Динамика на обеих концах + микротики + паранойя

Обсуждение ПО и его настройки
Ответить
edinorog
Сообщения: 38
Зарегистрирован: 18 июл 2013, 16:33

Ситуация простая. Имеем локальную сеть провайдера со 100% динамикой. На микротике выступающем в роли сервера поднят l2tp сервер. Клиентский микротик (клиент) цепляется к нему по определенному ипу. Открыть порты для всех я не могу. Мешает паранойя. Есть ли возможность реализовать схему при которой:


Рассмотрим ситуацию что поменялся ip на стороне клиента.
1. Клиент стучится (самое главное понять как он стучится) на старый ip сервера
- клиент проходит проверку
2. Сервер открывает ему порт
3. Прописывается правило для нового ip в фаэре
4. Закрывает порт на старый ip клиента
5. Админу уходит сообщение о смене ip клиента (по мылу)

Рассмотрим ситуацию что поменялся ip на стороне сервера.
1. Сервер отсылает сообщение админу о смене ip (по мылу)
2. Стучится на клиентские ip с целью выяснить кто остался после этой свистопляски на своих местах
- сервер проходит проверку
- логирует и шлет админу результаты
3. Клиент получает новые настройки для соединения с сервером
4. Старые правила на фаэре сносятся, а новые прописываются.

Конечно возможна ситуация при которой оба сменят ip. Но она ниже чем те случаи что я затронул.

куда рыть? :ps_ih:


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

edinorog писал(а):1. Клиент стучится (самое главное понять как он стучится) на старый ip сервера
- клиент проходит проверку


Ну вот с этого начните, остальное все реализуемо


Есть интересная задача и бюджет? http://mikrotik.site
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Принципе ничего сложного ... я так понимаю инет есть и у клиента и у сервера

для клиента и для сервера надо создавать учетные записи на dyndns или no-ip

Вот пример ..http://habrahabr.ru/post/111943/

а там уже писать скрипты для фаэрвола


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

В каждой параное должна быть норма. Я бы сделал проще.
Поднял бы центр сертификации в домене, прикрутил радиус на микротике к домену и попробовал бы сделать авторизацию по токенам.

На виндовом ВПН сервере я делал такое, на микротике не пробовал


Есть интересная задача и бюджет? http://mikrotik.site
Ответить