[Ayuda] Redireccionar trafico en LAN sin NAT

Iniciado por danny920825, 28 Febrero 2018, 05:41 AM

0 Miembros y 1 Visitante están viendo este tema.

danny920825

Hola a todos los de este foro. Necesito su ayuda con un problema que tengo que me ha resultado muy dificil de configurar. Primero los ubico en contexto:

Quiero extender un servicio que brinda un ISP. Este tiene un portal cautivo que cuando te conectas a su red te abre un login y si no te logueas, a los 2 minutos te expulsa de la red. Lo que pasa es que luego de loguearte pierdes el acceso a la pagin del login y no puedes desloguearte. Y te consume el tiempo de conexion asignado por no poderte desconectar. Un amigo mio y yo hicimos en PHP un sitio que tiene las mismas funciones y que no se pierde el acceso. Y lo queremos montar en una pc como si fuera una especie de firewall. Lo que quiero hacer es que cuando el cliente se conecte a mi red (que tiene acceso a la otra red) en vez de ser dirigido al portal cautivo del ISP sea dirigido al portal mio. Mi portal ejecuta las acciones como si fuera el ISP por eso no puedo usar Radius ni el portal cautivo de PFSENSE. Ademas esta hecho en Symfony. Necesito que esa PC intercepte el trafico, el usuario se loguee y lo redirija (usando su IP actual) a una IP.
No se si me hago entender. Asi que les dejo una especie de flujo de red:
Código (lua) [Seleccionar]

usuario (ip: 10.10.10.10)
|
|_____Mi Portal (ip: 10.10.10.1) (eth0)
|
| (ip: 10.10.10.2) (eth1)
|
|
| (ip: 10.10.10.10)
|_________________________ GATEWAY
redireccionar al usuario

Como ven, mi objetivo es hacer pasar al usuario por mi portal obligado y luego enrutar su trafico hacia el gateway pero sin natear. Sino en modo transparente para que conserve la IP. Ya que el Gateway dependiendo de la IP de origen, lo va a mandar a un lugar o a otro. Espero que se me haya entendido y que me puedan ayudar. Si es con iptables y sin usar programas raros mejor

"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

engel lex

#1
no es tan simple... indiscutiblemente necesitas programar una solucion en un lenguaje más bajo nivel que php

debes usar una regla de iptables para redirigir todo hacia tu servidor y al logear crear una regla forward de iptable para dejar pasar el trafico, el problema es que hasta donde recuerdo iptable es capa3 y te reescribirá la ip de salida (creo)

un dns personalizado que solo redirija a tu server (esto podría ser lo más simple, pero podría ser saltado por usuarios, especialmente celulares) en este casi tu servidor no se interpone directamente, solo responde ante cuelquier dominio la ip de tu server si se le pregunta

un envenamiento arp pudría funcionar (creo) pero es cosa de estar claro en los parametros y lo que se quiere (y esperando que el antivirus no salte)

lo otro sería buscar alguna forma de configurar el server como un switch multicapa esto es un lio capa 2 y aquí no sabría que recomendar
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

AXCESS

Esa configuración la he visto y es completamente ilegal.
Lo que Ud. pretende hacer es implementar un portal cautivo dentro de otro portal cautivo, compartiendo una misma salida. Dicho de otro modo (según entendí) y dadas sus intenciones:
Se loguea en el primer portal (paga por ello) y   a través de esta salida, brinda su servicio de internet en una red privada con un segundo portal cautivo (en el cual sus clientes deben loguerse y pagarle).
Esa es una de las formas de engañar al proveedor del portal cautivo e implementar ganancias privadas. No sé en qué país se encontrará, pero esta implementación es ilegal.

danny920825

A ver, mi proposito no es engañar a nadie y mucho menos estafar a los usuarios. El servicio lo quiero para brindarlo a mis vecinos. Ellos pierden su tiempo de conexion porque cuando se loguean en el servicio del ISP no tienen como desloguearse. Cuando terminan, apagan la WiFi de sus moviles y esperan a que el servidor determine que estan inactivos y los bote del sistema. En eso pueden perder de 15-20 minutos y el precio es 1USD por 1 hora de conexion. Asi que por eso implementamos el servicio de un portal con un login que registre al usuario con sus datos en el portal del proveedor y que siempre este disponible. Lo que pasa es que es dificil enseñar a personas mayores que tienen un smartphone solo por messenger o whatsapp como usar un navegador, escribir una url y esas cosas. Es mejor que el propio sistema los intercepte.

engel lex Como siempre gracias por tu respuesta adecuada y dar al menos un norte de hacia donde dirigir las configuraciones. Salu2 a todos
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

warcry.

A mi esto de lo buenos samaritanos me huele un poco mal ...  :silbar:
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

AXCESS

#5
Cita de: danny920825 en 28 Febrero 2018, 06:36 AM
A ver, mi proposito no es engañar a nadie y mucho menos estafar a los usuarios. El servicio lo quiero para brindarlo a mis vecinos. Ellos pierden su tiempo de conexion porque cuando se loguean en el servicio del ISP no tienen como desloguearse. Cuando terminan, apagan la WiFi de sus moviles y esperan a que el servidor determine que estan inactivos y los bote del sistema. En eso pueden perder de 15-20 minutos y el precio es 1USD por 1 hora de conexion. Asi que por eso implementamos el servicio de un portal con un login que registre al usuario con sus datos en el portal del proveedor y que siempre este disponible. Lo que pasa es que es dificil enseñar a personas mayores que tienen un smartphone solo por messenger o whatsapp como usar un navegador, escribir una url y esas cosas. Es mejor que el propio sistema los intercepte.

Comienza con la triquiñuela de enmascarar el tema posteándolo en el apartado de Redes. Su principal objetivo es implementar el portal cautivo en función de su red privada, en consonancia con la salida del principal portal. Ese tema pertenece a Wireless. Sabía que si lo ponía allí se lo cerraban de rápido. Tuvo que enmascararlo.
El segundo engaño está dado por lo del deslogueo del portal y el consumo del tiempo."Difícil enseñar a personas mayores..." Eso no se lo cree ni Ud. mismo. [No nacimos ayer...]
La real intención y manipulación es la de obtener ganancias múltiples por cada dólar que invierte en el portal cautivo. [Somos Hackers...eso ya se inventó... y de portales cautivos conozco, más que algo] El problema está en el DHCP del legítimo portal (servidores RADIUS con servidores DNS dedicados) y no le surge la solución a poder controlar su portal cautivo y por ende a sus clientes, sin afectar la navegación y el ancho de banda. El primer portal se lo impide pues es tecnología de punta.
Me equivoque? Algún detallito por alto?
Cierto..., ese portal sí permite el deslogueo y controla muy bien el tiempo de conectividad: cómo lo sé, pues Ud. lo ha dicho con sus características e inconvenientes ("Mi portal ejecuta las acciones como si fuera el ISP""Necesito que esa PC intercepte el trafico, el usuario se loguee y lo redirija (usando su IP actual) a una IP."): es de los últimos que se han creado. Apuesto a que tiene AP isolados... por casualidad?
"Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia..." Wikipedia – Servidores RADIUS.
Engaño idiota y burdo, enmascarado tras pretensiones académicas.
Si hubiera planteado el violar el portal cautivo tal vez hubiera sido entendible (ahorro económico).
Esto que pretende es de lo peor; es ilegalidad, engaño y manipulación desvergonzada (al conocimiento de un hacker) para fines de lucro privado.
Resulta realmente irritante que haya cogido distraído a un hacker como engel lex, que se gana el respeto por su gentileza y pasión hacia el conocimiento.
Cierto, cierto....se me olvidaba...
Ud. es más listo...

danny920825

No me gusta que me llamen estafador. Eso es insultante y hasta reportable a los moderadores como ofensivo. Y ahora, para que dejen de lado las estupideces, les voy a explicar el contexto para que entiendan:
Vivo en Cuba. Aqui hay un unico ISP y es defectuoso. La conexion es inestable y muy cara. 1 USD por 1 Hora de conexion con 2Mbps de ancho de banda. Y no es en la casa, es un unos parques sin condiciones, bajo el sol, que ellos arbitrariamente escogieron. Para acceder a la red necesitas una cuenta en su dominio. El acceso se hace a traves del mencionado y exalsado como portal de ultima generacion cuando no es mas que pfsense 2 en un pentium 4. Lo cual recae en que en ocasiones el servicio se sature y no pueda ofrecer servicio por unos minutos. Si accedes por la computadora, no tienes problema. La pestaña se mantiene ahi y puedes cerrar tu sesion al terminar para conservar tu tiempo para otra ocasion. Si te conectas por el movil, te abre una pestaña automatica con el login y al loguearte ese pestaña se desaparece. Asi que no puedes cerrar sesion.
Mi vecino y yo coordinamos hacer una inversion en equipamiento para hacer llegar esa señal a la casa mediante dispositivos Ubiquiti y Mikrotik y que mi mama y mi abuela, que no pueden ir al parque mas cercano (1km) puedan comunicarse con la familia en USA (principal motivacion de conexion en mi pais). Asi que pusimos un Mikrotik LHG 5 para conectarnos al parque (en casa de un amigo que vive cerca) y enviamos esa señal para mi casa con 2 Nanostation M5 y tanto el como yo estamos conectados por LAN. El tiene la disposicion de aprender pero no tiene mucho conocimiento sobre la administracion de redes. Yo no se mucho, pero puedo al menos, saber lo que necesito y casi siempre donde buscar. Asi que me toca encargarme de la red. Y tanto su familia como la mia, serian mis usuarios. Lo que pasa es que cuando te logues desde el parque, apagando la wifi el servidor entiende (15-20 minutos despues) que no estas activo y te desconecta. Pero al tener ese mecanismo de los dispositivos, a quien le dan la conectividad es al equipo. Permitiendo que todos los dispositivos de la LAN tengan internet. Por tanto nunca quedamos en inactivos. Tenemos que reiniciar el Mikrotik para que eso funcione. La solucion fue entre el amigo del parque y yo, implementar un portal nuestro, que deje bien claro que no es el del ISP pero que permita acceder tanto desde el movil como desde la PC y no pierdas la forma de cerrar tu sesion. Lo que pasa es que yo trabajo y no hay por que esperar por mi para que lo haga todo. Mi mama tiene mas de medio siglo y su telefono ella lo usa para mandar sms y llamar. Y un par de juegos. Decirle tienes que abrir el navegador y escribir http://192.168.21.12/portal va a comenzar con: ¿Que es el navegador? Y asi con los de la otra casa. Por eso necesito la forma de redireccionar todo el trafico de mi LAN a un servidor con ubuntu donde tengo montado el sitio. Esta hecho en symfony y no usando RADIUS porque el mismo sitio permite al usuario ver la conexion, el estado de la señal, intensidad, CCQ, etc. Y aparte, porque no necesito que el usuario use datos de mi portal, sino que pueda acceder desde alli a su propio servicio de internet.

Espero que me hayan entendido y me disculpo por adelantado si mi inicial post se prestaba a malas interpretaciones.
engel lex No fue engañado, sino que en varias ocasiones he pedido ayuda en la parte de scripting, php y analisis de Malware cuando he sufrido la infeccion de bichos del inframundo y nunca he preguntado nada que sea ofensivo ni escandaloso como diria Redimido. Y por cierto, no lo publique en la parte de Wireless porque mi propia PC y la de mi vecino estan por LAN, asi que no es completamente Wireless, sin embargo, necesito que se haga con un firewall. Asi que supuse que esta seria la mejor sección para hacerlo. Si alguien puede ayudar, por favor, espero su respuesta. Si engel lex o algun otro moderador, despues de mi explicacion considera que el contenido sigue siendo para engañar a mi proveedor, pues pueden cerrar el post.
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

AXCESS

#7
No soy persona que hable sin pensar u ofender, y mucho menos sin mostrar argumentos convincentes.
En un Foro no hay sentido para asuntos personales. Solo se manifiesta el conocimiento y su intercambio (acertado o no). Este conocimiento se plantea, lo que define intensiones y es el que juzga. Los Nick ni se miran.
No creo que lo que haya planteado haya sido estúpido.
Las razones que da me recuerdan a un poema de Rubén Darío: "Los Motivos del Lobo".
Sus circunstancias no eximen la legalidad de sus actos e intenciones.
Su  principal objetivo como expresé es implementar un portal cautivo dentro de otro portal, para controlar una red privada de usuarios. Eso pertenece a Wireless, pues el tema principal es el portal, no la red. Obviamente hay que tratar la red, pues debe sacarla por el legítimo portal y tiene más de un problema con la implementación de su portal.
Hasta aquí no hay dudas.
La historia del país, es irrelevante, pues conlleva a una ilegalidad. Ud está burlando un portal cautivo con una salida múltiple. No obstante se agrava al desear implementar un segundo portal de control y acceso (la finalidad y lo que haga solo Dios y Ud. sabrán). Eso en cualquier país es penado. Sean las razones que fueren. Y formar parte de ello es ser cómplices.
Esto juzga por sí solo. Ya un Hacker como warcry se manifestó, que no es cualquier cosa. No faltarán otros. Prefiero pecar se suspicaz que no de ingenuo (ni remotamente soy modelo de virtudes).
Respecto al portal que menciona (Portal Nauta de ETECSA). He investigado un tanto para responderle. Están como locos tratando de violarlo y engañarlo (es de última generación (RADIUS con servidores DNS; y no está montado en un Pentium 4 como dice). Solo violan su acceso a través de una salida múltiple, como la que Ud. tiene implementada. En toda Cuba han establecido redes privadas como la suya para extender el servicio y... cobran por ello, pero al mes o semanal (siendo la conexión multiple a través de un solo loguin) (no hay nada oculto entre cielo y tierra y mucho menos en internet!).
Respecto al portal y su tiempo: "te abre una pestaña automática con el login y al loguearte ese pestaña se desaparece. Asi que no puedes cerrar sesion."
Dudo muchísimo que un portal de última generación tenga ese problema. Lógica elemental, al ser cara la conectividad, las protestas llegarían a la luna. Esto no tiene que ver con política.
No hay quejas en internet al respecto y parece ser que su portal de usuario es bastante puntual. Las quejas se centran en su seguridad y falta de certificado. Lo cual hace que el robo de credenciales esté al día. Según manifiesta la compañía ETECSA, se está mejorando y ampliando el servicio. Esto importa poco en el caso y le concedo la poca credibilidad.
Eso sí, su implementación se pasa de sospechosa, y dudo que algún hacker que se respete se preste a esa incertidumbre.
De cualquier modo las sugerencias que le brindó engel lex, no aplican. Y créame cuando le digo que tendrá más de un dolor de cabeza en lograr lo que desea, pues requiere grandes conocimientos. Aun así, el clavo del ataúd está en los servidores DNS, que no son solamente de control como imagina.
No necesito reportar el tema. Expongo mi criterio y desacuerdo. El resto es irrelevante y Dios da el libre albedrío.

danny920825

A ver, esto
Solo violan su acceso a través de una salida múltiple, como la que Ud. tiene implementada
es lo de menos. Quien tiene el equipamiento disponible puede disponer de varios portales y multiplicar el ancho de banda a costa de un costo elevado del presupuesto. Pero no es mi objetivo. Amigos que han violado el portal conozco varios. Con solo usar una aplicacion como SlowDNS puedes burlarlo, lo que una vez mas sacrificando algo. Y en este caso es la velocidad. El certificado... Ya ETECSA lo tiene, asi que ahora mismo el que sufra de perdida de credenciales es por no saber leer. La idea del P4 era sarcasmo. Ya que el sistema sí se cuelga en muuuuuchos momentos. Tiene un sistema algo ilogico de pensar, ya que a las 5 horas continuas de conexion te banean la MAC y te desconectan. Esto trae como consecuencias que si estas con tu laptop en un parque bajando 10GB y tienes tiempo en tu cuenta, pues no lo vas a lograr. Todas esas cosas y muhcas mas se han pensado y hay miles de personas como tu dices cobrando por ello. Aqui se les llama Canal Compartido y si bien es parecido a mi caso no es igual. Para empezar, dispongo de mis 2Mb de ancho de banda y no saco provecho de ellos ni lo cobro. El Radius de PFSENSE puede ser de ultima generacion, pero de lejos es la gloria que pintan. Al menos aqui no funciona bien. Pues si abres la pagina por el navegador de una pc como decia muy al inicio, si funciona bien y puedes cerrarla, pero en el movil te abre una pestaña unica y al conectarse la cierra. Como puedes esperar, si el navegador no guarda las cookies ni las sesiones, pues adios Lola con tu informacion. El portal implementa mas de 5 campos ocultos con informacion para crear la session. Asi que si pierdes al menos 1 de ellos, no la puedes recuperar.
Lógica elemental, al ser cara la conectividad, las protestas llegarían a la luna. Esto no tiene que ver con política. No veo tan cara la conectividad cuando logras el objetivo de ver a la familia. Y nunca dije que fuera un problema politico. Es un foro tecnico no de esa indole.

En un Foro no hay sentido para asuntos personales es una idea un poco corta de miras. No pedi ayuda con mi familia, sino con un problema tecnico que quiero efectuar para mejorar la facilidad de mi familia de conexion (no tiene sentido decir que quiero conectarme gratis porque ya explique arriba que hacerlo es muy lento y necesitamos las videollamadas). Estoy dispuesto a pagar mi impuesto por conectarme. Yo tengo mi cuenta y es la que uso para conectarme en casa. Formas de compartir esa conexion hay muchas. Lo puedo hacer hasta por Bluetooh o por USB. Una vez mas, no es mi intencion. Mi intencion es que mi gente no pase trabajo. De eso se trata la informatica y cuando habia que tirar un cable de 1km, alguien penso que se podia crear algo inalambrico. Y de ahi el mundo evoluciono una vez mas.
Eso sí, su implementación se pasa de sospechosa, y dudo que algún hacker que se respete se preste a esa incertidumbre. Dado el caso de que se que se presta para malas interpretaciones fue que dedique tiempo a explicar detalladamente el caso.
De cualquier modo las sugerencias que le brindó engel lex, no aplican. Y créame cuando le digo que tendrá más de un dolor de cabeza en lograr lo que desea, pues requiere grandes conocimientos. Aun así, el clavo del ataúd está en los servidores DNS, que no son solamente de control como imagina. Gracias por esta parte. Super al leer las palabras de engel lex que no aplicaban porque incluso el mismo lo dijo. Y para que conste, la idea de mantener la IP de cada usuario es para que cada uno tenga que poner su cuenta en el portal de ETECSA y no quede como una extension compartida del servicio. Como decia, no quiero aprovecharme de eso, solo la comodidad que ya explique. Gracias por tomarse un rato de su tiempo para investigar antes de responder.
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno