Jak na Mikrotiku neplatici podsunout informaci o neuhrazeni NETu

[hanzIT]

Ahoj,

s MT zacinam...momentalne resim, jak se vyporadat s neplaticema...

tj.

jak je uplne vypnout, nebo, jak jim podsunout urcitou www, na ktere bude info o neuhrazeni platby... a net vyrazne omezit...

dekuji za pomoc

HIT

[Noxus28]

ahoj
máš možnosť presmerovať na mikrotik hotspot. Stránku ktorú si upravíš tak aby zákazníka upozornila a po odkliknutí sa dostal na net s rýchlosťou akú si zadáš v profile.
Alebo ak používa zákazník tvoje DNS všetky jeho dotazy presmerovať na nejakú tvoju internú stránku s upozornením o nezaplatení.

Budeš s tým mať ale boj hlavne u HTTPS a DNSsec a podobných vymožeností...

[Grul]

Tak můžeš jen ve FW všechny http/s dotazy směrovat na nějakej svůj web a ostatní porty zahazovat.
Osobně doporučuji net nezpomalovat, ale upozornit předem na nezaplacení a pak rovnou blokovat, když nereaguje.
Někteří jsou vychcánci a jeli by na pomalejší net než by ti došla trpělivost a hlavně tahej z nich pak něco.

[hanzIT]

Diky. Neco si o tom prectu. Puvodne jsem myslel, ze bych nejak zakazal MAC koncoveho zarizeni, nebo tak neco...to sice nebude 100%, ale oni tomu jinak nerozumi...

[Noxus28]

opäť máš viac možností, či na bráne vypnúť srcnat pre rozsah ktorý posúvaš klientovi, alebo vypnúť port na switchy ktorý je pred klientom, alebo zakázať na AP klienta.... možností kopa ale bez znalosti tvojej infraštruktúry ti 100% odpoveď asi niekto nedá

[mpcz]

Zdravím, osobně používám přesměrování neplatiče na mou www stránku s upozorněním, že není zaplaceno. To má ovšem vadu v tom, že https stránky "projdou". To by ani tak nevadilo, práce přes takový "filtr" je natolik otravná, že klient zaplatí. Jen bych to ale ještě rád vylepšil skriptem, který by dotyčnou IP třeba za hodinu? uvolnil na 5 minut?, aby dotyčný mohl v bance zadat příkaz k platbě a nemusel volat, že by rád zaplatil, ale nemá jak. Blokace je řízená položkou "Address" v kartě "Address lists". Ať neřeším něco, co je už dávno vyřešeno - nemá to prosím někdo už úspěšně pořešené? Děkuji, mpcz, 15.4.2018

[basty]

Máme na stránce specifikovány čas ve který to funguje. V nastavení jsou 2 pravidla řízený časem. Jedno do 19:40 a druhý začíná 19:50. Mají 10m na zaplacení. Není potřeba skripty

[mpcz]

OK, tak jsem si představoval. Je to prosím dlouhodobě provozně odzkoušené? Byl by nějaký podrobnější popis, kde a co je? Děkuji, mpcz, 15.4.2018

[cerva]

Používám DSTNAT na koncovém routeru veškerého odchozího provozu od dlužníka na jedinou IP, kde běží HTTP/HTTPS infostránka o nezaplacení s kontaktním telefonem. Dlužníky sype systém do ipsetu (na MK by to byl address list), takže kvuli nim ani nemusím přegenerovávat firewall. Ten nápad s 10 minutami pro zaplacení moc hezký, díky za inspiraci.

[rsaf]

Máme to tak, že po "odpojení" umožníme zákazníkovi kliknutím na infostránce si připojení znova aktivovat. Aktivace je na 3 dny a může být provedena maximálně 3x. Hlavní cíl je, aby co nejméně zákazníků volalo a musela to řešit podpora, aby jsme zbytečně nezařízli zákazníka na příliš dlouho (odpojení vyjde na pátek, zákazník to zjistí večer po příchodu z práce a do pondělí je bez internetu). Po zkušenostech to odkliknutí povolujeme 3x a ne třeba jen jednou - stávalo se, že klient říkal že on nic nečetl - odklikly to třeba děti. Nesplňovalo to pak ten účel že "lidé kvůli toho nevolají". Nevadí mi pustit někomu na pár dní internet - stejně to pak většina lidí doplatí (těch co by nezaplatili, využili na pár dní a pak zmizeli je minimum).

Z technické stránky: máme to na Ciscu, automaticky generujeme access-list na základě dat z CRM a informací o "odkliknutí", na základě access-listu se v route-map přesměrovává veškerý provoz od klienta na webserver (ten je na samostatné vlaně aby se zajistilo že provoz projde jednou cestou tam i zpět). Směrem k webserveru je na ciscu ještě filtr, který tam od klienta nepustí nic jiného, než provoz na portu 80 (aby ten webserver nebombardovaly všechny požadavky od klienta), na webserveru je nastaven DNAT z portu 80 na port 81. Na portu 81 je webserver, který při jakémkoliv přístupu (máme to v konfiguraci apache) pošle redirect na URL infostránky (takže nedochází k načtení infostránky, která leze do DB.... při pokusu o stažení obrázků, přístupu různých aplikací...
Velmi podobně jsme to provozovali na Linuxu, na Mikrotuku to bude taky +/- to samé.

Zásadní je celou věc maximálně automatizovat - klientům, kteří se kvůli odpojení čertí říkáme "to ne my, to automat".

[mpcz]

Děkuji za několikakeré zopakování původního dotazu různými způsoby. Bohužel ani jeden příspěvek nepopisuje to, co zaznělo v původním dotazu (to Basty): "Byl by nějaký podrobnější popis, kde a co je?". Děkuji, mpcz, 15.4.2018

[rsaf]

Co ještě chceš více? Vždyť je tady celkem podrobně popsáno několik způsobů jak to udělat, každý síťař, který tuší, jak na mikrotiku fungují trošku "pokročilejší" firewallové funkce (dst-nat, address-list) to podle nich dokáže udělat.

Jinak dost záleží, kam do sítě se tato věc zařadí, jaká je topologie, jaký CRM se používá, jaké je serverové vybavení/možnosti... Nikdo ti tady nebude psát návod typu otevři IP, firewall, přepni se na záložku NAT, klikni na plus...

[basty]

Pak to poslu. Ale neresi to https... Je to hodně jednoduché.

[mpcz]

Co ještě chceš více? Vždyť je tady celkem podrobně popsáno několik způsobů jak to udělat, každý síťař, který tuší, jak na mikrotiku fungují trošku "pokročilejší" firewallové funkce (dst-nat, address-list) to podle nich dokáže udělat.
Jinak dost záleží, kam do sítě se tato věc zařadí, jaká je topologie, jaký CRM se používá, jaké je serverové vybavení/možnosti... Nikdo ti tady nebude psát návod typu otevři IP, firewall, přepni se na záložku NAT, klikni na plus...

Moc se omlouvám. Já ale nejsem žádný síťař. Nemám ani všechny třídy ZDŠ, pak zaučený strojní zámečník, nedoučený. Navíc se mi čas na nějaké Zbytečně dlouhé výzkumy nebezpečně krátí. Doufám, že mou omluvu kolega Basty přijme a popíše (třeba) ty 2 řádky. A i kdyby byla ta odpověď delší, určitě bude kratší, než ten balast výše. Pak Ti odpovím. Děkuji za pochopení, mpcz, 15.4.2018
p.s. to Basty: ano, jak píši v dotazu, vím že https to neřeší, ale to lze v praxi překousnout.

[rsaf]

Právě proto. Strojaři dělají sítě, síťaři dělají strojařinu a vypadá to, jak to vypadá.

Přesměrovávat jen HTTP a nechat zbytek žít je špatně - čím dál více webů totiž zákazníkovi bude fungovat (jak se tlačí na HTTP), naopak v mnoha případech budou věci fungovat divně (když je ve stránce část nešifrovaného obsahu a stránka se tak načte z půlky nebo se v části stránky zobrazí "zmršená" stránka s upozorněním anebo začnou padat na hubu skripty, které si něco dotahovaly třeba AJAXem a místo toho jim chodí nějaké nesmysly...

Je potřeba povolit DNS + přesměrovat HTTP + zakázat ostatní.

Kus mé konfigurace

CISCO

Kód: Vybrat vše

! ACL co povoluje DNS + nas webserver
ip access-list extended redirect-except
 permit udp any any eq domain    - povoleni DNS
 permit ip any host x.x.x.x   

! ACL s odpojenyma IPckama (stacilo by to jednosmerne ale generuje to script, co generuje ACL i pro shaper. V TCAM mame mista dost, takze to nevadi)
ip access-list extended redirect-disconn 
 permit ip any host 10.101.30.19
 permit ip host 10.101.30.19 any
 permit ip any host 10.101.31.10
 permit ip host 10.101.31.10 any
 deny ip any any

! filtr na VLAN iface na kterem je na /30 spojovackou  redirect webserver (virtualka)
ip access-list extended redirect-iffilter   
 permit tcp any any eq www
 permit ip any host 10.0.253.2
 deny   ip any any

! interface kam je pripojen webserver
interface Vlan2004
 ip address 10.0.253.1 255.255.255.252
 ip access-group redirect-iffilter out

! route-mapa, ktera zajistuje presmerovani
route-map redirect permit 10
 match ip address redirect-except
route-map redirect permit 20
 match ip address redirect-disconn
 set ip next-hop 10.0.253.2

! interface smerem DO internetu, kudy prochazi vsechen provoz
interface Port-channel41
 ip address x.x.x.x m.m.m.m
 ip policy route-map redirect


Linux webserver - startup script

Kód: Vybrat vše

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 81


Linux webserver - sysctl.conf

Kód: Vybrat vše

net.ipv4.ip_forward=1


Linux webserver - Apache

Kód: Vybrat vše

<VirtualHost *:81>
        ServerAdmin info@ispfirma.cz
        DocumentRoot /var/www/redir
        ErrorDocument 404 /index.html
        ExpiresDefault "access plus 1 seconds"
        Header merge Cache-Control no-cache

        Header merge Cache-Control no-store
        Header merge Pragma no-cache
        Header merge Expires "Tue, 01 Jan 1980 1:00:00 GMT"
        ... zkraceno o veci kolem pristupu k adresari, logovani...
</VirtualHost>


Linux webserver - index.html

Kód: Vybrat vše

<HTML>
<HEAD>
<META http-equiv="refresh" content="1;url=http://www.ispfirma.net/user/disconnected.php">
<META HTTP-EQUIV="Cache-Control" CONTENT="max-age=0">

<META HTTP-EQUIV="Cache-Control" CONTENT="no-cache">
<META HTTP-EQUIV="expires" content="0">
<META HTTP-EQUIV="Expires" CONTENT="Tue, 01 Jan 1980 1:00:00 GMT">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
</HEAD>

<BODY>
<H1>Presmerovavam...</H1>
Redirecting, please wait...

<!-- lorem ipsum aby se natahla stranka a i MSIE ji pouzil a nejen vyhodil vlastni 404
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Maecenas vestibulum....(min. 512 byte)

-->
</BODY>
</HTML>



Stránka na adrese http://www.ispfirma.net/user/disconnected.php a celý mechanizmus načítání z DB, automatické úpravy access-listu, inicializace aktualizace potom, co uživatel klikne na čudlík... je jiná a složitější pohádka...