grifin.ru Опубликовано 14 апреля, 2020 · Жалоба https://forum.nag.ru/index.php?/topic/151510-ipsec-princip-raboty/&page=2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 15 апреля, 2020 · Жалоба Разрешить подключение клиента только с определенным IP адресом и сертификатом можно, создав для него peer с указанием этого адреса и identity c разрешением только этого сертификата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 15 апреля, 2020 · Жалоба Это то понятно, а если в peer прописать диапазон IP ? Не взлетит ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 15 апреля, 2020 · Жалоба 1 час назад, McSea сказал: Разрешить подключение клиента только с определенным IP адресом и сертификатом можно, создав для него peer с указанием этого адреса и identity c разрешением только этого сертификата. Это то понятно, а если в peer прописать диапазон IP ? Не взлетит ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 16 апреля, 2020 (изменено) · Жалоба 8 hours ago, grifin.ru said: Это то понятно, а если в peer прописать диапазон IP ? Не взлетит ? Тогда просто будут подключаться все клиенты с адресами из диапазона, у которых есть нужные сертификаты. Какие именно нужные - это в зависимости от того, как вы настроите identity. Можно всем один сертификат поставить и разрешить только с ним подключения. А так в ROS нет даже сопоставления(выбора) identity по клиентскому IP ... Изменено 16 апреля, 2020 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 16 апреля, 2020 · Жалоба 24 минуты назад, McSea сказал: Тогда просто будут подключаться все клиенты с адресами из диапазона, у которых есть нужные сертификаты. Какие именно нужные - это в зависимости от того, как вы настроите identity. Можно всем один сертификат поставить и разрешить только с ним подключения. А так в ROS нет даже сопоставления(выбора) identity по клиентскому IP ... Стоит задача сравнивать IP из сертификата, с которым подключается клиент, с IP с которого он стучится и устанавливать соединение только если они совпадают. При этом хочется избежать необходимости "заводить" каждого клиента. теоретически это действительно лишнее, IP адреса в сертификате должно быть достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...