Captive Portal из WAN в LAN. Возможно?



  • Всем привет. Столкнулся с задачей, которую самому не осилить. Прошу вашей помощи.

    Есть роутер с pfSense, который пропускает через себя весь входящий/исходящий трафик в офисе.
    Есть корпоративный сайт, который крутится на сервере в этом же офисе.
    Сразу скажу, что сайт платный, поэтому вмешательство в его код не приветствуется.
    Стоит необходимость раз в сутки, при первом входе пользователя на корпоративный сайт в течении этих суток, показывать ему сначала стороннюю страничку, а потом только позволять ему войти на основной сайт.
    Это требуется для возможности оповещения пользователей, например о том, что в такое-то время будут проводиться профилактические работы с сервером или что сегодня зарплаты не будет.
    Зачем такие сложности, спросите вы? Да затем, что это единственная возможность стопроцентного оповещения сотрудников да еще и с логами.
    Ведь всем известен стандартный набор отговорок, что "Скайп был выключен, телефон разряжен, а почту некогда было глянуть, поэтому и не знал, что сегодня нужно было приехать на корпоратив".
    А так, посмотрел логи, что Иванов сегодня заходил на корпоративный сайт, значит он стопроцентно видел сообщение и не мог его не заметить, т.к. оно было напечатано 70 шрифтом красного цвета.

    В общем, как я это вижу:

    1. Сначала pfSense определяет, что такой-то внешний IP сегодня впервые обращается на локальный сервер 192.168.0.2 по 80 порту, и перенаправляет его на другой сервер 192.168.0.3:80, одновременно добавляя внешний IP этого пользователя в список "надежных".
    2. Пользователь попадает на информативную страничку, ставит галочку "с информацией ознакомлен" и нажимает кнопку, которая просто обновляет страницу.
    3. При обновлении страницы pfSense определяет, что внешний IP пользователя уже присутствует в списке "надежных" и позволяет ему перейти к серверу 192.168.0.2 по 80 порту.
      В 00:00 список "надежных" очищается и все начинается сначала.

    Возможно все это можно организовать и через Captive Portal, но я та к и не смог этого сделать. Не смог развернуть его в сторону WAN.
    Если подскажете в каком направлении двигаться буду премного благодарен.



  • Можно ли по аналогии с этой статьей http://www.thin.kiev.ua/router-os/50-pfsense/550-pf-vhost.html реализовать задуманное?
    Только вот в статье перенаправляют на отдельную страницу локальных пользователей, а мне надо внешних.



  • @o00oalex:

    Можно ли по аналогии с этой статьей http://www.thin.kiev.ua/router-os/50-pfsense/550-pf-vhost.html реализовать задуманное?
    Только вот в статье перенаправляют на отдельную страницу локальных пользователей, а мне надо внешних.

    Можно попробовать  создайть локальную страничку с iframe -<iframe src="http://thin.kiev.ua" width="1280" height="800" frameborder="0"></iframe>

    Но весь смысл данной статьи не дать выйти в интернет.



  • @dr.gopher:

    Но весь смысл данной статьи не дать выйти в интернет.

    Да, я понимаю что в статье говориться о том зак заблочить отдельных пользователей.
    Меня же интересует, сможет ли vHosts перенаправлять внешние запросы на отдельную страничку или нет.
    Есть ли у кого есть опыт в подобном вопросе? А то экспериментировать на работающем роутере как-то не с руки.



  • @o00oalex:

    А то экспериментировать на работающем роутере как-то не с руки.

    А иначе никак! Только пробовать.

    Если посмотреть http://www.thin.kiev.ua/router-os/50-pfsense/464-vhost.html  - Виртуальные хосты настраиваются на внешний IP

    И прочитать самое начало -  "Виртуальные хосты настраиваются на внешний IP"
    Можно предположить (на тот момент, я не проверял внешние запросы), что внешние запросы будут перенаправлены на внутреннюю страничку. И никто не мешает вам на этих страницах изменить HTML код как вам нужно.  ;)


Locked