Ограничение доступа к сайту за NAT (андроид-устройства)

[marcos71]

Доброго времени вам, уважаемые форумчане.
Вот столкнулся с задачей, которая сначала показалась простой, а в процессе реализации вышло так, что не очень.
Возможно, у кого-то был похожий опыт, и он этим поделится.
Итак, вводные:
1. Роутер - Mikrotik RB3011, белый IP
2. Веб-сервер внутри локальной сети.
3. Сайт, доменное имя, https
4. Проброшен 443 порт снаружи
5. Все работает штатно.
Внимание, вопрос: Как можно средствами RouterOS запретить доступ к сайту всем, кроме определенных устройств (в том числе Android) извне, где у них могут быть совершенно разные адреса?
Заранее спасибо.

[karton]

Поднять для клиентов ВПН для доступа к серверу не вариант? Ещё можно накостылить такое - клиент перед входом посылает пинг определённого размера, на микротике его ловит и добавляет белый адрес клиента в address list и уже по нему клиенту разрешён вход, но тут большой вопрос кому этим пользоваться, поймут ли юзеры и будет ли им понятно что при изменении их внешнего адреса им надо снова пинговать серв определённым пингом, + не 100% защита, так как все устройства за тем белым адресом получат доступ

[marcos71]

Добрый день. Спасибо за ответ.
По поводу впн - думали, но на тлф доп софт на ставить не хотят. Ipsec блокирует провайдер. Вот такая петрушка.
По поводу пинга нестандартного - клиенты не поймут, это сложновато для них...

[karton]

Можно ещё вместо пинга просто открыть какой-нибудь ещё порт допустим 444 и дать клиентам две ссылки, сначала они переходят на порт 444 где правило добавит их в белый лист, а потом уже по ссылке на 443, но тут опять же объяснять юзерам что по первой ссылке у них ничего не откроется, а лишь даст им доступ на вторую ссылку + может пропадать доступ при переходе из одного NAT в другой, но уже проще чем с пингами

[marcos71]

Вот это интересная идея, спасибо тебе, добрый человек! Сегодня попробую убедить заказчика.

[podarok66]

А что, обязательно ограничивать средствами Микротика? Вебсервер скорее всего на Nginx. Поставьте вход по паролю, выдавайте пароль только тем, кому туда можно зайти... В сети про настройку парольной аутентификации материалов тьма
P.S.: Вот с Illinory поболтали, он вообще подсказал, что если к вебсерверу доступа нет, можно поднять nginx на 3011 и вместо проброса порта использовать proxy pass для перенаправления запроса и аутентификацию прикрутить можно туда же. В принципе, даже LDAP (если он есть в локалке) можно прикрутить. Тогда учетка для доступа будет у каждого юзера своя. И выпиливать ее можно будет по первому чиху с легкостью.

[marcos71]

Желание отсекать лишних пользователей на уровне микрота было обусловлено нежеланием запускать нехороших людей за периметр, дабы не брутфорсили и не делали разные другие вещи с веб-сервером.
Сайт, действительно на nginx, доступ по паролю, это все присутствует.
Мысль с proxy pass вместо проброса портов интересна, попытаюсь разобраться в этой теме.
Большое спасибо за дельные советы.

[mafijs]

Как можно средствами RouterOS запретить доступ к сайту всем, кроме определенных устройств (в том числе Android) извне, где у них могут быть совершенно разные адреса?

Использовать VPN на определенных устройствах. Самое то, что надо. Просто и сердито.