Captive portal и публичные DNS

werter

Доброе.
А можно ли в наст. CP внести адреса внешнего DNS типа в белый список \ allowed ip ?

PbIXTOP

Я решал этот способ через отключением запросов не на свой DNS,
Прописывал пару правил на LAN интерфейсе.
IPv4 TCP/UDP  *  *  LAN address  53 (DNS)  *  none       
IPv4 TCP/UDP  *  *  127.0.0.1  53 (DNS)  *  none

И делал Port Forward  тоже на LAN интерфейсе.
LAN  TCP/UDP  *  *  ! LAN address  53 (DNS)  127.0.0.1  53 (DNS)

Как вариант можно подсмотреть правила captive portal для 80-го порта и использовать их для DNS запросов, это для того чтобы после авторизации клиент мог пользоваться своим DNS.
Только не забывайте что через DNS можно гонять приличный трафик, если его сделать полностью прозрачным для клиента.

werter

2 PbIXTOP
Вы перемудрили с ДНС. Уверен ,что в настройках CP есть что-то типа белого списка, куда можно внести ip днс-серверов.
И как будет гоняться трафик, если вы откроете только опред. ип для днс ? Напр., гугловские 8.8.4.4, 8.8.8.8.

dark0n

@werter:

2 PbIXTOP
Вы перемудрили с ДНС. Уверен ,что в настройках CP есть что-то типа белого списка, куда можно внести ip днс-серверов.
И как будет гоняться трафик, если вы откроете только опред. ип для днс ? Напр., гугловские 8.8.4.4, 8.8.8.8.

Это слишком просто, к нам приезжают сотни гостей-иностранцев, и я сталкиваюсь со всё новыми днс серверами. Добавлять их в allowed IP не очень правильно.

werter

А то, что они ip адреса получают автоматом от пф - это ничего ? Или Вы руками прописываете сет. атрибуты каждому на всех их устройствах ?
Выдавайте всем в кач-ве днс или адрес пф или гугловские. В чем проблема-то ?

dark0n

Проблема в том, что CP работает только в том случае, когда юзер использует PF как днс.

werter

А зачем пол-лям сторонние днс ? Пф неправильно разрешает имена в ип ?

dark0n

Все очень банально. Буквально на днях приезжает гость и не может подключиться к ви-фи. Я спрашиваю по телефону: меняли ли вы в настройках сетевухи днс, а тот понятия не имеет что это, тогда я смотрю в логах файрвола  и вижу что он ломится на 8.8.8.8. гугл днс у меня разрешен, но он не резолвится, поскольку домена hotspot.***.ru  попросту нет.

werter

Дело в том, что у гостей могут и "руками" быть вбиты сетевые настройки wi-fi . Что Вы в этом случае делать будете?
Не ломайте себе голову. Возникли проблемы у клиента - исправьте их. Не думаю, что таких у Вас будет каждый второй.

А под всех на все 100% не подстроишься.

PbIXTOP

@dark0n:

Все очень банально. Буквально на днях приезжает гость и не может подключиться к ви-фи. Я спрашиваю по телефону: меняли ли вы в настройках сетевухи днс, а тот понятия не имеет что это, тогда я смотрю в логах файрвола  и вижу что он ломится на 8.8.8.8. гугл днс у меня разрешен, но он не резолвится, поскольку домена hotspot.***.ru  попросту нет.

На самом деле это плохо, что внешние DNS не знают вашу сеть, ведь несложно добавить, тем более что у вас похоже есть нормальный домен 2-го уровня.