🥇 MikroTik અને SMS દ્વારા VPN વપરાશકર્તાઓ માટે દ્વિ-પરિબળ પ્રમાણીકરણ

હેલો સાથીદારો! આજે, જ્યારે "રિમોટ વર્ક" ની આસપાસના જુસ્સાની તીવ્રતા થોડી ઓછી થઈ ગઈ છે, ત્યારે મોટાભાગના સંચાલકોએ કોર્પોરેટ નેટવર્કમાં કર્મચારીઓની દૂરસ્થ ઍક્સેસનું કાર્ય જીતી લીધું છે, VPN સુરક્ષાને સુધારવામાં મારા લાંબા સમયથી અનુભવને શેર કરવાનો આ સમય છે. આ લેખ હવે ફેશનેબલ રહેશે નહીં IPSec IKEv2 અને xAuth. તે સિસ્ટમ બનાવવા વિશે છે. દ્વિ-પરિબળ પ્રમાણીકરણ (2FA) VPN વપરાશકર્તાઓ જ્યારે MikroTik VPN સર્વર તરીકે કાર્ય કરે છે. જેમ કે, જ્યારે PPP જેવા "ક્લાસિક" પ્રોટોકોલનો ઉપયોગ કરવામાં આવે છે.

આજે હું તમને જણાવીશ કે યુઝર એકાઉન્ટના "હાઇજેક" ના કિસ્સામાં પણ MikroTik PPP-VPN ને કેવી રીતે સુરક્ષિત કરવું. જ્યારે આ યોજના મારા એક ગ્રાહકને રજૂ કરવામાં આવી હતી, ત્યારે તેણે તેનું ટૂંકમાં વર્ણન કર્યું હતું કે "સારું, હવે તે બેંકની જેમ છે!".

પદ્ધતિ બાહ્ય પ્રમાણીકરણ સેવાઓનો ઉપયોગ કરતી નથી. કાર્યો આંતરિક રીતે રાઉટર દ્વારા જ કરવામાં આવે છે. કનેક્ટિંગ ક્લાયંટ માટે કોઈ કિંમત નથી. પદ્ધતિ પીસી ક્લાયંટ અને મોબાઇલ ઉપકરણો બંને માટે કાર્ય કરે છે.

સામાન્ય સુરક્ષા યોજના નીચે મુજબ છે:

VPN સર્વર સાથે સફળતાપૂર્વક કનેક્ટ થયેલા વપરાશકર્તાનું આંતરિક IP સરનામું આપમેળે ગ્રેલિસ્ટેડ થાય છે.
કનેક્શન ઇવેન્ટ આપમેળે એક-વખતનો કોડ જનરેટ કરે છે જે ઉપલબ્ધ પદ્ધતિઓમાંથી એકનો ઉપયોગ કરીને વપરાશકર્તાને મોકલવામાં આવે છે.
આ સૂચિમાંના સરનામાંઓ "ઓથેન્ટિકેટર" સેવાના અપવાદ સિવાય સ્થાનિક નેટવર્ક સંસાધનોની મર્યાદિત ઍક્સેસ ધરાવે છે, જે વન-ટાઇમ પાસકોડ મેળવવાની રાહ જોઈ રહી છે.
કોડ પ્રસ્તુત કર્યા પછી, વપરાશકર્તા પાસે નેટવર્કના આંતરિક સંસાધનોની ઍક્સેસ છે.

પ્રથમ મને સૌથી નાની સમસ્યાનો સામનો કરવો પડ્યો હતો તે હતી વપરાશકર્તાને 2FA કોડ મોકલવા માટે તેની સંપર્ક માહિતી સંગ્રહિત કરવી. મિક્રોટિકમાં વપરાશકર્તાઓને અનુરૂપ મનસ્વી ડેટા ફીલ્ડ બનાવવાનું અશક્ય હોવાથી, હાલની "ટિપ્પણી" ફીલ્ડનો ઉપયોગ કરવામાં આવ્યો હતો:

/ppp રહસ્યો ઉમેરો name=Petrov password=4M@ngr! ટિપ્પણી="89876543210"

બીજો સમસ્યા વધુ ગંભીર બની - કોડ વિતરિત કરવાના માર્ગ અને પદ્ધતિની પસંદગી. હાલમાં ત્રણ યોજનાઓ અમલમાં છે: a) USB મોડેમ દ્વારા SMS b) ઈ-મેલ c) લાલ સેલ્યુલર ઓપરેટરના કોર્પોરેટ ક્લાયન્ટ્સ માટે ઉપલબ્ધ ઈ-મેલ દ્વારા SMS.

હા, SMS યોજનાઓ ખર્ચ લાવે છે. પરંતુ જો તમે જુઓ, "સુરક્ષા હંમેશા પૈસા વિશે હોય છે" (c).
મને વ્યક્તિગત રીતે ઈ-મેલ સાથેની સ્કીમ પસંદ નથી. એટલા માટે નહીં કે ક્લાયંટને પ્રમાણિત કરવા માટે મેઇલ સર્વર ઉપલબ્ધ હોવું જરૂરી છે - ટ્રાફિકને વિભાજિત કરવામાં કોઈ સમસ્યા નથી. જો કે, જો કોઈ ક્લાયંટ બેદરકારીપૂર્વક બ્રાઉઝરમાં vpn અને ઈમેલ બંને પાસવર્ડ સાચવે અને પછી તેનું લેપટોપ ખોવાઈ જાય, તો હુમલાખોર તેમાંથી કોર્પોરેટ નેટવર્કની સંપૂર્ણ ઍક્સેસ મેળવશે.

તેથી, તે નક્કી છે - અમે SMS સંદેશાઓનો ઉપયોગ કરીને એક-વખતનો કોડ વિતરિત કરીએ છીએ.

ત્રીજો સમસ્યા ક્યાં હતી MikroTik માં 2FA માટે સ્યુડો-રેન્ડમ કોડ કેવી રીતે જનરેટ કરવો. રાઉટરઓએસ સ્ક્રિપ્ટીંગ લેંગ્વેજમાં રેન્ડમ() ફંક્શનની સમકક્ષ કોઈ નથી, અને મેં પહેલા ઘણા ક્રચ સ્ક્રિપ્ટ સ્યુડો-રેન્ડમ નંબર જનરેટર જોયા છે. વિવિધ કારણોસર મને તેમાંથી કોઈ ગમતું ન હતું.

હકીકતમાં, MikroTik માં સ્યુડો-રેન્ડમ સિક્વન્સ જનરેટર છે! તે /સર્ટિફિકેટ્સ સ્કેપ-સર્વરના સંદર્ભમાં સુપરફિસિયલ નજરથી છુપાયેલું છે. પ્રથમ રસ્તો આદેશ સાથે - વન-ટાઇમ પાસવર્ડ મેળવવો સરળ અને સરળ છે /પ્રમાણપત્રો scep-server otp જનરેટ કરે છે. જો આપણે એક સરળ વેરીએબલ અસાઇનમેન્ટ ઓપરેશન કરીએ છીએ, તો આપણને એરે વેલ્યુ મળશે જેનો ઉપયોગ સ્ક્રિપ્ટ્સમાં પાછળથી થઈ શકે છે.

બીજી રીત એક-વખતનો પાસવર્ડ મેળવવો જે લાગુ કરવા માટે પણ સરળ છે - બાહ્ય સેવાનો ઉપયોગ કરીને random.org સ્યુડો-રેન્ડમ નંબરોનો ઇચ્છિત પ્રકારનો ક્રમ જનરેટ કરવા માટે. અહીં સરળ છે કેન્ટિલવેર્ડ ચલમાં ડેટા મેળવવાનું ઉદાહરણ:

કોડ
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da ta") 1 6] :put $rnd1

કન્સોલ માટે ફોર્મેટ કરેલી વિનંતી (સ્ક્રીપ્ટ બોડીમાં વિશેષ અક્ષરોથી બહાર નીકળવું જરૂરી રહેશે) $rnd1 ચલમાં છ અંકોની સ્ટ્રિંગ મેળવે છે. નીચેનો "પુટ" આદેશ ફક્ત MikroTik કન્સોલમાં ચલ દર્શાવે છે.

ચોથી સમસ્યા જેનો ઝડપથી ઉકેલ લાવવાનો હતો - આ રીતે અને ક્યાં કનેક્ટેડ ક્લાયંટ પ્રમાણીકરણના બીજા તબક્કામાં તેનો વન-ટાઇમ કોડ ટ્રાન્સફર કરશે.

MikroTik રાઉટર પર એવી સેવા હોવી આવશ્યક છે જે કોડને સ્વીકારી શકે અને તેને ચોક્કસ ક્લાયન્ટ સાથે મેચ કરી શકે. જો આપેલ કોડ અપેક્ષિત કોડ સાથે મેળ ખાતો હોય, તો ક્લાયંટનું સરનામું ચોક્કસ "સફેદ" સૂચિમાં શામેલ હોવું જોઈએ, જે સરનામાંઓથી કંપનીના આંતરિક નેટવર્કને ઍક્સેસ કરવાની મંજૂરી છે.

સેવાઓની નબળી પસંદગીને કારણે, Mikrotik માં બનેલ વેબપ્રોક્સીનો ઉપયોગ કરીને HTTP દ્વારા કોડ્સ સ્વીકારવાનું નક્કી કરવામાં આવ્યું હતું. અને ફાયરવોલ IP એડ્રેસની ડાયનેમિક લિસ્ટ સાથે કામ કરી શકે છે, તે ફાયરવોલ છે જે કોડ માટે શોધ કરે છે, તેને ક્લાયંટ IP સાથે મેચ કરે છે અને Layer7 regexp નો ઉપયોગ કરીને તેને "વ્હાઇટ" લિસ્ટમાં ઉમેરે છે. રાઉટરને પોતે જ શરતી DNS નામ "gw.local" અસાઇન કરવામાં આવ્યું છે, PPP ક્લાયંટને જારી કરવા માટે તેના પર એક સ્ટેટિક A-રેકોર્ડ બનાવવામાં આવ્યો છે:

DNS
/ip dns સ્ટેટિક એડ name=gw.local address=172.31.1.1

પ્રોક્સી પર વણચકાસાયેલ ક્લાયંટના ટ્રાફિકને કેપ્ચર કરવું:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128

આ કિસ્સામાં, પ્રોક્સીમાં બે કાર્યો છે.

1. ક્લાઈન્ટો સાથે ટીસીપી કનેક્શન ખોલો;

2. સફળ અધિકૃતતાના કિસ્સામાં, ક્લાયંટ બ્રાઉઝરને સફળ પ્રમાણીકરણ વિશે સૂચિત પૃષ્ઠ અથવા ચિત્ર પર રીડાયરેક્ટ કરો:

પ્રોક્સી રૂપરેખા
/ip proxy set enabled=yes port=3128 /ip proxy access add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

હું મહત્વપૂર્ણ રૂપરેખાંકન ઘટકોની સૂચિ બનાવીશ:

ઇન્ટરફેસ-સૂચિ "2fa" - ક્લાયંટ ઇન્ટરફેસની ગતિશીલ સૂચિ, ટ્રાફિક જેમાંથી 2FA ની અંદર પ્રક્રિયા કરવાની જરૂર છે;
સરનામાં-સૂચિ "2fa_jailed" - VPN ક્લાયંટના ટનલ IP સરનામાઓની "ગ્રે" સૂચિ;
એડ્રેસ_લિસ્ટ "2fa_approved" - VPN ક્લાયંટના ટનલ IP એડ્રેસની "સફેદ" સૂચિ કે જેણે દ્વિ-પરિબળ પ્રમાણીકરણ સફળતાપૂર્વક પસાર કર્યું છે.
ફાયરવોલ સાંકળ "input_2fa" - તે અધિકૃતતા કોડની હાજરી માટે tcp પેકેટો તપાસે છે અને જરૂરી કોડ મોકલનારના IP સરનામા સાથે મેળ ખાય છે. સાંકળમાં નિયમો ગતિશીલ રીતે ઉમેરવામાં આવે છે અને દૂર કરવામાં આવે છે.

પેકેટ પ્રોસેસિંગનો એક સરળ ફ્લોચાર્ટ આના જેવો દેખાય છે:

"ગ્રે" લિસ્ટમાંથી ગ્રાહકોના ટ્રાફિકની લેયર 7 તપાસમાં જવા માટે કે જેઓ હજુ સુધી પ્રમાણીકરણનો બીજો તબક્કો પસાર કર્યો નથી, પ્રમાણભૂત "ઇનપુટ" સાંકળમાં એક નિયમ બનાવવામાં આવ્યો છે:

કોડ
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

હવે આ બધી સંપત્તિ પીપીપી સેવામાં જોડવાનું શરૂ કરીએ. MikroTik તમને પ્રોફાઇલ્સ (ppp-પ્રોફાઇલ) માં સ્ક્રિપ્ટ્સનો ઉપયોગ કરવાની અને તેમને ppp કનેક્શન સ્થાપિત કરવા અને તોડવાની ઘટનાઓ માટે સોંપવાની મંજૂરી આપે છે. ppp-પ્રોફાઇલ સેટિંગ્સ સમગ્ર PPP સર્વર અને વ્યક્તિગત વપરાશકર્તાઓ બંને પર લાગુ કરી શકાય છે. તે જ સમયે, વપરાશકર્તાને અસાઇન કરેલ પ્રોફાઇલ પ્રાધાન્ય ધરાવે છે, સર્વર માટે પસંદ કરેલ પ્રોફાઇલના પરિમાણોને તેના ઉલ્લેખિત પરિમાણો સાથે ઓવરરાઇડ કરે છે.

આ અભિગમના પરિણામે, અમે દ્વિ-પરિબળ પ્રમાણીકરણ માટે એક વિશેષ પ્રોફાઇલ બનાવી શકીએ છીએ અને તે બધા વપરાશકર્તાઓને નહીં, પરંતુ ફક્ત તે જ લોકોને સોંપી શકીએ છીએ જેઓ આવું કરવાનું જરૂરી માને છે. જો તમે PPP સેવાઓનો ઉપયોગ ફક્ત અંતિમ વપરાશકર્તાઓને જોડવા માટે જ નહીં, પરંતુ તે જ સમયે સાઇટ-ટુ-સાઇટ કનેક્શન્સ બનાવવા માટે કરો છો તો આ સંબંધિત હોઈ શકે છે.

નવી બનાવેલી વિશેષ પ્રોફાઇલમાં, અમે સરનામાં અને ઇન્ટરફેસની "ગ્રે" સૂચિમાં કનેક્ટેડ વપરાશકર્તાના સરનામાં અને ઇન્ટરફેસના ગતિશીલ ઉમેરણનો ઉપયોગ કરીએ છીએ:

વિનબોક્સ

કોડ
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

dstnat (પ્રીરુટીંગ) સાંકળમાં નોન-સેકન્ડરી VPN ક્લાયન્ટ્સમાંથી ટ્રાફિકને શોધવા અને કેપ્ચર કરવા માટે "સરનામું-સૂચિ" અને "ઇન્ટરફેસ-સૂચિ" બંનેનો ઉપયોગ કરવો જરૂરી છે.

જ્યારે તૈયારી પૂર્ણ થઈ જાય, વધારાની ફાયરવોલ સાંકળો અને પ્રોફાઇલ બનાવવામાં આવે છે, ત્યારે અમે 2FA કોડ અને વ્યક્તિગત ફાયરવોલ નિયમોના સ્વતઃ-જનરેશન માટે જવાબદાર સ્ક્રિપ્ટ લખીશું.

દસ્તાવેજીકરણ wiki.mikrotik.com PPP-પ્રોફાઇલ પર PPP ક્લાયંટ કનેક્ટ-ડિસ્કનેક્ટ ઇવેન્ટ્સ સાથે સંકળાયેલા ચલો વિશેની માહિતીથી અમને સમૃદ્ધ બનાવે છે "વપરાશકર્તા લોગિન-ઇવેન્ટ પર સ્ક્રિપ્ટ ચલાવો. આ ઉપલબ્ધ ચલો છે જે ઇવેન્ટ સ્ક્રિપ્ટ માટે સુલભ છે: વપરાશકર્તા, સ્થાનિક-સરનામું, દૂરસ્થ-સરનામું, કૉલર-આઇડી, કૉલ-આઇડી, ઇન્ટરફેસ". તેમાંથી કેટલાક આપણા માટે ખૂબ ઉપયોગી છે.

PPP ઓન-અપ કનેક્શન ઇવેન્ટ માટે પ્રોફાઇલમાં કોડનો ઉપયોગ થાય છે

#Логируем для отладки полученные переменные :log info ( quot;local-address") :log info ( quot;remote-address") :log info ( quot;caller-id") :log info ( quot;called-id") :log info ([/int pptp-server get ( quot;interface") name]) #Объявляем свои локальные переменные :local listname "2fa_jailed" :local viamodem false :local modemport "usb2" #ищем автоматически созданную запись в адрес-листе "2fa_jailed" :local recnum1 [/ip fi address-list find address=( quot;remote-address") list=$listname] #получаем псевдослучайный код через random.org #:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4] #либо получаем псевдослучайный код через локальный генератор #:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ] #Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки /ip fir address-list set $recnum1 comment=$rnd1 #получаем номер телефона куда слать SMS :local vphone [/ppp secret get [find name=$user] comment] #Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно #будет перейти прямо по ссылке из полученного сообщения :local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/") # Отправляем SMS по выбранному каналу - USB-модем или email-to-sms if $viamodem do={ /tool sms send phone-number=$vphone message=$msgboby port=$modemport } else={ /tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby } #Генерируем Layer7 regexp local vregexp ("otp\/".$comm1) :local vcomment ("2fa_".( quot;remote-address")) /ip firewall layer7-protocol add name=( quot;vcomment") comment=( quot;remote-address") regexp=( quot;vregexp") #Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода #и небольшой защитой от брутфорса кодов с помощью dst-limit /ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=( quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s
ખાસ કરીને જેઓ મન વગર કોપી-પેસ્ટ કરવાનું પસંદ કરે છે, હું તમને ચેતવણી આપું છું - કોડ પરીક્ષણ સંસ્કરણમાંથી લેવામાં આવ્યો છે અને તેમાં નાની ભૂલો હોઈ શકે છે. સમજદાર વ્યક્તિ માટે બરાબર ક્યાં છે તે શોધવાનું મુશ્કેલ નહીં હોય.

જ્યારે વપરાશકર્તા ડિસ્કનેક્ટ થાય છે, ત્યારે "ઓન-ડાઉન" ઇવેન્ટ જનરેટ થાય છે અને પરિમાણો સાથે અનુરૂપ સ્ક્રિપ્ટ કહેવામાં આવે છે. આ સ્ક્રિપ્ટનું કાર્ય ડિસ્કનેક્ટ થયેલ વપરાશકર્તા માટે બનાવેલ ફાયરવોલ નિયમોને સાફ કરવાનું છે.

PPP ઓન-ડાઉન કનેક્શન ઇવેન્ટ માટે પ્રોફાઇલમાં કોડનો ઉપયોગ થાય છે

:local vcomment ("2fa_".( quot;remote-address")) /ip firewall address-list remove [find address=( quot;remote-address") list=2fa_approved] /ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ] /ip firewall layer7-protocol remove [find name=$vcomment]
પછી તમે વપરાશકર્તાઓ બનાવી શકો છો અને તેમાંથી બધા અથવા કેટલાકને દ્વિ-પરિબળ પ્રમાણીકરણ પ્રોફાઇલને સોંપી શકો છો.

વિનબોક્સ

કોડ
/ppp secrets set [find name=Petrov] profile=2FA

તે ક્લાયંટ બાજુ પર કેવી રીતે જુએ છે.

જ્યારે VPN કનેક્શન સ્થાપિત થાય છે, ત્યારે સિમ કાર્ડ સાથેનો Android/iOS ફોન/ટેબ્લેટ આના જેવો SMS મેળવે છે:

એસએમએસ

જો કનેક્શન સીધું ફોન/ટેબ્લેટથી સ્થાપિત થયેલ હોય, તો પછી તમે મેસેજમાંથી આપેલી લિંક પર ક્લિક કરીને 2FA મારફતે જઈ શકો છો. તે આરામદાયક છે.

જો પીસીમાંથી VPN કનેક્શન સ્થાપિત કરવામાં આવ્યું હોય, તો વપરાશકર્તાએ ન્યૂનતમ પાસવર્ડ ફોર્મ દાખલ કરવાની જરૂર પડશે. VPN સેટ કરતી વખતે વપરાશકર્તાને HTML ફાઇલના રૂપમાં એક નાનું ફોર્મ આપવામાં આવે છે. ફાઇલ મેઇલ દ્વારા પણ મોકલી શકાય છે જેથી વપરાશકર્તા તેને સાચવે અને અનુકૂળ જગ્યાએ શોર્ટકટ બનાવે. તે આના જેવું દેખાય છે:

ટેબલ પર લેબલ

વપરાશકર્તા શોર્ટકટ પર ક્લિક કરે છે, એક સરળ કોડ એન્ટ્રી ફોર્મ ખુલે છે, જે ખોલેલા URL માં કોડને પેસ્ટ કરશે:

સ્ક્રીન ફોર્મ

સૌથી આદિમ સ્વરૂપ ઉદાહરણ તરીકે આપવામાં આવે છે. જેઓ ઈચ્છે છે તેઓ પોતાના માટે ફેરફાર કરી શકે છે.

2fa_login_mini.html

<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

જો અધિકૃતતા સફળ હતી, તો વપરાશકર્તા બ્રાઉઝરમાં MikroTik લોગો જોશે, જે સફળ પ્રમાણીકરણનો સંકેત આપવો જોઈએ:

નોંધ કરો કે WebProxy Deny Redirect નો ઉપયોગ કરીને બિલ્ટ-ઇન MikroTik વેબ સર્વરમાંથી છબી પરત કરવામાં આવી છે.

હું ધારું છું કે છબીને "હોટસ્પોટ" ટૂલનો ઉપયોગ કરીને કસ્ટમાઇઝ કરી શકાય છે, ત્યાં તમારું પોતાનું વર્ઝન અપલોડ કરી શકાય છે અને વેબપ્રોક્સી સાથે તેના પર રીડાયરેક્ટ URL ને નકારો સેટ કરી શકાય છે.

જેઓ સૌથી સસ્તું "રમકડું" Mikrotik $20 માં ખરીદવાનો પ્રયાસ કરી રહ્યા છે અને તેની સાથે $500 નું રાઉટર બદલવાનો પ્રયાસ કરી રહ્યા છે તેઓને એક મોટી વિનંતી - આવું કરશો નહીં. "hAP Lite" / "hAP mini" (હોમ એક્સેસ પોઈન્ટ) જેવા ઉપકરણોમાં ખૂબ જ નબળું CPU (smips) હોય છે, અને એવી શક્યતા છે કે તેઓ બિઝનેસ સેગમેન્ટમાં ભારનો સામનો કરી શકશે નહીં.

ચેતવણી! આ સોલ્યુશનમાં એક ખામી છે: જ્યારે ક્લાયંટ કનેક્ટ અથવા ડિસ્કનેક્ટ થાય છે, ત્યારે રૂપરેખાંકન ફેરફારો થાય છે, જેને રાઉટર તેની બિન-અસ્થિર મેમરીમાં સાચવવાનો પ્રયાસ કરે છે. મોટી સંખ્યામાં ક્લાયન્ટ્સ અને વારંવાર જોડાણો અને ડિસ્કનેક્શન્સ સાથે, આ રાઉટરમાં આંતરિક સ્ટોરેજના અધોગતિ તરફ દોરી શકે છે.

PS: જ્યાં સુધી તમારી પ્રોગ્રામિંગ ક્ષમતાઓ પર્યાપ્ત છે ત્યાં સુધી ક્લાયંટને કોડ પહોંચાડવા માટેની પદ્ધતિઓ વિસ્તૃત અને પૂરક બનાવી શકાય છે. ઉદાહરણ તરીકે, તમે ટેલિગ્રામ પર સંદેશા મોકલી શકો છો અથવા ... વિકલ્પો સૂચવી શકો છો!

હું આશા રાખું છું કે લેખ તમારા માટે ઉપયોગી થશે અને નાના અને મધ્યમ કદના વ્યવસાયોના નેટવર્કને વધુ સુરક્ષિત બનાવવામાં મદદ કરશે.

સોર્સ: www.habr.com

MikroTik અને SMS દ્વારા VPN વપરાશકર્તાઓનું દ્વિ-પરિબળ પ્રમાણીકરણ