A
Это сейчас так сделано, а я хочу переделать на сертификаты
А зачем тебе это?
Size: a a a
2020 February 16
N
потому что шифрованию по паролю - это не очень надёжно..на мой взгляд
AS
Если классический(галочкой), то нужно использовать в политике 1701 порт и протокол юдипи
Вот у меня он чета не подрубается через нат
N
Сертификаты имеет смысл заводить, не забывая вести CRL.
Николай, подскажите пожалуйста, как открыть доступ только к CRL, не открывая доступ к webfig?
N
можно попытаться ограничить вход в webfig в ip-services.
А вообще, лучше CRL на внешнем хосте сохранять 😉
А вообще, лучше CRL на внешнем хосте сохранять 😉
N
поскольку к CRL могут обращаться и клиенты, ДО полной установки vpn, хост с crl должен быть им доступен тоже. Поэтому, в ссылке на CRL не рекомендуется использовать серые адреса. А лучше использовать fqdn
N
можно попытаться ограничить вход в webfig в ip-services.
А вообще, лучше CRL на внешнем хосте сохранять 😉
А вообще, лучше CRL на внешнем хосте сохранять 😉
Если ограничить в ip-services тогда не дает скачать, если не в списке... :(
N
Если ограничить в ip-services тогда не дает скачать, если не в списке... :(
печаль. тогда только внешний хост
N
печаль. тогда только внешний хост
Да :( а так удобно было бы...
VP
Николай, подскажите пожалуйста, как открыть доступ только к CRL, не открывая доступ к webfig?
Можете сделать нечто напоминающее порткнокинг - разрешать доступ к веб, тем, кто постучался на порт впн. Скажем на минуту.
MO
Николай, подскажите пожалуйста, как открыть доступ только к CRL, не открывая доступ к webfig?
А какой урл к crl ? Может в прокси порезать как то можно ?
VP
А какой урл к crl ? Может в прокси порезать как то можно ?
см на клиенте.
N
А какой урл к crl ? Может в прокси порезать как то можно ?
Его можно подсмотреть на клиенте при импортированном сертификате
MO
🙃 есть у кого настроенный :)? Как оно там мт по умолчанию ?
N
🙃 есть у кого настроенный :)? Как оно там мт по умолчанию ?
Оно там каждый раз новое, типа host.ru/crl/9.crl
N
Можете сделать нечто напоминающее порткнокинг - разрешать доступ к веб, тем, кто постучался на порт впн. Скажем на минуту.
Да, как вариант, а через l7 можно решить эту задачу?
VP
Да, как вариант, а через l7 можно решить эту задачу?
Не пробовал. Так, как я описал - можно.
B
Распознавание речи через api rest интерфейс ?
Да, там все как в амазоне
N
Не пробовал. Так, как я описал - можно.
Мне не хочется открывать админку даже на минуту :(
B
Мне не хочется открывать админку даже на минуту :(
Если учесть, что соединения до проверки сертификата еще точно нет, то портнокин будет работать на пакетах. А значит его можно будет изи заспамить и получить сколько угодно минут