regola di redirect e alcune regole di filter che colpiscono gli utenti con ip nel "range dei cattivi"
Con le regole di filter gli autorizzo le richieste dns ma blocco tutto il traffico uscente verso l'esterno della mia rete
Con la redirect "devio" le connessioni su porta 80 verso una pagina statica dove viene invitato a prendere contatto con l'amministrazione
Se ti serve ti incollo due righe di script di come faccio

Sarei interessato io se non ti dispiace. Grazie

[ppraz]

Codice: Seleziona tutto

/ip firewall filter
add chain=forward dst-port=53 protocol=udp src-address-list=payment_reminder
add chain=forward dst-address-list=payment_reminder protocol=udp src-port=53
add chain=forward dst-address-list=payment_reminder src-address=LA_MIA_SUBNET_PUBBLICA
add chain=forward dst-address=LA_MIA_SUBNET_PUBBLICA src-address-list=payment_reminder
add action=drop chain=forward src-address-list=payment_reminder


Codice: Seleziona tutto

/ip proxy
set cache-path=web-proxy1 enabled=yes
/ip proxy access
add dst-address=INDIRIZZO_DEL_SERVER_WEB_PROXY
add action=deny redirect-to=INDIRIZZO_DEL_SERVER_WEB_PROXY/reminder.html