он берет микррот тыркает его в сеть гостиницы и вуаля

А подключиться к своему же созданному ранее туннелю?

а зачем в данной схеме микротик?

он берет микррот тыркает его в сеть гостиницы и вуаля

впн для кого придумали?

ну чтоб впн и все такое поднимал микрот.

по-моему правильно для такого кейса поднимать впн на телефоне и на ноуте соответственно

зачем? смысл?

а не ноутбук юзера

ну чтоб впн и все такое поднимал микрот.

Конфиг можно открыть и в случае утери будет утечка данных авторизации. А при обычном vpn пользователь хранит эти данные в голове

Плюс, не нужно носить дополнительное оборудование

Конфиг можно открыть и в случае утери будет утечка данных авторизации. А при обычном vpn пользователь хранит эти данные в голове

или на смарт карте

и подрубить микротик к войфаю отеля может быть проблематично для юзера

Конфиг можно открыть и в случае утери будет утечка данных авторизации. А при обычном vpn пользователь хранит эти данные в голове

а если он не IT

а если он не IT

Именно не it

он не поймет как подрубистя к впн

а что там понимать?

я поэтому и бодаюсь со shrew (пока не победил его чьерт)

чтобы сделать подключение к впн одним кликом в винде

распространяешь среди командировочных CMAK конфиги (или для ovpn или еще для какого туннеля) конфиги

Нет необходимости выдавать оборудование в командировку если ему достаточно вписать логин с паролем в нужные поля в устройствах и работать в любой сети будь это wi-fi или мобильная сеть

для iOS тоже есть пакеты настроек vpn

и дальше юзеру только 2 раза нажать на соответствующую кнопочку и ввести свои данные

всяекие там траверсал наты

"Не it" пользователю нужно не более двух ярлычков на десктопе, чтобы он не запутался при подключении к корп-сети. Причем ярлычки обязательно должны быть R/O, иначе рукожопы их норовят удалить

всяекие там траверсал наты

его это не должно парить и ipsec как я выснил совершенно не вариант для подобного кейса

ну тогда надо мне добить шрю..

слишком непредсказуемо может не подключиться из рандомного места

потому что где-то по пути коряво настроено оборудование или еще что

вот у меня почему то l2tp+ipsec у одной клиентки не подрубается когда она у бабушки в деревне

слишком непредсказуемо может не подключиться из рандомного места

Потому два ярлычка. L2tp и sstp

а когда дома в горроде - подрубается

провайдер тот же

но в городе оптика в деревне dsl

Потому два ярлычка. L2tp и sstp

да, sstp очень годно, но нету на ios и андроедах

а pptp вроде не кошерно

Слухи о некошерности pptp сильно преувеличены

да, sstp очень годно, но нету на ios и андроедах

SSTP VPN Client 500h

руб

андроид

Чтобы его поломать, нужно иметь доступ а-ля m-i-t-m

вот у меня почему то l2tp+ipsec у одной клиентки не подрубается когда она у бабушки в деревне

А там интернет вообще работает? Пингуется нужный адрес?

SSTP VPN Client 500h

Вау!? Уже есть? Бесплатный?

А там интернет вообще работает? Пингуется нужный адрес?

ну по pptp я ей смог подрключить. подрубался тимвьювером и настраивал

Вау!? Уже есть? Бесплатный?

500р

Ну, если "конторе очень хочется" нехай рокупают. А если платить не хотят - значит, реально не сильно то и нужно это бизнесу.

ну по pptp я ей смог подрключить. подрубался тимвьювером и настраивал

Она подключает роутер в роутер и должна быть в корпоративной сети?

А там интернет вообще работает? Пингуется нужный адрес?

я не он, но у меня на 100 юзеров vpn с ipsec постоянно косяки всплывают

проблемы вида адрес пингуется, ipsec не поднимается

причем или просто ни одного пакета не доходит, как будто провайдер блочит

или первая фаза проходит, вторая -нет

Она подключает роутер в роутер и должна быть в корпоративной сети?

нет она подрубает ноутбук. про роутер у клиента это я теоретизировал.

я не он, но у меня на 100 юзеров vpn с ipsec постоянно косяки всплывают

Нужно пакеты смотреть, какие от кого ответы

она просто лазит по 1с и по файловому серверу

некоторым еще надо камеры

ikev2 тоже не соединяет

Вот, я сильно с вас удивляюсь. Нафига вы все наворачиваете ipsec пожестче? Чем вам не мил mppe128? Все в банках работаете? А хрен ли порт винбокс в инет открытым держите? ?

причем всплывает рандомно у рандомных пользователей - например в 1 отеле работало ок, вто втором перестало

через мобильного оператора подключалось, а в макдаке - нет

и т.п., в общем плюнул на ipsec и сделал ovpn

Вот, я сильно с вас удивляюсь. Нафига вы все наворачиваете ipsec пожестче? Чем вам не мил mppe128? Все в банках работаете? А хрен ли порт винбокс в инет открытым держите? ?

я лично держу его открытым в во внутреннюю сеть

в которую залезаешь через впн

а потом рулишь микротом

через мобильного оператора подключалось, а в макдаке - нет

в макдаке могут быть завернуты порты нужные фаерволом

удивительно что в 2018 повсеместно предлагаемый стандарт имеет такие проблемы с прохождением ната

по моему это православно и кошерно и халяль

Если у вас сотрудников больше трех, то вы очень рискуете.

ERROR: S client not available

нет она подрубает ноутбук. про роутер у клиента это я теоретизировал.

Не знаю в тему ли, но знакомый пытался так - подключал настроенный роутер для подключения к корпоративной сети в домашний роутер и первый должен был подключиться автоматом. Только он забыл, что это двойной nat и на домашнем нужно прокидывать порт

Не знаю в тему ли, но знакомый пытался так - подключал настроенный роутер для подключения к корпоративной сети в домашний роутер и первый должен был подключиться автоматом. Только он забыл, что это двойной nat и на домашнем нужно прокидывать порт

я так с дома подрубаюсь к корпор. сети своим микротом

и ниче не прокидываю. только маршруты. наты только на работе настроил.

Некоторые уже проходили эту чудесную историю, когда в компании находится "Вася-кульхацкер", скачивает routerscan и капец микротику. Потом в растерянности гадали - вроде порты из Интернета недоступны, а роутер ломанули. "Какая-то новая уязвимость" ?

Если у вас сотрудников больше трех, то вы очень рискуете.

это вы о какой ситуации

Некоторые уже проходили эту чудесную историю, когда в компании находится "Вася-кульхацкер", скачивает routerscan и капец микротику. Потом в растерянности гадали - вроде порты из Интернета недоступны, а роутер ломанули. "Какая-то новая уязвимость" ?

нюю...а как жы политики запрета запуска исполняемых файлов не из програм файлс

и ниче не прокидываю. только маршруты. наты только на работе настроил.

Ну да, можно и маршруты, но он через порт сделал

нюю...а как жы политики запрета запуска исполняемых файлов не из програм файлс

А как же byod ? ?

А как же byod ? ?

погуглил) хер вам а не бюод)

Вопрос. помогает ли /tool netwatch add host=ip-PBX interval=15s timeout=1s up-script="/ip firewall connection remove [find where src-address~""]" down-script=" /ip firewall connection remove [find where src-address~" " ]" при настройке через правила мангле в фаевал. трубка в офисе астериск в нете. 2 wana планируется failover

бюод в гостевой сети

нюю...а как жы политики запрета запуска исполняемых файлов не из програм файлс

Я уж не говорю, что не у всех такие политики применены, ввиду home-винды например, на ноутах

если бюод тогда все через веб.

А как же byod ? ?

Я себе делал blacklist по скану 22 порта) А сам ssh на другом

1с через веб, файловик через какой нить там ftp

Я себе делал blacklist по скану 22 порта) А сам ssh на другом

Опасно

порты на сервисы поставить левые

1с через веб наиквейшая вешь

Опасно

Вполне нормально, кому нужно - знают, а остальным нечего

Я себе делал blacklist по скану 22 порта) А сам ssh на другом

Только не забудьте whitelist раньше blacklist'a применить. Иначе закидав пачкой пакетов со spoofed src ip, можно доступ из всей подсети погасить - засунув всю подсеть в blacklist. Жлементарное западло уровня "Вася advanced"

да и вообще! поменять порт винбокса плюс защита от перебора портов

и че тут парится..

Только не забудьте whitelist раньше blacklist'a применить. Иначе закидав пачкой пакетов со spoofed src ip, можно доступ из всей подсети погасить - засунув всю подсеть в blacklist. Жлементарное западло уровня "Вася advanced"

Там несного сложная схема, основной шлюз cisco

а кто сканит бан на 5 дней

а кто сканит бан на 5 дней

память не забивается?

ну это чтоб кулхацкеров ловить

внутренних

да и вообще! поменять порт винбокса плюс защита от перебора портов

хм, точно такую же схему сейчас внедряю на коробаечки, посмотрю как оно...

А вообще, схема должна стартовать с mac-to-port bind на коммутаторах доступа. С one mac per port.

Бэст практис - иметь подставной порт-ловушку

Не помню где прочитал

Бэст практис - иметь подставной порт-ловушку

Honeypot оно зовется, да. Главное не дать админскую подсеть забанить этим правилом.