vnkorol Posted September 11, 2016 Posted September 11, 2016 Народ, хочу повысить безопасность айпи атс. Хочу давать доступ только клиентам с определенных айпи. Но т.к. не у всех статика, есть мысль завести на них (клиентах) ddns. А на роутере, за которым атс - резолвить раз в минуту айпишник и обновлять его в адресслисте доступных адресов. Как бы это запилить? Или не то я затеял? :) Вставить ник Quote
DemonS Posted September 11, 2016 Posted September 11, 2016 (edited) Запилите опенвпн, к примеру. Пусть клиенты к Вам цепляются. У Вас ведь наверняка статика. В ресолвить днс имя в ип - тут наверняка будут сбои. Edited September 11, 2016 by DemonS Вставить ник Quote
nkusnetsov Posted September 11, 2016 Posted September 11, 2016 vnkorol, в 6.36.х можно в адрес-лист добавлять доменное имя, которое разресолвится в айпишник само. Для обновления можно проводить операцию удалить+добавить. Вставить ник Quote
Saab95 Posted September 11, 2016 Posted September 11, 2016 IP телефоны умеют поднимать PPPoE, поставьте PPPoE сервер и выдавайте адреса через этот протокол, логин и пароль абоненты прямо в телефоны введут. Вообще, когда сеть планируется, нужно отделять телефоны от остальной сети, тогда никаких проблем с безопасностью просто не возникнет. Вставить ник Quote
vnkorol Posted September 12, 2016 Author Posted September 12, 2016 (edited) Запилите опенвпн, к примеру. Пусть клиенты к Вам цепляются. У Вас ведь наверняка статика. В ресолвить днс имя в ип - тут наверняка будут сбои. Не каждый роутер овпн может поднять. Или прошивки альтернативные предлагаете? vnkorol, в 6.36.х можно в адрес-лист добавлять доменное имя, которое разресолвится в айпишник само. Для обновления можно проводить операцию удалить+добавить. Боюсь, криво будет, т.к. может получиться, что во время разговора при удалении правила будет рваться соединение... IP телефоны умеют поднимать PPPoE, поставьте PPPoE сервер и выдавайте адреса через этот протокол, логин и пароль абоненты прямо в телефоны введут. Ой. Это каким образом телефон в другом городе и у другого провайдера найдет в широковещательном сегменте пппое сервер моего микротика? Edited September 12, 2016 by vnkorol Вставить ник Quote
nkusnetsov Posted September 12, 2016 Posted September 12, 2016 Ой. Это каким образом телефон в другом городе и у другого провайдера найдет в широковещательном сегменте пппое сервер моего микротика? Вы абсолютно зря ёрничаете. Сами не полностью сформулировали задачу, и еще пытаетесь тут исполнять что-то. Для начала определитесь, умеют ли и что именно из протоколов туннелирования клиентские роутеры. pptp/l2tp/ipip/gre ? Свяжите точки в виртуальную сеть, ограничьте доступ её внутренним диапазоном и безопасность повысится. Вставить ник Quote
vnkorol Posted September 12, 2016 Author Posted September 12, 2016 nkusnetsov, не зря. Если бы у клиентов были нормальные роутеры, умеющие туннели, я бы не придумывал этот изврат. Поднял бы соединения, прописал маршруты и без всяких богомерзких для воипа натов подключался. У клиентов дешманские адсл длинки. Вставить ник Quote
nkusnetsov Posted September 12, 2016 Posted September 12, 2016 (edited) vnkorol, за три копейки безопасности не бывает. Хотя бывают VoIP-телефонные аппараты со встроенным VPN-клиентом. Например, "GIP300" http://www.voip-info.org/wiki/view/GIP300 Либо брать нормальные роутеры. ADSL-модемы оставлять бриджами, а с нормальных роутеров поднимать PPPoE к Интернет-проавйдеру и vpn к офису. Третий вариант - перешивать клиентов на openwrt https://wiki.openwrt.org/ru/toh/d-link/dsl-2650u Edited September 12, 2016 by nkusnetsov Вставить ник Quote
vnkorol Posted September 13, 2016 Author Posted September 13, 2016 nkusnetsov, Судя по тому, что без впн не обойтись, буду пробовать ставить роутеры дешманские, прошитые openwrt. Или на барахолке некротики старенькие брать. Вставить ник Quote
Saab95 Posted September 18, 2016 Posted September 18, 2016 Ой. Это каким образом телефон в другом городе и у другого провайдера найдет в широковещательном сегменте пппое сервер моего микротика? В удаленном офисе ставится микротик, на нем настраивается PPPoE сервер, авторизация по локальным учеткам для телефонов. Далее они по выданным IP идут в центр через основной туннель. Безопасность на высоте и никакие вирусы не перехватят трафик. А то как любят - поставят мини атс, а адресация что на телефонах, что на компах из одной подсети. Вот и ломают телефонию. Вставить ник Quote
vnkorol Posted October 23, 2016 Author Posted October 23, 2016 Апну тему. В новых прошивках появилась возможность в address list писать доменное имя, а ниже его автоматом создает динамическое правило с айпи адресом этого хоста. Вопрос только - с каким интервалом этот айпи будет обновляться в списке... Вставить ник Quote
Guest vnkorol Posted October 30, 2016 Posted October 30, 2016 Проверил. Практически тут же, в течение минуты-двух. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.