[vnkorol]

Народ, хочу повысить безопасность айпи атс. Хочу давать доступ только клиентам с определенных айпи. Но т.к. не у всех статика, есть мысль завести на них (клиентах) ddns. А на роутере, за которым атс - резолвить раз в минуту айпишник и обновлять его в адресслисте доступных адресов.

 

Как бы это запилить? Или не то я затеял? :)

[DemonS]

Запилите опенвпн, к примеру. Пусть клиенты к Вам цепляются. У Вас ведь наверняка статика.

В ресолвить днс имя в ип - тут наверняка будут сбои.

Edited September 11, 2016 by DemonS

[nkusnetsov]

vnkorol, в 6.36.х можно в адрес-лист добавлять доменное имя, которое разресолвится в айпишник само. Для обновления можно проводить операцию удалить+добавить.

[Saab95]

IP телефоны умеют поднимать PPPoE, поставьте PPPoE сервер и выдавайте адреса через этот протокол, логин и пароль абоненты прямо в телефоны введут.

 

Вообще, когда сеть планируется, нужно отделять телефоны от остальной сети, тогда никаких проблем с безопасностью просто не возникнет.

[vnkorol]

Запилите опенвпн, к примеру. Пусть клиенты к Вам цепляются. У Вас ведь наверняка статика.

В ресолвить днс имя в ип - тут наверняка будут сбои.

 

Не каждый роутер овпн может поднять. Или прошивки альтернативные предлагаете?

 

vnkorol, в 6.36.х можно в адрес-лист добавлять доменное имя, которое разресолвится в айпишник само. Для обновления можно проводить операцию удалить+добавить.

 

Боюсь, криво будет, т.к. может получиться, что во время разговора при удалении правила будет рваться соединение...

 

IP телефоны умеют поднимать PPPoE, поставьте PPPoE сервер и выдавайте адреса через этот протокол, логин и пароль абоненты прямо в телефоны введут.

 

Ой. Это каким образом телефон в другом городе и у другого провайдера найдет в широковещательном сегменте пппое сервер моего микротика?

Edited September 12, 2016 by vnkorol

[nkusnetsov]

Ой. Это каким образом телефон в другом городе и у другого провайдера найдет в широковещательном сегменте пппое сервер моего микротика?

Вы абсолютно зря ёрничаете. Сами не полностью сформулировали задачу, и еще пытаетесь тут исполнять что-то.

Для начала определитесь, умеют ли и что именно из протоколов туннелирования клиентские роутеры.

pptp/l2tp/ipip/gre ? Свяжите точки в виртуальную сеть, ограничьте доступ её внутренним диапазоном и безопасность повысится.

[vnkorol]

nkusnetsov, не зря. Если бы у клиентов были нормальные роутеры, умеющие туннели, я бы не придумывал этот изврат. Поднял бы соединения, прописал маршруты и без всяких богомерзких для воипа натов подключался. У клиентов дешманские адсл длинки.

[nkusnetsov]

vnkorol, за три копейки безопасности не бывает. Хотя бывают VoIP-телефонные аппараты со встроенным VPN-клиентом.

Например, "GIP300" http://www.voip-info.org/wiki/view/GIP300

Либо брать нормальные роутеры. ADSL-модемы оставлять бриджами, а с нормальных роутеров поднимать PPPoE к Интернет-проавйдеру и vpn к офису.

Третий вариант - перешивать клиентов на openwrt https://wiki.openwrt.org/ru/toh/d-link/dsl-2650u

Edited September 12, 2016 by nkusnetsov

[vnkorol]

nkusnetsov,

Судя по тому, что без впн не обойтись, буду пробовать ставить роутеры дешманские, прошитые openwrt. Или на барахолке некротики старенькие брать.

[Saab95]

Ой. Это каким образом телефон в другом городе и у другого провайдера найдет в широковещательном сегменте пппое сервер моего микротика?

 

В удаленном офисе ставится микротик, на нем настраивается PPPoE сервер, авторизация по локальным учеткам для телефонов. Далее они по выданным IP идут в центр через основной туннель. Безопасность на высоте и никакие вирусы не перехватят трафик.

А то как любят - поставят мини атс, а адресация что на телефонах, что на компах из одной подсети. Вот и ломают телефонию.

[vnkorol]

Апну тему. В новых прошивках появилась возможность в address list писать доменное имя, а ниже его автоматом создает динамическое правило с айпи адресом этого хоста. Вопрос только - с каким интервалом этот айпи будет обновляться в списке...

[Guest vnkorol]

Проверил. Практически тут же, в течение минуты-двух.