classic.ISPforum.cz

Zdravim,
uz jste nekdo nalezl nejake reseni pro neplatice ? V dobach kdy nebylo rozsirene SSL to zadny problem nebyl. Ale dnes by musel mit kazdy uzivatel u sebe v PC certifikaty povoleny aby se mu presmerovani provedlo bez typicke obrazovky "Tento web neni bezpecny".
Presmerovani na urovni DNS by take slo, ale kvuli x chachovani to nadela spis vic problemu nez uzitku. Existuje nejake jine, treba i placene reseni ?

Zariznout 32/32Kbps jak na ipv4 tak ipv6 oni se ozvou ze maj pomalej net nebo zapalti.

S_a_M píše:Zariznout 32/32Kbps jak na ipv4 tak ipv6 oni se ozvou ze maj pomalej net nebo zapalti.

To je stejne jako je vypnout a cekat ze se ozvou ze jim nejde net. Rad bych aby meli informaci o tom, ze maji nezaplaceno. Jen nevim jak to udelat zarucene pro vsechny. Ten kdo ma domovskou stranku na http ( coz nema skoro nikdo ), tak to je bez problemu, ale se zbytkem nevim.

My máme www stranku na to. NATEM to tam přesměruješ. Zachvilku se lidi ozvou Stránka běží u nás na sítí, takže DNS netřeba a jenom přesměruje na danou IP.

Pokud by si nechtěl byt tvrdej, tak schedulerem bych nastavil třeba jenom 10min za hodinu - třeba.

Zsir píše:My máme www stranku na to. NATEM to tam přesměruješ. Zachvilku se lidi ozvou Stránka běží u nás na sítí, takže DNS netřeba a jenom přesměruje na danou IP.

Pokud by si nechtěl byt tvrdej, tak schedulerem bych nastavil třeba jenom 10min za hodinu - třeba.

To ale neni reseni pro https preci. To co pisete, delame taky. Ale to plati jen pokud uzivatel jde na web bez SSL.

Zdravím. Již delší dobu používám obyčejné přesměrování na stránku s upozorněním. Ano, je pravda, že blokovanému klientovi se některé stránky zobrazují OK. To mi ale vadilo pouze zpočátku, později mi to vadit přestalo. Důležité je, že je klient trvale upozorňován a není zlomově odpojen, což ho může zbytečně rozčílit. K odpojení dojde až po delší době, pokud nereaguje na upozornění. A nejdůležitější je fakt, že po několika letech není ani jeden dlouhodobý dluh. mpcz, 19.9.2018

mpcz píše:Zdravím. Již delší dobu používám obyčejné přesměrování na stránku s upozorněním. Ano, je pravda, že blokovanému klientovi se některé stránky zobrazují OK. To mi ale vadilo pouze zpočátku, později mi to vadit přestalo. Důležité je, že je klient trvale upozorňován a není zlomově odpojen, což ho může zbytečně rozčílit. K odpojení dojde až po delší době, pokud nereaguje na upozornění. A nejdůležitější je fakt, že po několika letech není ani jeden dlouhodobý dluh. mpcz, 19.9.2018

Takze mate take jen reseni, ze klient ktery ma nezaplaceno tak je presmerovan na Vas web s informaci o tom ze ma dluh. To plati jen pro pripad, ze nema domovskou stranku treba www.seznam.cz. Me spis zajima jak to opravdu muze fungovat, kdyz 95% lidi ma domovskou stranku prave s SSL, takze 95% lidem se neukaze informace o tom, ze dluzi. Vyskoci jim chyba jako je tato:

Chyba zabezpečeného spojení

Při spojení s ispforum.cz nastala chyba. Při komunikaci protokolem SSL byl obdržen záznam přesahující maximální povolenou délku. Kód chyby: SSL_ERROR_RX_RECORD_TOO_LONG

Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.

Zjistit více…

Hlásit chyby jako je tato a pomoci tak organizaci Mozilla identifikovat a blokovat škodlivé stránky

Ok, máš pravdu. Ale nezapomínej, že klient chodí i na jiné stránky, nejen na tu svoji implicitní. A to ke splnění účelu, jak vidno ze statistiky, zatím plně postačuje. A vo tom to je ... mpcz, 19.9.2018

mpcz píše:Ok, máš pravdu. Ale nezapomínej, že klient chodí i na jiné stránky, nejen na tu svoji implicitní. A to ke splnění účelu, jak vidno ze statistiky, zatím plně postačuje. A vo tom to je ... mpcz, 19.9.2018

Domnivam se ze je to necim nepodlozena statistika. Podle me je to spis chybna domnenka. Dluhu ubylo, protoze jim proste vypinate net. Ale rekl bych ze spousta z nich to jen "tusi" nikoliv zeby dostavali nejakou informaci. Clovek ma domovskou stranku seznam, fajn nejde seznam tak jdu na jiny web a ted jaky ? Tech webu ktere nemaji SSL a chodite na ne kazde rano, rekneme prvnich 10 webu, tak si troifnu rict, ze minimalne 8 z 10 ma SSL, takze smolik u druheho webu kdy Vam to nic nerekne a jen oznami ze nejde internet to vzdate a volate poskytovateli proc nejde net a az tam zjistim ze dluzite. Proste to neni reseni dotazovaneho problemu.

Jo to je pravda. Tohle řešení je taky implementované dlouho a dřív to tak nebylo. Ale popravdě zas tak často není třeba lidi upozrovnovat, protože napíšeme radši email. A pouze ve 4 případech jsme použili tuto variantu a vždy do dne zavolali a vše se urovnalo.

Jinak asi DNS přesměrováním aby to bylo 100%.

a co zkusit hotspot ? a udelat script kterej ti je bude pridavat do poolu s rozsahem v hotspotu jo sorry ja zapomel kdyz nemas proroutovanou sit ani ppoe tunely ale jen bridge tak ti to fungovat nebude ale i tak je reseni ! treba nestavet firewall na mikrotiku ale hpčku,cisco či pfsense. mas se.toho dost jeste ucit... pokud furt nevis tak mi napis...

IpHelper píše:a co zkusit hotspot ? a udelat script kterej ti je bude pridavat do poolu s rozsahem v hotspotu jo sorry ja zapomel kdyz nemas proroutovanou sit ani ppoe tunely ale jen bridge tak ti to fungovat nebude ale i tak je reseni ! treba nestavet firewall na mikrotiku ale hpčku,cisco či pfsense. mas se.toho dost jeste ucit... pokud furt nevis tak mi napis...

Tady se neresi, jak odlisit dluzniky od nedluzniku, ale jak resit spolehlive presmerovani na infostranku v dobe HTTPS, HSTS, HPKP, DNSSEC a podobně : -)

Dříve jsme zařízli (přímo na CPE) rychlost na 64 kbps a počkali, až se dotyčný ozve sám. Ozvali se všichni, ortodoxní neplatiči jen kvůli tomu, že se jim dlouho načítá youtube. Od té doby to prostě vypínáme pravidlem ve firewallu CPE - všechno na HTTP přesměrovat na web s informací, že dotyčný má kontaktovat hotline, všechno ostatní z LAN do WAN zahodit - nebo v případě PPPoE a podobně prostě zneplatníme login a rebootujeme CPE. Na nefunkční připojení se ozve každý, jde jen o to zablokovat to tak, aby to šlo snadno odblokovat v případě chyby.

Zase někdo chytrej ... proč ne mikrotik, ale pfsense jo? Nebo jiná otázka - na jakých mašinách cisco či hp mám možnost stavového firewallu?

IpHelper píše:a co zkusit hotspot ? a udelat script kterej ti je bude pridavat do poolu s rozsahem v hotspotu jo sorry ja zapomel kdyz nemas proroutovanou sit ani ppoe tunely ale jen bridge tak ti to fungovat nebude ale i tak je reseni ! treba nestavet firewall na mikrotiku ale hpčku,cisco či pfsense. mas se.toho dost jeste ucit... pokud furt nevis tak mi napis...

ludvik píše: Nebo jiná otázka - na jakých mašinách cisco či hp mám možnost stavového firewallu?

Máme přesměrování na Catalystu 6500 a Cisco 7600 pomocí policy routingu. Veškerý traffic směruji na linuxový stroj, kde NAT pravidlem vše co jde na port 80 přesměruju na místní webservedr kde je jen HTTP redirect na URL našeho webu s informační stránkou (třeba infostránku ispadmina). Je tam pár záludností, kdyby jsi k tomu chtěl nějaké detaily tak napiš do SZ.


Jinak ten redirect musí mít nějaké konkrétní vlastnosti aby zafungovala detekce "captive portalu" v moderních operačních systémech a prohlížečích. Pak se zobrazí nějaké upozornění že "je potřeba přihlašovací údaje" a klienta to samo hodí na naši infostránku.

Když jsem ještě byl mladý a hloupý, dělal jsem redirect tak, že se uživateli zobrazila custom 404 stránka (protože na tom webserveru nic nebylo) a v ní byl "meta refresh". To ale fungovalo špatně - detekce "zprávu" 404 považovala za chybu a ne za captive portal. Nyní pokud si to správně pamatuji vracím 302 + "no cache" + "connection close" a detekce funguje výrazně lépe.