forum.opennet.ru

Составление сообщения

Исходное сообщение

"Вопрос по VPN. Как сделать двухфакторную аутентификацию?"
Отправлено pavel_simple, 24-Янв-14 13:22

>> 3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере
>> настроить.
> Если построить туннель между metarouter и самим сервером (железкой, на которой установлен
> Trassir) - т.е. получается туннель (в случае доступа к серверу из
> LAN, а не из и-нет) клиент - metarouter - сервер... хотя
> наверное, клиент - сервер - metarouter - сервер. Если так, то
> не будет ли тогда весь трафик (от клиента к серверу) нагружать
> канал от сервера к metarouter (как бы идти в обход, через
> metarouter), или обращение сервера к metarouter будет разовым, только в момент
> аутентификации пользователя?
нужно читься выражать свои мысли если и не совсем правильно - то хотя-бы понятно для собеседника -- я ничё не понил
>[оверквотинг удален]
>> клеится -- только все-равно перемудрёно.
> Cron в этой схеме для того, чтобы периодически (по заданному расписанию) генерировать
> одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален
> sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не
> по расписанию, а по событию (попытке аутентификации, например). Хотя может быть
> я так думаю, поскольку не знаю какие ещё есть возможности у
> cron'а - знаю только то, что вычитал про cron в wiki
> - там сказано, что это прога выполняет какие-либо действия по расписанию.
> Хотя, может быть cron будет по расписанию генерить пароль, а отсылать
> его или нет (и куда отсылать) будет решать какой-нить скрипт?
а можно ещё нескромный вопрос -- вы администрированием unix-like ос когда-нибудь занимались ? а то у вас очень определённая деформация по поводу того как дымать в неправильную сторону.
> А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у
> radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть
> так (добавил скобки :)) (metarouter + http sms шлюз + cron)
> + правила fw. То что в скобках, физически находится на mikrotik,
> а то что не в скобках, т.е. FireWall, находиться на
> сервере?
fw тоже на microtik'е
>[оверквотинг удален]
> нужно, чтобы sip-клиенты без особых трудностей и супер-аутентификации подключались к sip-софт-АТС
> и получать и принимать звонки с sip-домофона), а по другому (порт
> для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация
> небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с
> двойной аутентификацией псу под хвост :) ? На серваке будет именно
> Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя,
> наверное, можно запустить Trassir и под wine, но не знаю что
> лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на
> производительности сервака отразиться, а сервер хочу максимально "зажать по производительности",
> ибо энергосбережение и бесперебойники :).
увольте -- я и так слишком много написал -- я по четвергам не подаю.

Исходное сообщение
"Вопрос по VPN. Как сделать двухфакторную аутентификацию?" Отправлено pavel_simple, 24-Янв-14 13:22
>> 3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере >> настроить. > Если построить туннель между metarouter и самим сервером (железкой, на которой установлен > Trassir) - т.е. получается туннель (в случае доступа к серверу из > LAN, а не из и-нет) клиент - metarouter - сервер... хотя > наверное, клиент - сервер - metarouter - сервер. Если так, то > не будет ли тогда весь трафик (от клиента к серверу) нагружать > канал от сервера к metarouter (как бы идти в обход, через > metarouter), или обращение сервера к metarouter будет разовым, только в момент > аутентификации пользователя? нужно читься выражать свои мысли если и не совсем правильно - то хотя-бы понятно для собеседника -- я ничё не понил >[оверквотинг удален] >> клеится -- только все-равно перемудрёно. > Cron в этой схеме для того, чтобы периодически (по заданному расписанию) генерировать > одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален > sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не > по расписанию, а по событию (попытке аутентификации, например). Хотя может быть > я так думаю, поскольку не знаю какие ещё есть возможности у > cron'а - знаю только то, что вычитал про cron в wiki > - там сказано, что это прога выполняет какие-либо действия по расписанию. > Хотя, может быть cron будет по расписанию генерить пароль, а отсылать > его или нет (и куда отсылать) будет решать какой-нить скрипт? а можно ещё нескромный вопрос -- вы администрированием unix-like ос когда-нибудь занимались ? а то у вас очень определённая деформация по поводу того как дымать в неправильную сторону. > А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у > radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть > так (добавил скобки :)) (metarouter + http sms шлюз + cron) > + правила fw. То что в скобках, физически находится на mikrotik, > а то что не в скобках, т.е. FireWall, находиться на > сервере? fw тоже на microtik'е >[оверквотинг удален] > нужно, чтобы sip-клиенты без особых трудностей и супер-аутентификации подключались к sip-софт-АТС > и получать и принимать звонки с sip-домофона), а по другому (порт > для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация > небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с > двойной аутентификацией псу под хвост :) ? На серваке будет именно > Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя, > наверное, можно запустить Trassir и под wine, но не знаю что > лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на > производительности сервака отразиться, а сервер хочу максимально "зажать по производительности", > ибо энергосбережение и бесперебойники :). увольте -- я и так слишком много написал -- я по четвергам не подаю.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> 3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере 
>>> настроить.
>> Если построить туннель между metarouter и самим сервером (железкой, на которой установлен 
>> Trassir) - т.е. получается туннель (в случае доступа к серверу из 
>> LAN, а не из и-нет) клиент - metarouter - сервер... хотя 
>> наверное, клиент - сервер - metarouter - сервер. Если так, то 
>> не будет ли тогда весь трафик (от клиента к серверу) нагружать 
>> канал от сервера к metarouter (как бы идти в обход, через 
>> metarouter), или обращение сервера к metarouter будет разовым, только в момент 
>> аутентификации пользователя?

> нужно читься выражать свои мысли если и не совсем правильно - то 
> хотя-бы понятно для собеседника -- я ничё не понил

>>[оверквотинг удален] 
>>> клеится -- только все-равно перемудрёно.
>> Cron в этой схеме для того, чтобы периодически (по заданному расписанию) генерировать 
>> одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален 
>> sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не 
>> по расписанию, а по событию (попытке аутентификации, например). Хотя может быть 
>> я так думаю, поскольку не знаю какие ещё есть возможности у 
>> cron'а - знаю только то, что вычитал про cron в wiki 
>> - там сказано, что это прога выполняет какие-либо действия по расписанию.
>> Хотя, может быть cron будет по расписанию генерить пароль, а отсылать 
>> его или нет (и куда отсылать) будет решать какой-нить скрипт?

> а можно ещё нескромный вопрос  -- вы администрированием unix-like ос когда-нибудь 
> занимались ? а то у вас очень определённая деформация по поводу 
> того как дымать в неправильную сторону.

>> А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у 
>> radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть 
>> так (добавил скобки :)) (metarouter + http sms шлюз + cron) 
>> + правила fw. То что в скобках, физически находится на mikrotik, 
>>  а то что не в скобках, т.е. FireWall, находиться на 
>> сервере?

> fw тоже на microtik'е

>>[оверквотинг удален] 
>> нужно, чтобы sip-клиенты без особых трудностей и супер-аутентификации подключались к sip-софт-АТС 
>> и получать и принимать звонки с sip-домофона), а по другому (порт 
>> для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация 
>> небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с 
>> двойной аутентификацией псу под хвост :) ? На серваке будет именно 
>> Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя, 
>> наверное, можно запустить Trassir и под wine, но не знаю что 
>> лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на 
>> производительности сервака отразиться, а сервер хочу максимально "зажать по производительности", 
>> ибо энергосбережение и бесперебойники :).

> увольте -- я и так слишком много написал -- я по четвергам 
> не подаю.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру