Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Presmerovani neplaticu

RADIUS, CAPsMAN, The Dude, AirControl, UniFi, Zabbix atd.
Orel005
Příspěvky: 690
Registrován: 13 years ago

Presmerovani neplaticu

Příspěvekod Orel005 » 5 years ago

Zdravim,
uz jste nekdo nalezl nejake reseni pro neplatice ? V dobach kdy nebylo rozsirene SSL to zadny problem nebyl. Ale dnes by musel mit kazdy uzivatel u sebe v PC certifikaty povoleny aby se mu presmerovani provedlo bez typicke obrazovky "Tento web neni bezpecny".
Presmerovani na urovni DNS by take slo, ale kvuli x chachovani to nadela spis vic problemu nez uzitku. Existuje nejake jine, treba i placene reseni ?
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting

Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.

S_a_M
Příspěvky: 458
Registrován: 8 years ago
Bydliště: Protektorat Böhmen und Mähren

Příspěvekod S_a_M » 5 years ago

Zariznout 32/32Kbps jak na ipv4 tak ipv6 oni se ozvou ze maj pomalej net nebo zapalti.
0 x
Placam si jatra, tak mne neberte vazne :)
Ceragona uz mi tak nevadi. Vadi mi ovsem ze kuci v CEZu nedelaj svoji praci tak jak maj !!!

Orel005
Příspěvky: 690
Registrován: 13 years ago

Příspěvekod Orel005 » 5 years ago

S_a_M píše:Zariznout 32/32Kbps jak na ipv4 tak ipv6 oni se ozvou ze maj pomalej net nebo zapalti.


To je stejne jako je vypnout a cekat ze se ozvou ze jim nejde net. Rad bych aby meli informaci o tom, ze maji nezaplaceno. Jen nevim jak to udelat zarucene pro vsechny. Ten kdo ma domovskou stranku na http ( coz nema skoro nikdo ), tak to je bez problemu, ale se zbytkem nevim.
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting

Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.

Zsir
Příspěvky: 80
Registrován: 9 years ago

Příspěvekod Zsir » 5 years ago

My máme www stranku na to. NATEM to tam přesměruješ. Zachvilku se lidi ozvou :-) Stránka běží u nás na sítí, takže DNS netřeba a jenom přesměruje na danou IP.

Pokud by si nechtěl byt tvrdej, tak schedulerem bych nastavil třeba jenom 10min za hodinu - třeba.
0 x

Orel005
Příspěvky: 690
Registrován: 13 years ago

Příspěvekod Orel005 » 5 years ago

Zsir píše:My máme www stranku na to. NATEM to tam přesměruješ. Zachvilku se lidi ozvou :-) Stránka běží u nás na sítí, takže DNS netřeba a jenom přesměruje na danou IP.

Pokud by si nechtěl byt tvrdej, tak schedulerem bych nastavil třeba jenom 10min za hodinu - třeba.


To ale neni reseni pro https preci. To co pisete, delame taky. Ale to plati jen pokud uzivatel jde na web bez SSL.
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting

Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.

mpcz
Příspěvky: 2779
Registrován: 18 years ago

Příspěvekod mpcz » 5 years ago

Zdravím. Již delší dobu používám obyčejné přesměrování na stránku s upozorněním. Ano, je pravda, že blokovanému klientovi se některé stránky zobrazují OK. To mi ale vadilo pouze zpočátku, později mi to vadit přestalo. Důležité je, že je klient trvale upozorňován a není zlomově odpojen, což ho může zbytečně rozčílit. K odpojení dojde až po delší době, pokud nereaguje na upozornění. A nejdůležitější je fakt, že po několika letech není ani jeden dlouhodobý dluh. mpcz, 19.9.2018
0 x

Orel005
Příspěvky: 690
Registrován: 13 years ago

Příspěvekod Orel005 » 5 years ago

mpcz píše:Zdravím. Již delší dobu používám obyčejné přesměrování na stránku s upozorněním. Ano, je pravda, že blokovanému klientovi se některé stránky zobrazují OK. To mi ale vadilo pouze zpočátku, později mi to vadit přestalo. Důležité je, že je klient trvale upozorňován a není zlomově odpojen, což ho může zbytečně rozčílit. K odpojení dojde až po delší době, pokud nereaguje na upozornění. A nejdůležitější je fakt, že po několika letech není ani jeden dlouhodobý dluh. mpcz, 19.9.2018


Takze mate take jen reseni, ze klient ktery ma nezaplaceno tak je presmerovan na Vas web s informaci o tom ze ma dluh. To plati jen pro pripad, ze nema domovskou stranku treba www.seznam.cz. Me spis zajima jak to opravdu muze fungovat, kdyz 95% lidi ma domovskou stranku prave s SSL, takze 95% lidem se neukaze informace o tom, ze dluzi. Vyskoci jim chyba jako je tato:

Chyba zabezpečeného spojení

Při spojení s ispforum.cz nastala chyba. Při komunikaci protokolem SSL byl obdržen záznam přesahující maximální povolenou délku. Kód chyby: SSL_ERROR_RX_RECORD_TOO_LONG

Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.

Zjistit více…

Hlásit chyby jako je tato a pomoci tak organizaci Mozilla identifikovat a blokovat škodlivé stránky
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting

Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.

mpcz
Příspěvky: 2779
Registrován: 18 years ago

Příspěvekod mpcz » 5 years ago

Ok, máš pravdu. Ale nezapomínej, že klient chodí i na jiné stránky, nejen na tu svoji implicitní. A to ke splnění účelu, jak vidno ze statistiky, zatím plně postačuje. A vo tom to je ... mpcz, 19.9.2018
0 x

Orel005
Příspěvky: 690
Registrován: 13 years ago

Příspěvekod Orel005 » 5 years ago

mpcz píše:Ok, máš pravdu. Ale nezapomínej, že klient chodí i na jiné stránky, nejen na tu svoji implicitní. A to ke splnění účelu, jak vidno ze statistiky, zatím plně postačuje. A vo tom to je ... mpcz, 19.9.2018


Domnivam se ze je to necim nepodlozena statistika. Podle me je to spis chybna domnenka. Dluhu ubylo, protoze jim proste vypinate net. Ale rekl bych ze spousta z nich to jen "tusi" nikoliv zeby dostavali nejakou informaci. Clovek ma domovskou stranku seznam, fajn nejde seznam tak jdu na jiny web a ted jaky ? Tech webu ktere nemaji SSL a chodite na ne kazde rano, rekneme prvnich 10 webu, tak si troifnu rict, ze minimalne 8 z 10 ma SSL, takze smolik u druheho webu kdy Vam to nic nerekne a jen oznami ze nejde internet to vzdate a volate poskytovateli proc nejde net a az tam zjistim ze dluzite. Proste to neni reseni dotazovaneho problemu.
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting

Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.

Zsir
Příspěvky: 80
Registrován: 9 years ago

Příspěvekod Zsir » 5 years ago

Jo to je pravda. Tohle řešení je taky implementované dlouho a dřív to tak nebylo. Ale popravdě zas tak často není třeba lidi upozrovnovat, protože napíšeme radši email. A pouze ve 4 případech jsme použili tuto variantu a vždy do dne zavolali a vše se urovnalo.

Jinak asi DNS přesměrováním aby to bylo 100%.
0 x

IpHelper
Příspěvky: 4
Registrován: 6 years ago

Příspěvekod IpHelper » 5 years ago

a co zkusit hotspot ? a udelat script kterej ti je bude pridavat do poolu s rozsahem v hotspotu jo sorry ja zapomel kdyz nemas proroutovanou sit ani ppoe tunely ale jen bridge tak ti to fungovat nebude ale i tak je reseni ! treba nestavet firewall na mikrotiku ale hpčku,cisco či pfsense. mas se.toho dost jeste ucit... pokud furt nevis tak mi napis...
0 x

cerva
Příspěvky: 254
Registrován: 9 years ago

Příspěvekod cerva » 5 years ago

IpHelper píše:a co zkusit hotspot ? a udelat script kterej ti je bude pridavat do poolu s rozsahem v hotspotu jo sorry ja zapomel kdyz nemas proroutovanou sit ani ppoe tunely ale jen bridge tak ti to fungovat nebude ale i tak je reseni ! treba nestavet firewall na mikrotiku ale hpčku,cisco či pfsense. mas se.toho dost jeste ucit... pokud furt nevis tak mi napis...

Tady se neresi, jak odlisit dluzniky od nedluzniku, ale jak resit spolehlive presmerovani na infostranku v dobe HTTPS, HSTS, HPKP, DNSSEC a podobně : -)
2 x

Uživatelský avatar
Myghael
Příspěvky: 1309
Registrován: 12 years ago

Příspěvekod Myghael » 5 years ago

Dříve jsme zařízli (přímo na CPE) rychlost na 64 kbps a počkali, až se dotyčný ozve sám. Ozvali se všichni, ortodoxní neplatiči jen kvůli tomu, že se jim dlouho načítá youtube. Od té doby to prostě vypínáme pravidlem ve firewallu CPE - všechno na HTTP přesměrovat na web s informací, že dotyčný má kontaktovat hotline, všechno ostatní z LAN do WAN zahodit - nebo v případě PPPoE a podobně prostě zneplatníme login a rebootujeme CPE. Na nefunkční připojení se ozve každý, jde jen o to zablokovat to tak, aby to šlo snadno odblokovat v případě chyby.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 5 years ago

Zase někdo chytrej ... proč ne mikrotik, ale pfsense jo? Nebo jiná otázka - na jakých mašinách cisco či hp mám možnost stavového firewallu?
IpHelper píše:a co zkusit hotspot ? a udelat script kterej ti je bude pridavat do poolu s rozsahem v hotspotu jo sorry ja zapomel kdyz nemas proroutovanou sit ani ppoe tunely ale jen bridge tak ti to fungovat nebude ale i tak je reseni ! treba nestavet firewall na mikrotiku ale hpčku,cisco či pfsense. mas se.toho dost jeste ucit... pokud furt nevis tak mi napis...
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 5 years ago

ludvik píše: Nebo jiná otázka - na jakých mašinách cisco či hp mám možnost stavového firewallu?

Máme přesměrování na Catalystu 6500 a Cisco 7600 pomocí policy routingu. Veškerý traffic směruji na linuxový stroj, kde NAT pravidlem vše co jde na port 80 přesměruju na místní webservedr kde je jen HTTP redirect na URL našeho webu s informační stránkou (třeba infostránku ispadmina). Je tam pár záludností, kdyby jsi k tomu chtěl nějaké detaily tak napiš do SZ.


Jinak ten redirect musí mít nějaké konkrétní vlastnosti aby zafungovala detekce "captive portalu" v moderních operačních systémech a prohlížečích. Pak se zobrazí nějaké upozornění že "je potřeba přihlašovací údaje" a klienta to samo hodí na naši infostránku.

Když jsem ještě byl mladý a hloupý, dělal jsem redirect tak, že se uživateli zobrazila custom 404 stránka (protože na tom webserveru nic nebylo) a v ní byl "meta refresh". To ale fungovalo špatně - detekce "zprávu" 404 považovala za chybu a ne za captive portal. Nyní pokud si to správně pamatuji vracím 302 + "no cache" + "connection close" a detekce funguje výrazně lépe.
4 x