Пароль на вход в сеть извне

Обсуждение оборудования и его настройки
Ответить
nevz00
Сообщения: 2
Зарегистрирован: 23 янв 2017, 14:29

Такой вопрос стоит микротик с проброшенными портами на них можно зайти с ip адреса провайдера можно ли поставить пароль на вход. Т.е. при входе с внешней сетки через микротик нужно было ввести пароль а не сразу перебрасывало через порт на сервак?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

nevz00 писал(а):Такой вопрос стоит микротик с проброшенными портами на них можно зайти с ip адреса провайдера можно ли поставить пароль на вход. Т.е. при входе с внешней сетки через микротик нужно было ввести пароль а не сразу перебрасывало через порт на сервак?


Для http можно Hotspot прикрутить. Хотя, если это веб сервер, то проще на нем авторизацию делать.
Для остального трафика еще сложнее. Обычно авторизация делается средствами конечной проги (например MS TS), а маршрутизатор только маршрутизирует :)

Используйте VPN для удаленного доступа!


Александр
nevz00
Сообщения: 2
Зарегистрирован: 23 янв 2017, 14:29

algerka писал(а):
nevz00 писал(а):Такой вопрос стоит микротик с проброшенными портами на них можно зайти с ip адреса провайдера можно ли поставить пароль на вход. Т.е. при входе с внешней сетки через микротик нужно было ввести пароль а не сразу перебрасывало через порт на сервак?


Для http можно Hotspot прикрутить. Хотя, если это веб сервер, то проще на нем авторизацию делать.
Для остального трафика еще сложнее. Обычно авторизация делается средствами конечной проги (например MS TS), а маршрутизатор только маршрутизирует :)

Используйте VPN для удаленного доступа!


Да на веб сервере, там стоит авторизация, но вопрос стоит можно ли реализовать парольную защиту или такой возможности нет и если надо тупо закрыть порты и все?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

nevz00 писал(а):Да на веб сервере, там стоит авторизация, но вопрос стоит можно ли реализовать парольную защиту или такой возможности нет и если надо тупо закрыть порты и все?

Если вы хотите авторизацию до подключения к веб-серверу, то, на мой взгляд, есть два варианта:
1. поднять VPN сервер, и после авторизации на нем, пускать на веб-сервер.
2. между интернетом и вебсервером поднять Hotspot, только на оборот, для авторизации извне в локальную сеть.

Первый вариант стандартный и проверенный временем (есть куча реализаций его, в том числе и с высокой защищенностью, если использовать сертификаты и USB ключи /привет Dragon_Knight который сомневается в надежности моего пароля/).
Второй, чисто теоретический и совсем не надежный, да и на практике, в обратку, я не пробовал.
Последний раз редактировалось algerka 23 янв 2017, 15:14, всего редактировалось 2 раза.


Александр
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

если порт(ы) открывают - значит стоит такая задача,
если надо сильно обезопаситься - то значит надо уходить в VPN сущность (как уже и сказали),
если надо частично оградиться - то делать порт доступный снаружи на базе каких то критериев, ограничить по IP-сетям и т.д.
В целом Вы пытаетесь заставить делать авторизацию там, где ёё быть как таковой не может.
Проброс порта - это сетевой функционал, а авторизация - это уже прикладной уровень.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Обычно делают авторизацию на стороне HTTP сервера. Хорошая статья на эту тему: https://habrahabr.ru/company/dataart/blog/262817/
Но если Вам нужен именно динамический NAT, то алгоритм следующий:
1) На HTTP сервере создаётся страничка авторизации.
2) Все запросы по умолчанию идут на эту страничку авторизации, для этого нужно поднять сервер на доп. порту, скажем 88.
3) Пользователь вводит учётные данные и после их проверки делает запрос на маршрутизатор и создаётся временное правила NAT для конкретного IP.
4) По истечении времени, или по иным алгоритмам динамическое правило удаляется и пользователь снова будет попадать на станицу авторизации.

Сказу сразу, задача сложная и требует знания следующего: Apache + MySQL + SSH over PHP + Скриптовый язык MikroTik.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить