daarma
Goto Top

Filterung von HTTPS-Aufrufen mit Mikrotik

Servus miteinander,

ich komme jetzt irgendwie nicht weiter.

Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll der Internet-Zugriff auf zwei Websites beschränkt werden. Die eine funktioniert ausschließlich mit HTTPS, die andere hat HTTP und HTTPS Anteile. Alles andere (Web, Mail etc.) soll gesperrt sein.
Etwas ausführlicher habe ich mein Vorhaben in einem anderen Thread beschrieben: Korrekte VLAN Konfiguration Mikrotik RB2011UiAS

Mein Setup ist unverändert (ggü. zitiertem Posting):
- VLAN-fähiger Switch Zyxel GS-1910
- Zwei AP Draytek Vigor 900
- Router Mikrotik RB2011UiAS-RM
- Der MT hängt hinter einer Fritzbox 7270, die den Internetzugang besitzt.

Alle Firewall-Regeln habe ich mittlerweile problemlos umsetzen können:
- Die einzelnen WLANs (VLANs) sind wie gewünscht voneinander abgeschottet
- aus allen komme ich problemlos ins Internet
- für das eingeschränkte WLAN habe ich entsprechende Firewall-Regeln implementiert, die alles außer Port 80 und 443 (und DNS) blocken
- Zugriffe auf Ports 80 und 443 werden auf 8080 umgeleitet (Proxy)
- für das eingeschränkte WLAN habe ich einen Web-Proxy im MT aufgesetzt mit einer entsprechenden Access List

Nun mein Problem: Solange die Zugriffe gegen Port 80 erfolgen, also HTTP, ist alles bestens. Zugriffe auf HTTPS Seiten funktionieren nicht (es kommt allerdings auch keine "Prohibited" Meldung vom Proxy)

Ich habe viel zu dem Thema gelesen - auch im englischsprachigen Forum von MT. Was mich wundert: die einen sagen, dass HTTPS bei ihnen erfolgreich gefiltert werden kann entweder mittels
a) L7 protocol in Firewall-Rule oder
b) mittels der Content-Eigenschaft in Firewall-Rule
(Beispiel: https://www.facebook.com)
Andere sagen, das kann so nicht funktionieren.

Bei mir funktioniert das ebenfalls nicht. Habe beide Möglichkeiten ausprobiert.
Kann mir jemand erklären, warum das nicht gehen soll? Meines Wissens ist doch der Verbindungsaufbau bei HTTPS unverschlüsselt. Kleine Tests mit Wireshark auf meine Banking-Seite haben das bestätigt...Die Verschlüsselung beginnt ja erst nach erfolgreichem Zertifikat-Tausch (und dessen Verifizierung).

Anbei noch ein paar Screenshots meiner Config.

Firewall / Filter rules

262c88f7aed3c711a095cc8f6c86281e

Firewall / NAT

5e23bfb6c233b411034aa8e67a0db87d

Web Proxy / Access

f9786c27edc08c3142c042c9b4c7ecce


Für weitere Anregungen zur Murks-Vermeidung bin ich natürlich auch dankbar face-wink

Grüße
daarma

Content-ID: 255546

Url: https://administrator.de/contentid/255546

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

psannz
Lösung psannz 21.11.2014, aktualisiert am 29.11.2014 um 09:16:20 Uhr
Goto Top
Sers,

warum machst du es dir denn so kompliziert? Wenn die User wirklich nur auf diese 2 Webseiten Zugriff bekommen sollen, und sonst nichts, dann binde sie doch via Hotspot an und pack die beiden URLs in einen Walled Garden.
Zugangsdaten brauchen sie dann nicht, und wenn du magst könntest du etwa die standardmäßige Redirect Seite auf die HTTP-Seite (nicht die HTTPS) leiten. Oder auf eine spezielle Landing Page mit Links zu den beiden freigegebenen Seiten.

Das Firewalling usw. macht das RouterOS dann ganz von allein für dich.

Grüße,
Philip
exchange
exchange 21.11.2014 um 22:39:56 Uhr
Goto Top
Hallo,
also ich habe das gerade mal ausprobiert und ich kann Seiten freigeben und sperren. Es kommt halt keine Meldung aber die https Seite baut sich auch nicht auf.
Nimm aber eine andere Seite als Facebook. Mit der hat es bei mir auch nicht funktioniert. Ich denke, dass da jquery & co über externe Server nachgeladen werden. Mit der Hausbank hat es bestens funktioniert.

Gruß
daarma
daarma 29.11.2014 um 09:26:33 Uhr
Goto Top
Servus,

jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.

Noch zwei ergänzende Fragen:

1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die gleiche IP-Adresse zugewiesen bekommen?

2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
psannz
psannz 29.11.2014 um 20:32:05 Uhr
Goto Top
Zitat von @daarma:

Servus,

jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft
sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.

Noch zwei ergänzende Fragen:

1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die
gleiche IP-Adresse zugewiesen bekommen?

IP Bindings

2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am
Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?

Genau. Das wäre eine Möglichkeit.