>[оверквотинг удален]
>> Если построить туннель между metarouter и самим сервером (железкой, на которой установлен
>> Trassir) - т.е. получается туннель (в случае доступа к серверу из
>> LAN, а не из и-нет) клиент - metarouter - сервер... хотя
>> наверное, клиент - сервер - metarouter - сервер. Если так, то
>> не будет ли тогда весь трафик (от клиента к серверу) нагружать
>> канал от сервера к metarouter (как бы идти в обход, через
>> metarouter), или обращение сервера к metarouter будет разовым, только в момент
>> аутентификации пользователя?
> нужно читься выражать свои мысли если и не совсем правильно - то
> хотя-бы понятно для собеседника -- я ничё не понил Извините, действительно, сумбурно получилось. Попробую по другому сформулировать. Если настроить ipsec туннель, то между чем и чем? Для чего этот туннель использовать? Этот туннель создается на время аутентификации или на всё время сессии (всего времени просмотра юзером видео с сервера)? Этот туннель только для аутентификации или по нему передается весь видео-поток? Будут ли ответы на эти вопросы меняться в зависимости от того, откуда юзер пытается получить доступ к серверу из и-нет или из LAN?
>[оверквотинг удален]
>> одноразовый пароль и отсылать юзеру? Тогда получиться, что юзер будет завален
>> sms'ками, скажем, раз в минуту :) Наверное, нужно отсылать sms'ки не
>> по расписанию, а по событию (попытке аутентификации, например). Хотя может быть
>> я так думаю, поскольку не знаю какие ещё есть возможности у
>> cron'а - знаю только то, что вычитал про cron в wiki
>> - там сказано, что это прога выполняет какие-либо действия по расписанию.
>> Хотя, может быть cron будет по расписанию генерить пароль, а отсылать
>> его или нет (и куда отсылать) будет решать какой-нить скрипт?
> а можно ещё нескромный вопрос -- вы администрированием unix-like ос когда-нибудь
> занимались ?
Профессионально нет, никогда. Правда, 4-5 лет назад пробовал устанавливать/тестировать/использовать один из дистрибутивов на ноутбуке. Дистр назывался Gentoo Linux. Вроде тогда всё получалось, ядро настроил/скомпилил, дрова для звука/видео/WiFi поставил, графическую оболочку прикрутил. Короче попробовал, что-то получилось, отодвинул в сторону, поскольку не было всех для меня необходимых программ под Linux (AutoCAD, Lingvo, ещё чего-то - сейчас уже не помню), а wine использовать не захотел, тоже уже не помню по каким причинам.
> а то у вас очень определённая деформация по поводу
> того как дымать в неправильную сторону.
Зачем грубить-то? Я просто хотел более точно сформулировать вопрос и конкретизировать, но видимо перестарался и получилось как-то бредово, да. За это ещё раз извините, впредь буду стараться этого не делать.
>> А какие при этом нужны умения FireWall'а? Получать разрешение на доступ у
>> radius'а, который живет на metarouter? Хотя, наверное понял... связка должна выглядеть
>> так (добавил скобки :)) (metarouter + http sms шлюз + cron)
>> + правила fw. То что в скобках, физически находится на mikrotik,
>> а то что не в скобках, т.е. FireWall, находиться на
>> сервере?
> fw тоже на microtik'е
Если юзер хочет получить доступ из и-нет, тогда понятно - он кроме как через mikrotik на сервер не попадет. Как быть, если юзер хочет получить доступ к серверу через LAN? Если на сервере при этом не установлен FW, то что ему (юзеру) преградит путь к серваку - на свиче (свич с функциями L3 уровня соединяет две подсети) поставлено правило, что из VLAN1 (подсеть с юзером) разрешен доступ к VLAN2 (подсеть с серваком). Тогда юзер минуя FW на microtik'е попадет на сервер. А в LAN не всем пользователям можно подключаться к серверу.
>[оверквотинг удален]
>> для Trassir) отправлял к RADIUS'у? Кстати, не будет ли такая конфигурация
>> небезопасной, а то как-нибудь хакнут через Sip-сервер и все заморочки с
>> двойной аутентификацией псу под хвост :) ? На серваке будет именно
>> Wind'а стоять, поскольку дистрибутива Trassir под Linux у меня нет, хотя,
>> наверное, можно запустить Trassir и под wine, но не знаю что
>> лучше - надо подумать. Wine всё-таки эмулятор - опасаюсь, что на
>> производительности сервака отразиться, а сервер хочу максимально "зажать по производительности",
>> ибо энергосбережение и бесперебойники :).
> увольте -- я и так слишком много написал -- я по четвергам
> не подаю.
Опять грубите, я же Вам не грубил. Да, я обратился за советом к людям, которые разбираются в вопросах сетевой безопасности, которые в свое время тоже чего-то не знали и тоже чего-то не понимали, но потом решая данные задачи стали в этом деле спецами. И которые не против поделиться своими знаниями и опытом с начинающими, теми кто хочет в этих вопросах разобраться.
Лично, Вы, мне очень помогли и многое подсказали, большое спасибо Вам за это. И если я Вас чем-то задел, то точно не специально.
Вариант для распечатки
