>> 3. контроль доступа на уровне транспортного ipsec тунеля можно на самом сервере
>> настроить.
> Если построить туннель между metarouter и самим сервером (железкой, на которой установлен
> Trassir) - т.е. получается туннель (в случае доступа к серверу из
> LAN, а не из и-нет) клиент - metarouter - сервер... хотя
> наверное, клиент - сервер - metarouter - сервер. Если так, то
> не будет ли тогда весь трафик (от клиента к серверу) нагружать
> канал от сервера к metarouter (как бы идти в обход, через
> metarouter), или обращение сервера к metarouter будет разовым, только в момент
> аутентификации пользователя?нужно читься выражать свои мысли если и не совсем правильно - то хотя-бы понятно для собеседника -- я ничё не понил
>[оверквотинг удален]
>> клеится -- только все-равно перемудрёно.
> Cron в этой схеме для того, чтобы периодически (по заданному расписанию) генерировать
> одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален
> sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не
> по расписанию, а по событию (попытке аутентификации, например). Хотя может быть
> я так думаю, поскольку не знаю какие ещё есть возможности у
> cron'а - знаю только то, что вычитал про cron в wiki
> - там сказано, что это прога выполняет какие-либо действия по расписанию.
> Хотя, может быть cron будет по расписанию генерить пароль, а отсылать
> его или нет (и куда отсылать) будет решать какой-нить скрипт?
а можно ещё нескромный вопрос -- вы администрированием unix-like ос когда-нибудь занимались ? а то у вас очень определённая деформация по поводу того как дымать в неправильную сторону.
> А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у
> radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть
> так (добавил скобки :)) (metarouter + http sms шлюз + cron)
> + правила fw. То что в скобках, физически находится на mikrotik,
> а то что не в скобках, т.е. FireWall, находиться на
> сервере?
fw тоже на microtik'е
>[оверквотинг удален]
> нужно, чтобы sip-клиенты без особых трудностей и супер-аутентификации подключались к sip-софт-АТС
> и получать и принимать звонки с sip-домофона), а по другому (порт
> для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация
> небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с
> двойной аутентификацией псу под хвост :) ? На серваке будет именно
> Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя,
> наверное, можно запустить Trassir и под wine, но не знаю что
> лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на
> производительности сервака отразиться, а сервер хочу максимально "зажать по производительности",
> ибо энергосбережение и бесперебойники :).
увольте -- я и так слишком много написал -- я по четвергам не подаю.