Umleitung von Https seite zu Http...

  • Auf basis von den Befehl


    Code
    iptables -t nat -A PREROUTING -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.100.1:443

    hatbe ich ein SSL Zertifikats Problem was immer dann auftritt wenn eine HTTPS seite aufgerufen wird,


    Dachte erst an

    Code
    iptables -t nat -A PREROUTING -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.100.1:80


    Das geht irgentwie auch nicht...


    Hintergrund ist ich Hab mir einen WLAN0 >>> ETH0 Router gebaut "KEINE BRITDGE" mit einer "LoginSeite" damit man für xx Minuten /Stunden internet hat... also dies ist noch ausbaufähig...

    Also mein Problem ist es wenn man nicht eingeloggt ist, eine Https seite aufgerufen wird "Https://" "www.google.de" z.b dann ist die verbindung nicht sicher wegen Zertifikat....

    meine idee ist es das ganze dann auf meine HTTP seie (Port 80) umzuleiten damit man auf die Seite "Login" gelangt ....


    lg


    Hier mein alter Beitrag vom letztem problem ( Gelöst )


    Iptables

  • "KEINE BRITDGE"

    Es heißt "Bridge" (= Brücke). War im anderen Thread auch schon falsch...


    So ganz verstehe ich dein Problem noch nicht. Beschreibe noch mal Schritt für Schritt, evtl. mit Screenshots, was die jetzige Lage ist, was dir daran nicht passt und was du erreichen magst. Ich dachte, wenn man nicht eingeloggt ist, wird man zum Login weitergeleitet, und dann ist es doch egal, über welches Protokoll die Seite vorher aufgerufen wurde :conf:

  • Also geht um folgendes....


    Gateway ist er Pi / DNS /Firewall etc

    wenn ich http://www.irgenwas.de aufrufe und die Regel in der Firewall besagt alles was du auf port 80 haben willst wird an ip 192.68.100.1:80 geleitet,

    das geht auch...

    aber wenn ich https:// http://www.irgenwas.de aufrufe dann kommt der firefox mit der meldung Zertifikat bla... was ja auch normal ist da die IP von www.irgenwas.de auf den Pi aufläuft und mein sellber erstelltes Zertifikat geladen wird und nicht zu www.irgenwas.de passt sondern zu 192.168.100.1


    es geht mir um die umleitung.... :-)


    Quote

    brenner23 schrieb:



    "KEINE BRITDGE"


    Es heißt "Bridge" (= Brücke). War im anderen Thread auch schon falsch...


    Typos können mal passieren :-)

  • es geht mir um die umleitung....

    Ich glaub', das hab ich verstanden... nur ist das IMHO alles sehr schwammig ausgedrückt.

    wenn ich http://www.irgenwas.de aufrufe und die Regel in der Firewall besagt alles was du auf port 80 haben willst wird an ip 192.68.100.1:80 geleitet,

    das geht auch...

    Drücke es doch mal technisch aus, nicht "alles wird an ip ... geleitet"

    aufrufe dann kommt der firefox mit der meldung Zertifikat bla...

    da die IP von http://www.irgenwas.de auf den Pi aufläuft und mein sellber erstelltes Zertifikat geladen wird und nicht zu http://www.irgenwas.de passt sondern zu 192.168.100.1

    Auch das... Was soll das heißen, "IP läuft auf"? Wenn du einen Redirect zu deiner Login-Seite hast, wieso sollte dan das Zertifikat von irgendwas geladen werden?


    Ich kenne das so:

    User ruft https://google.com im Browser auf. Wenn Surfzeit vorhanden ist, ist das kein Problem, die Seite wird geladen. Wenn ein Login o.ä. erforderlich ist, sendet der Router nicht den Inhalt von google.com zum User, sondern stoppt frühstmöglich, etwa mit einem Location: http(s)://foo.bar?redirect=https%3A%2F%2Fgoogle.com im HTTP Header der Antwort (https://en.wikipedia.org/wiki/HTTP_location). Nach erfolgreichem Login wird der User dort hin geleitet, etwa wieder mit einem Location: ... im Antwort-Header.


    Das meine ich mit technisch genauer ausdrücken.


    Typos können mal passieren

    Klar, kein Thema! Ich wollt's nun doch mal gesagt haben ;)

  • Deswegen wollte ich Screenshots... Irgendwas mit unsicheres Zertifikat ist eben nicht hilfreich!

    Warum der Browser über ein Zertifikat meckert steht aber immer dabei. Wenn Rasp-Berlin recht hat, wäre der Grund, dass das Zertifikat nicht von einer dem Browser bekannten vertrauenswürdigen CA ausgestellt wurde. Dann brauchst du z. B. ein Let's Encrypt Zertifikat, oder musst dem Browser auf anderem Wege klar machen, dass dein Zertifikat in Ordnung ist: https://security.stackexchange…re-a-way-to-make-them-tru

  • HIer sind mal die Screenshots...

    Mein Anmeldebutton Mit Laufzeit bis... auf 192.168.100.1 ( auch Abbmelde seite)


    Browser A Crome:

    Zustand Abgemeldet (kein Internet nur Firewall umleitung zu https://192.168.100.1)


    Browser B Firfox:


    Zustand Abgemeldet (kein Internet nur Firewall umleitung zu https://192.168.100.1)

    Der Firefox gibt einen hinweis obben rechts das es eine Einlogseite gibt die man öffnen kann ! :-)

    Damit kann ich leben :-)






    Problem: war heute noch einkaufen und ich hatte mich einem Freien Hotspot mit mit meinem Smalrtphone eingeloggt,

    natürlich hatte ich eine Https seite aufmachen wollen und da gab es diese Zertifikatssch... auch... erst als ich mich auf die 1.1.1.1 von dem anbieter(router) durchgehangelt habe ohne https konnte ich wieder auf die webseite mit https://irgenteine seite... Ich nenne hier aber keine namen wer das ding hier betreibt und oder noch Daten sammelt um 30 minuten ins internet zu kommen :-)


    ich belese mich mal zum thema Zertifikate und URLs die nicht zum Zertifikat Passen ...


    lg

  • Hier sieht man doch genau, was los ist:


    Du leitest die Seite noch von "https://www.gogggle.de" auf "http://www.gogggle.de" (ohne das S) um, sondern du biegst den DNS-Eintrag um.

    Und dann geht er auf die Seite mit HTTPS, wo dann etwas angeboten wird, was so nicht (per sauber signierten Zertifikat) sicher ist.

    Selber denken,
    wie kann man nur?

  • Das Meinte ich doch die ganze Zeit...

    es geht mir darum das ich diese auch umlenken kann ( Redirekct) wie man dies von Http zu https macht !


    ist das denn so schwer ????


    Ausserdem hab ich doch das gleiche beo den Hotspots... die geneigten endkunden die ihren Corme auf dem handy auf haben bekommen auch die fehlermeldung und denken der Hotspot geht nicht !


    weil keine vorschaltseite o.Ä. angezeigt wird oder umgelelenkt weil Https ....


    es geht mir nur um eine lösung zu Problem oder ein klares ... GEHT NICHT !

  • ich belese mich mal zum thema Zertifikate und URLs die nicht zum Zertifikat Passen ..

    Solltest du, denn wenn es so einfach wäre einer Seite ein gültiges eigenes Zertifikat unterzujubeln, wäre https witzlos.

    " […] if you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."

  • Ich würde mal sagen Case Closed


    Code
    iptables -t nat -A PREROUTING -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.100.1:443

    kann ich vergessen auch mit sachen wie

    Code
    DocumentRoot ...
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://192.168.100.1 [R=301,L]
    </IfModule>

    kann ich genauso vergessen weil immer die Zertifikatekontrolle dazwischen kommt...

    Selbst der Fritz!Box Gast Zugang hat keine Https-umleitung sondern nur alles was über port 80 geht wird auf die Vorschaltseite umlgeleitet...


    Case Closed



    Wenn noch jemand ne idee hat ....


    Bitte