4
Filterung von HTTPS-Aufrufen mit Mikrotik
Servus miteinander,
ich komme jetzt irgendwie nicht weiter.
Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll der Internet-Zugriff auf zwei Websites beschränkt werden. Die eine funktioniert ausschließlich mit HTTPS, die andere hat HTTP und HTTPS Anteile. Alles andere (Web, Mail etc.) soll gesperrt sein.
Etwas ausführlicher habe ich mein Vorhaben in einem anderen Thread beschrieben: Korrekte VLAN Konfiguration Mikrotik RB2011UiAS
Mein Setup ist unverändert (ggü. zitiertem Posting):
- VLAN-fähiger Switch Zyxel GS-1910
- Zwei AP Draytek Vigor 900
- Router Mikrotik RB2011UiAS-RM
- Der MT hängt hinter einer Fritzbox 7270, die den Internetzugang besitzt.
Alle Firewall-Regeln habe ich mittlerweile problemlos umsetzen können:
- Die einzelnen WLANs (VLANs) sind wie gewünscht voneinander abgeschottet
- aus allen komme ich problemlos ins Internet
- für das eingeschränkte WLAN habe ich entsprechende Firewall-Regeln implementiert, die alles außer Port 80 und 443 (und DNS) blocken
- Zugriffe auf Ports 80 und 443 werden auf 8080 umgeleitet (Proxy)
- für das eingeschränkte WLAN habe ich einen Web-Proxy im MT aufgesetzt mit einer entsprechenden Access List
Nun mein Problem: Solange die Zugriffe gegen Port 80 erfolgen, also HTTP, ist alles bestens. Zugriffe auf HTTPS Seiten funktionieren nicht (es kommt allerdings auch keine "Prohibited" Meldung vom Proxy)
Ich habe viel zu dem Thema gelesen - auch im englischsprachigen Forum von MT. Was mich wundert: die einen sagen, dass HTTPS bei ihnen erfolgreich gefiltert werden kann entweder mittels
a) L7 protocol in Firewall-Rule oder
b) mittels der Content-Eigenschaft in Firewall-Rule
(Beispiel: https://www.facebook.com)
Andere sagen, das kann so nicht funktionieren.
Bei mir funktioniert das ebenfalls nicht. Habe beide Möglichkeiten ausprobiert.
Kann mir jemand erklären, warum das nicht gehen soll? Meines Wissens ist doch der Verbindungsaufbau bei HTTPS unverschlüsselt. Kleine Tests mit Wireshark auf meine Banking-Seite haben das bestätigt...Die Verschlüsselung beginnt ja erst nach erfolgreichem Zertifikat-Tausch (und dessen Verifizierung).
Anbei noch ein paar Screenshots meiner Config.
Firewall / Filter rules
Firewall / NAT
Web Proxy / Access
Für weitere Anregungen zur Murks-Vermeidung bin ich natürlich auch dankbar
Grüße
daarma
ich komme jetzt irgendwie nicht weiter.
Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll der Internet-Zugriff auf zwei Websites beschränkt werden. Die eine funktioniert ausschließlich mit HTTPS, die andere hat HTTP und HTTPS Anteile. Alles andere (Web, Mail etc.) soll gesperrt sein.
Etwas ausführlicher habe ich mein Vorhaben in einem anderen Thread beschrieben: Korrekte VLAN Konfiguration Mikrotik RB2011UiAS
Mein Setup ist unverändert (ggü. zitiertem Posting):
- VLAN-fähiger Switch Zyxel GS-1910
- Zwei AP Draytek Vigor 900
- Router Mikrotik RB2011UiAS-RM
- Der MT hängt hinter einer Fritzbox 7270, die den Internetzugang besitzt.
Alle Firewall-Regeln habe ich mittlerweile problemlos umsetzen können:
- Die einzelnen WLANs (VLANs) sind wie gewünscht voneinander abgeschottet
- aus allen komme ich problemlos ins Internet
- für das eingeschränkte WLAN habe ich entsprechende Firewall-Regeln implementiert, die alles außer Port 80 und 443 (und DNS) blocken
- Zugriffe auf Ports 80 und 443 werden auf 8080 umgeleitet (Proxy)
- für das eingeschränkte WLAN habe ich einen Web-Proxy im MT aufgesetzt mit einer entsprechenden Access List
Nun mein Problem: Solange die Zugriffe gegen Port 80 erfolgen, also HTTP, ist alles bestens. Zugriffe auf HTTPS Seiten funktionieren nicht (es kommt allerdings auch keine "Prohibited" Meldung vom Proxy)
Ich habe viel zu dem Thema gelesen - auch im englischsprachigen Forum von MT. Was mich wundert: die einen sagen, dass HTTPS bei ihnen erfolgreich gefiltert werden kann entweder mittels
a) L7 protocol in Firewall-Rule oder
b) mittels der Content-Eigenschaft in Firewall-Rule
(Beispiel: https://www.facebook.com)
Andere sagen, das kann so nicht funktionieren.
Bei mir funktioniert das ebenfalls nicht. Habe beide Möglichkeiten ausprobiert.
Kann mir jemand erklären, warum das nicht gehen soll? Meines Wissens ist doch der Verbindungsaufbau bei HTTPS unverschlüsselt. Kleine Tests mit Wireshark auf meine Banking-Seite haben das bestätigt...Die Verschlüsselung beginnt ja erst nach erfolgreichem Zertifikat-Tausch (und dessen Verifizierung).
Anbei noch ein paar Screenshots meiner Config.
Firewall / Filter rules
Firewall / NAT
Web Proxy / Access
Für weitere Anregungen zur Murks-Vermeidung bin ich natürlich auch dankbar
Grüße
daarma
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255546
Url: https://administrator.de/contentid/255546
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Sers,
warum machst du es dir denn so kompliziert? Wenn die User wirklich nur auf diese 2 Webseiten Zugriff bekommen sollen, und sonst nichts, dann binde sie doch via Hotspot an und pack die beiden URLs in einen Walled Garden.
Zugangsdaten brauchen sie dann nicht, und wenn du magst könntest du etwa die standardmäßige Redirect Seite auf die HTTP-Seite (nicht die HTTPS) leiten. Oder auf eine spezielle Landing Page mit Links zu den beiden freigegebenen Seiten.
Das Firewalling usw. macht das RouterOS dann ganz von allein für dich.
Grüße,
Philip
warum machst du es dir denn so kompliziert? Wenn die User wirklich nur auf diese 2 Webseiten Zugriff bekommen sollen, und sonst nichts, dann binde sie doch via Hotspot an und pack die beiden URLs in einen Walled Garden.
Zugangsdaten brauchen sie dann nicht, und wenn du magst könntest du etwa die standardmäßige Redirect Seite auf die HTTP-Seite (nicht die HTTPS) leiten. Oder auf eine spezielle Landing Page mit Links zu den beiden freigegebenen Seiten.
Das Firewalling usw. macht das RouterOS dann ganz von allein für dich.
Grüße,
Philip
Hallo,
also ich habe das gerade mal ausprobiert und ich kann Seiten freigeben und sperren. Es kommt halt keine Meldung aber die https Seite baut sich auch nicht auf.
Nimm aber eine andere Seite als Facebook. Mit der hat es bei mir auch nicht funktioniert. Ich denke, dass da jquery & co über externe Server nachgeladen werden. Mit der Hausbank hat es bestens funktioniert.
Gruß
also ich habe das gerade mal ausprobiert und ich kann Seiten freigeben und sperren. Es kommt halt keine Meldung aber die https Seite baut sich auch nicht auf.
Nimm aber eine andere Seite als Facebook. Mit der hat es bei mir auch nicht funktioniert. Ich denke, dass da jquery & co über externe Server nachgeladen werden. Mit der Hausbank hat es bestens funktioniert.
Gruß
Servus,
jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.
Noch zwei ergänzende Fragen:
1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die gleiche IP-Adresse zugewiesen bekommen?
2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.
Noch zwei ergänzende Fragen:
1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die gleiche IP-Adresse zugewiesen bekommen?
2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
Zitat von @daarma:
Servus,
jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft
sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.
Noch zwei ergänzende Fragen:
1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die
gleiche IP-Adresse zugewiesen bekommen?
Servus,
jetzt habe ich es - wie du (und andere schon mal) vorgeschlagen haben - mit der Hotspot Funktion des MT implementiert. Läuft
sehr zuverlässig!
Ich habe keine Anmeldung implementiert, d.h. alle dürften sich (ausschließlich) im Walled Garden bewegen.
Noch zwei ergänzende Fragen:
1. Wie kann ich in dem Hotspot den Clients einige "feste" Geräte (Drucker) zur Verfügung stellen?
Klar, ich stelle in diesen Geräten die WLAN Einstellungen des Hotspots ein, aber kann ich auch erreichen, dass sie stets die
gleiche IP-Adresse zugewiesen bekommen?
IP Bindings
2. Kann ich den Hotspot Clients auch Zugriff auf ausgewählte Nicht-Hotspot-Geräte geben, die in anderen Subnetzen am
Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
Mikrotik hängen? Wahrscheinlich geht das über "Walled Garden IP" oder?
Genau. Das wäre eine Möglichkeit.
