Náhrada info page
Jako náhradu Info pages (informačních stránek), v souvislosti s kterými bylo vypnuto ve verzi 5.17 beta1 přesměrování provozu https (port 443) na tyto stránky, je možné využít e-mailové upozornění nebo upozornění formou SMS na automatické pozastavení služeb internet.
Klienti mohou být automaticky pozastaveni fakturačním modulem z důvodu nezaplacených faktur za službu nebo nastavením u služby v kartě klienta automatickým pozastavením – služba byla pozastavena dle nastavení od–do.
Přesměrování
- pokud uživatel navštíví stránku http, tak je přesměrován na informační stránku systému ISPadmin. Funguje bez ohledu na web. prohlížeč, který uživatel používá
- pokud uživatel navštíví stránku https, která nepoužívá mechanismus HSTS, obdrží varování. Pokud klikne na pokračovat, tak je přesměrován na informační stránku systému ISPadmin. Funguje bez ohledu na web. prohlížeč, který uživ. používá.
- pokud uživatel navštíví stránku https, která používá mechanismus HSTS může být některými web. prohlížeči komunikace zablokována
Důvod
Velké webové společnosti a jejich webové stránky (Google, Seznam) již mají přístup zabezpečen pomocí bezpečnostního mechanismu HTTP Strict Transport Security (HSTS), který chrání síťovou komunikaci mezi webovým prohlížečem a webovým serverem před různými druhy útoků. Nelze tedy jednoduše přesměrovat tuto komunikaci na jinou stránku.
HSTS hlavička může být útočníkem odstraněna, pokud uživatel na web přistupuje poprvé. Prohlížeče Google Chrome a Mozilla Firefox se však snaží tomuto předcházet tak, že poskytují předem načtený seznam HSTS sítí (STS preloaded list), který obsahuje seznam známých sítí podporujicí HSTS.
Pokud by uživatel do web. prohlížeče zadal adresu webu google nebo některého ze seznamu sítí (přímo obsažené ve web. prohlížeči), objeví se mu výstraha a nelze dále v prohlížení pokračovat. Příklad na obrázku níže.
Novější verze web. prohlížečů rozpoznají přesměrování a umožní přejít na info page (captive portal/přihlášení k síti).
Ve starších verzích a webových prohlížečích na mobilních zařízeních může být však komunikace zablokována (bez možnosti zobrazit info page).
Nastavení fakturace
V menu (Fakturace -> Nastavení -> Obecné) nastavit:
| Klíč | Popis |
|---|---|
| send_email_to_suspended_client | Povolit odesílat klientům emaily při automatickém pozastavení služeb internet |
| send_sms_to_suspended_client | Povolit odesílat klientům SMS při automatickém pozastavení služeb internet |
| pozastavit_neplatice | Automaticky pozastavovat služby Internet u neplatičů. Zkontrolujte si nastavení klíče mikrotik_disable_users, aby skutečně došlo k pozastavení klientů na Mikrotiku (provoz http se stále přesměrovává na info pages). Pokud toto nastavení deaktivujete v době, kdy jsou někteří zákazníci pozastaveni, jejich pozastavení se zruší do doby, než jej opět aktivujete. Pokud je klient pozastaven, propíše se do důvodu pozastavení v kartě klienta – Neplatič. Pokud je klient pozastaven a uhradí všechny faktury, tak se mu automaticky povolí všechny služby, kde je nastaven důvod pozastavení – Neplatič. Interval kontroly uhrazených/neuhrazených faktur je 5 minut. |
| pozastavit_neplatice_min_castka | Minimální dlužná částka na relevantních fakturách pro pozastavení služeb Internet (pozastavit_neplatice musí být zapnuto) |
| pozastavit_po_splatnosti | Po kolika dnech po splatnosti se služby typu Internet automaticky pozastaví (pozastavit_neplatice musí být zapnuto) |
Obecné nastavení
V menu (Nastavení -> Syst. nastavení -> Obecné) zkontrolujte:
| Klíč | Popis |
|---|---|
| system_mail | Systémová e-mailová adresa |
| system_mail_name | Název systémové e-mailové adresy |
Toto nastavení je spíše obecné povahy. Důležité je mít u klientů nastavenou fakturační skupinu a u této skupiny nastavenou e-mailovou adresu. Tato e-mailová adresa se použije pro posílání e-mailových upozornění s důvodem pozastavení (pokud máte nastavenu šablonu pro typ aut. pozastavení).
Mikrotik nastavení
V menu (Nastavení -> Syst. nastavení -> Mikrotik) zkontrolujte:
Pokud máte klíč mikrotik_nat_disable_users nastaven na 0, tak pozastavování nebude fungovat.
Přesměrovává se již pouze provoz přes http. Provoz přes https se pozastaví bez přesměrování.
| Klíč | Nastavení | Popis |
|---|---|---|
| mikrotik_nat_disable_users | Pozastavené klienty přesměrovávat přes NAT na informační stránky ISPadmin | |
| 0 – Vypnuto | Nepoužívá se přesměrování (ani pozastavení) na informační stránky pro pozastavené klienty | |
| 1 – Sada NAT pravidel bez address-listu | Výchozí stav (vytvoří se 3 pravidla v tabulce FW NAT se zdrojovou adresou pozastaveného klienta a portem info page kam se má přesměrovat) | |
| 2 – Sada NAT pravidel s address-listem | Pro každou aktivní info page se vytvoří trojice pravidel pro přesměrování klientů, kde není udána zdrojová adresa, ale berou se IP z nově vytvořeného address-listu dle konkrétní info page. Přesměrování v rámci „nepovolených služeb“ se v tomto případě provádí na adresu 127.0.0.1 | |
| 3 – Vytvoření pouze address-list | Pro každého pozastaveného klienta se vytvoří jen záznam do address-list s názvem odpovídající „Info Page“. Tento adress-list se může využít v individuálním řešení NAT pravidel (NAT pravidla se nevytváří). !! Pro správu pravidel v Mikrotiku systém využívá pojmenování s obsahem slova „ispadmin“, pro vlastní pravidla je tedy nevhodné je pojmenovávat (komentovat) s využitím slova „ispadmin“. Došlo by k jejich vymazání !! |
Šablony aut. pozastavení
Pro automatické informování klientů, při pozastavení jejich služeb, mohou být použity SMS šablony (Nastavení –> Ostatní –> Šablony SMS) nebo e-mailové šablony (Nastavení –> Ostatní –> Šablony emailů).
Pro správné fungování zasílání musí být nastaven a zapnut klíč pro posílání e-mailů při pozastavení služeb (send_email_to_suspended_client) nebo pro zasílání SMS (send_sms_to_suspended_client) a také nastaveny příslušné e-mailové šablony nebo SMS šablony pro typ akce automatické pozastavení.