Ситуация простая. Имеем локальную сеть провайдера со 100% динамикой. На микротике выступающем в роли сервера поднят l2tp сервер. Клиентский микротик (клиент) цепляется к нему по определенному ипу. Открыть порты для всех я не могу. Мешает паранойя. Есть ли возможность реализовать схему при которой:
Рассмотрим ситуацию что поменялся ip на стороне клиента.
1. Клиент стучится (самое главное понять как он стучится) на старый ip сервера
- клиент проходит проверку
2. Сервер открывает ему порт
3. Прописывается правило для нового ip в фаэре
4. Закрывает порт на старый ip клиента
5. Админу уходит сообщение о смене ip клиента (по мылу)
Рассмотрим ситуацию что поменялся ip на стороне сервера.
1. Сервер отсылает сообщение админу о смене ip (по мылу)
2. Стучится на клиентские ip с целью выяснить кто остался после этой свистопляски на своих местах
- сервер проходит проверку
- логирует и шлет админу результаты
3. Клиент получает новые настройки для соединения с сервером
4. Старые правила на фаэре сносятся, а новые прописываются.
Конечно возможна ситуация при которой оба сменят ip. Но она ниже чем те случаи что я затронул.
куда рыть?
Динамика на обеих концах + микротики + паранойя
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
edinorog писал(а):1. Клиент стучится (самое главное понять как он стучится) на старый ip сервера
- клиент проходит проверку
Ну вот с этого начните, остальное все реализуемо
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
Принципе ничего сложного ... я так понимаю инет есть и у клиента и у сервера
для клиента и для сервера надо создавать учетные записи на dyndns или no-ip
Вот пример ..http://habrahabr.ru/post/111943/
а там уже писать скрипты для фаэрвола
для клиента и для сервера надо создавать учетные записи на dyndns или no-ip
Вот пример ..http://habrahabr.ru/post/111943/
а там уже писать скрипты для фаэрвола
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
В каждой параное должна быть норма. Я бы сделал проще.
Поднял бы центр сертификации в домене, прикрутил радиус на микротике к домену и попробовал бы сделать авторизацию по токенам.
На виндовом ВПН сервере я делал такое, на микротике не пробовал
Поднял бы центр сертификации в домене, прикрутил радиус на микротике к домену и попробовал бы сделать авторизацию по токенам.
На виндовом ВПН сервере я делал такое, на микротике не пробовал
Есть интересная задача и бюджет? http://mikrotik.site