ការផ្ទៀងផ្ទាត់កត្តាពីរនៃអ្នកប្រើប្រាស់ VPN តាមរយៈ MikroTik និង SMS

សួស្តីមិត្តរួមការងារ! ថ្ងៃនេះ នៅពេលដែលអាំងតង់ស៊ីតេនៃចំណង់ចំណូលចិត្តជុំវិញ "ការងារពីចម្ងាយ" ថយចុះបន្តិច អ្នកគ្រប់គ្រងភាគច្រើនបានឈ្នះភារកិច្ចនៃការចូលប្រើពីចម្ងាយរបស់បុគ្គលិកទៅកាន់បណ្តាញសាជីវកម្ម វាដល់ពេលដែលត្រូវចែករំលែកបទពិសោធន៍យូរអង្វែងរបស់ខ្ញុំក្នុងការកែលម្អសុវត្ថិភាព VPN ។ អត្ថបទនេះនឹងមិនមានម៉ូតទេឥឡូវនេះ IPSec IKEv2 និង xAuth ។ វានិយាយអំពីការកសាងប្រព័ន្ធ។ ការផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) អ្នកប្រើប្រាស់ VPN នៅពេលដែល MikroTik ដើរតួជាម៉ាស៊ីនមេ VPN ។ ពោលគឺនៅពេលដែលពិធីការ "បុរាណ" ដូចជា PPP ត្រូវបានប្រើ។

ថ្ងៃនេះខ្ញុំនឹងប្រាប់អ្នកពីរបៀបការពារ MikroTik PPP-VPN ទោះបីជាគណនីអ្នកប្រើប្រាស់ត្រូវបាន "ប្លន់" ក៏ដោយ។ នៅពេលដែលគ្រោងការណ៍នេះត្រូវបានណែនាំដល់អតិថិជនរបស់ខ្ញុំម្នាក់ គាត់បានរៀបរាប់យ៉ាងខ្លីថា "អញ្ចឹង ឥឡូវនេះវាដូចជានៅក្នុងធនាគារអញ្ចឹង!"។

វិធីសាស្ត្រមិនប្រើសេវាកម្មផ្ទៀងផ្ទាត់ខាងក្រៅទេ។ ភារកិច្ចត្រូវបានអនុវត្តនៅខាងក្នុងដោយរ៉ោតទ័រខ្លួនឯង។ មិនគិតថ្លៃសម្រាប់អតិថិជនតភ្ជាប់។ វិធីសាស្ត្រនេះដំណើរការសម្រាប់ទាំងម៉ាស៊ីនភ្ញៀវកុំព្យូទ័រ និងឧបករណ៍ចល័ត។

គ្រោងការណ៍ការពារទូទៅមានដូចខាងក្រោម៖

1. អាសយដ្ឋាន IP ខាងក្នុងរបស់អ្នកប្រើដែលបានភ្ជាប់ដោយជោគជ័យទៅម៉ាស៊ីនមេ VPN ត្រូវបានដាក់ក្នុងបញ្ជីពណ៌ប្រផេះដោយស្វ័យប្រវត្តិ។
2. ព្រឹត្តិការណ៍នៃការតភ្ជាប់នឹងបង្កើតកូដតែមួយដងដោយស្វ័យប្រវត្តិដែលត្រូវបានផ្ញើទៅអ្នកប្រើប្រាស់ដោយប្រើវិធីសាស្រ្តដែលមាន។
3. អាស័យដ្ឋាននៅក្នុងបញ្ជីនេះមានកំណត់ការចូលប្រើប្រាស់ធនធានបណ្តាញមូលដ្ឋាន លើកលែងតែសេវាកម្ម "ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ" ដែលរង់ចាំទទួលលេខកូដសម្ងាត់តែម្តង។
4. បន្ទាប់ពីបង្ហាញលេខកូដ អ្នកប្រើប្រាស់អាចចូលទៅកាន់ធនធានខាងក្នុងនៃបណ្តាញ។

ដំបូង បញ្ហាតូចបំផុតដែលខ្ញុំត្រូវប្រឈមគឺការរក្សាទុកព័ត៌មានទំនាក់ទំនងអំពីអ្នកប្រើប្រាស់ដើម្បីផ្ញើលេខកូដ 2FA ឱ្យគាត់។ ដោយសារវាមិនអាចទៅរួចទេក្នុងការបង្កើតវាលទិន្នន័យបំពានដែលត្រូវគ្នានឹងអ្នកប្រើប្រាស់នៅក្នុង Mikrotik នោះវាល "មតិយោបល់" ដែលមានស្រាប់ត្រូវបានប្រើប្រាស់៖

/ppp secrets បន្ថែមឈ្មោះ=Petrov password=4M@ngr! comment="89876543210"

ទីពីរ បញ្ហាបានប្រែទៅជាកាន់តែធ្ងន់ធ្ងរ - ជម្រើសនៃផ្លូវនិងវិធីសាស្រ្តនៃការផ្តល់លេខកូដ។ បច្ចុប្បន្ន គ្រោងការណ៍ចំនួនបីត្រូវបានអនុវត្ត៖ ក) សារ SMS តាមរយៈម៉ូដឹម USB ខ) អ៊ីមែល គ) សារ SMS តាមរយៈអ៊ីមែលដែលមានសម្រាប់អតិថិជនសាជីវកម្មនៃប្រតិបត្តិករកោសិកាក្រហម។

បាទ គម្រោង SMS នាំមកនូវការចំណាយ។ ប៉ុន្តែ​ប្រសិន​បើ​អ្នក​មើល​ទៅ “សន្តិសុខ​គឺ​តែង​តែ​អំពី​លុយ” (គ)។
ខ្ញុំផ្ទាល់មិនចូលចិត្តគ្រោងការណ៍ជាមួយអ៊ីមែលទេ។ មិនមែនដោយសារតែវាទាមទារឱ្យម៉ាស៊ីនមេមានសម្រាប់ម៉ាស៊ីនភ្ញៀវដែលត្រូវបានផ្ទៀងផ្ទាត់ទេ - វាមិនមែនជាបញ្ហាក្នុងការបែងចែកចរាចរណ៍នោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអតិថិជនបានរក្សាទុកទាំង vpn និង email passwords ដោយមិនខ្វល់ខ្វាយក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត ហើយបន្ទាប់មកបាត់បង់កុំព្យូទ័រយួរដៃរបស់ពួកគេ អ្នកវាយប្រហារនឹងទទួលបានសិទ្ធិពេញលេញទៅកាន់បណ្តាញសាជីវកម្មពីវា។

ដូច្នេះវាត្រូវបានសម្រេចចិត្ត - យើងផ្តល់លេខកូដតែម្តងដោយប្រើសារ SMS ។

ទីបី បញ្ហាគឺនៅកន្លែងណា របៀបបង្កើតកូដចៃដន្យសម្រាប់ 2FA នៅក្នុង MikroTik. មិនមាន analogue នៃមុខងារ random() នៅក្នុង RouterOS scripting language ទេ ហើយខ្ញុំបានឃើញ crutch script pseudo-random number generator ពីមុនមក។ ខ្ញុំមិនចូលចិត្តពួកគេណាមួយសម្រាប់ហេតុផលផ្សេងៗ

តាមពិតមានម៉ាស៊ីនបង្កើតលំដាប់លំដោយចៃដន្យនៅក្នុង MikroTik! វា​ត្រូវ​បាន​លាក់​ពី​ការ​មើល​ស្រាល​ក្នុង​បរិបទ​នៃ /certificates scep-server។ វិធីទីមួយ ការទទួលបានពាក្យសម្ងាត់តែមួយដងគឺងាយស្រួល និងសាមញ្ញ - ជាមួយពាក្យបញ្ជា /certificates scep-server otp បង្កើត. ប្រសិនបើយើងអនុវត្តប្រតិបត្តិការកំណត់អថេរសាមញ្ញ យើងនឹងទទួលបានតម្លៃអារេដែលអាចប្រើនៅពេលក្រោយក្នុងស្គ្រីប។

វិធីទីពីរ ការទទួលបានពាក្យសម្ងាត់តែម្តង ដែលងាយស្រួលអនុវត្តផងដែរ - ដោយប្រើសេវាកម្មខាងក្រៅ random.org ដើម្បីបង្កើតប្រភេទនៃលំដាប់ដែលចង់បាននៃលេខ pseudo-random ។ នេះ​ជា​ការ​សាមញ្ញ cantilevered ឧទាហរណ៍នៃការយកទិន្នន័យទៅជាអថេរ៖

លេខកូដ
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

សំណើដែលបានធ្វើទ្រង់ទ្រាយសម្រាប់កុងសូល (ការរត់ចេញតួអក្សរពិសេសនឹងត្រូវបានទាមទារនៅក្នុងតួស្គ្រីប) ទទួលបានលេខប្រាំមួយខ្ទង់ទៅក្នុងអថេរ $rnd1។ ពាក្យបញ្ជា "ដាក់" ខាងក្រោមគ្រាន់តែបង្ហាញអថេរនៅក្នុងកុងសូល MikroTik ។

បញ្ហាទីបួន ដែលត្រូវដោះស្រាយឱ្យបានឆាប់រហ័ស - នេះជារបៀប និងកន្លែងដែលម៉ាស៊ីនភ្ញៀវដែលបានភ្ជាប់នឹងផ្ទេរលេខកូដតែម្តងគត់នៅដំណាក់កាលទីពីរនៃការផ្ទៀងផ្ទាត់។

ត្រូវតែមានសេវាកម្មនៅលើរ៉ោតទ័រ MikroTik ដែលអាចទទួលយកកូដ និងផ្គូផ្គងវាជាមួយអតិថិជនជាក់លាក់។ ប្រសិនបើលេខកូដដែលបានផ្តល់ត្រូវគ្នានឹងលេខកូដដែលរំពឹងទុក អាសយដ្ឋានរបស់អតិថិជនគួរតែត្រូវបានបញ្ចូលក្នុងបញ្ជី "ស" ជាក់លាក់ អាសយដ្ឋានដែលត្រូវបានអនុញ្ញាតឱ្យចូលប្រើបណ្តាញខាងក្នុងរបស់ក្រុមហ៊ុន។

ដោយសារតែជម្រើសមិនល្អនៃសេវាកម្ម វាត្រូវបានសម្រេចចិត្តទទួលយកលេខកូដតាមរយៈ http ដោយប្រើ webproxy ដែលបានបង្កើតឡើងនៅក្នុង Mikrotik ។ ហើយចាប់តាំងពីជញ្ជាំងភ្លើងអាចដំណើរការជាមួយបញ្ជីថាមវន្តនៃអាសយដ្ឋាន IP វាគឺជាជញ្ជាំងភ្លើងដែលធ្វើការស្វែងរកកូដដោយផ្គូផ្គងវាជាមួយ IP របស់អតិថិជន ហើយបន្ថែមវាទៅក្នុងបញ្ជី "ស" ដោយប្រើ Layer7 regexp ។ រ៉ោតទ័រខ្លួនវាត្រូវបានផ្តល់ឈ្មោះ DNS តាមលក្ខខណ្ឌ "gw.local" ដែលជាកំណត់ត្រា A ឋិតិវន្តត្រូវបានបង្កើតឡើងនៅលើវាសម្រាប់ចេញឱ្យអតិថិជន PPP៖

ឈ្មោះ DNS
/ip dns static add name=gw.local address=172.31.1.1

ការចាប់យកចរាចរណ៍របស់អតិថិជនដែលមិនបានផ្ទៀងផ្ទាត់នៅលើប្រូកស៊ី៖
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


ក្នុងករណីនេះប្រូកស៊ីមានមុខងារពីរ។

1. បើកការតភ្ជាប់ tcp ជាមួយអតិថិជន;

2. ក្នុងករណីមានការអនុញ្ញាតជោគជ័យ សូមប្តូរទិសកម្មវិធីរុករកតាមអ៊ីនធឺណិតទៅកាន់ទំព័រ ឬរូបភាពដែលជូនដំណឹងអំពីការផ្ទៀងផ្ទាត់ដោយជោគជ័យ៖

ការកំណត់រចនាសម្ព័ន្ធប្រូកស៊ី
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

ខ្ញុំនឹងរាយបញ្ជីធាតុកំណត់រចនាសម្ព័ន្ធសំខាន់ៗ៖

1. interface-list "2fa" - បញ្ជីថាមវន្តនៃចំណុចប្រទាក់អតិថិជន ចរាចរដែលទាមទារដំណើរការក្នុង 2FA;
2. បញ្ជីអាសយដ្ឋាន "2fa_jailed" - បញ្ជី "ពណ៌ប្រផេះ" នៃអាសយដ្ឋាន IP ផ្លូវរូងក្រោមដីរបស់អតិថិជន VPN;
3. address_list "2fa_approved" - "ពណ៌ស" បញ្ជីអាសយដ្ឋាន IP ផ្លូវរូងក្រោមដីរបស់ម៉ាស៊ីនភ្ញៀវ VPN ដែលបានឆ្លងកាត់ការផ្ទៀងផ្ទាត់ពីរកត្តាដោយជោគជ័យ។
4. ខ្សែសង្វាក់ជញ្ជាំងភ្លើង "input_2fa" - វាពិនិត្យកញ្ចប់ព័ត៌មាន tcp សម្រាប់វត្តមាននៃលេខកូដអនុញ្ញាត និងត្រូវគ្នានឹងអាសយដ្ឋាន IP របស់អ្នកផ្ញើកូដជាមួយនឹងលេខដែលត្រូវការ។ ច្បាប់នៅក្នុងខ្សែសង្វាក់ត្រូវបានបន្ថែម និងដកចេញថាមវន្ត។

គំនូសតាងលំហូរសាមញ្ញនៃដំណើរការកញ្ចប់ព័ត៌មានមើលទៅដូចនេះ៖

ដើម្បីចូលទៅក្នុងការត្រួតពិនិត្យ Layer7 នៃចរាចរណ៍ពីអតិថិជនពីបញ្ជី "ពណ៌ប្រផេះ" ដែលមិនទាន់បានឆ្លងកាត់ដំណាក់កាលទីពីរនៃការផ្ទៀងផ្ទាត់ ច្បាប់មួយត្រូវបានបង្កើតឡើងនៅក្នុងខ្សែសង្វាក់ "បញ្ចូល" ស្តង់ដារ៖

លេខកូដ
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

ឥឡូវនេះ ចូរចាប់ផ្តើមភ្ជាប់ទ្រព្យសម្បត្តិទាំងអស់នេះទៅសេវាកម្ម PPP ។ MikroTik អនុញ្ញាតឱ្យអ្នកប្រើស្គ្រីបក្នុងទម្រង់ (ppp-profile) និងកំណត់ពួកវាទៅព្រឹត្តិការណ៍នៃការបង្កើត និងបំបែកការតភ្ជាប់ ppp ។ ការកំណត់ទម្រង់ ppp អាចត្រូវបានអនុវត្តចំពោះម៉ាស៊ីនមេ PPP ទាំងមូល ឬចំពោះអ្នកប្រើប្រាស់ម្នាក់ៗ។ ក្នុងពេលជាមួយគ្នា ទម្រង់ដែលបានកំណត់ទៅអ្នកប្រើប្រាស់មានអាទិភាព ដោយបដិសេធប៉ារ៉ាម៉ែត្រនៃទម្រង់ដែលបានជ្រើសរើសសម្រាប់ម៉ាស៊ីនមេទាំងមូលជាមួយនឹងប៉ារ៉ាម៉ែត្រដែលបានបញ្ជាក់របស់វា។

ជាលទ្ធផលនៃវិធីសាស្រ្តនេះ យើងអាចបង្កើតទម្រង់ពិសេសសម្រាប់ការផ្ទៀងផ្ទាត់ពីរកត្តា និងកំណត់វាមិនមែនសម្រាប់អ្នកប្រើប្រាស់ទាំងអស់នោះទេ ប៉ុន្តែសម្រាប់តែអ្នកដែលគិតថាវាចាំបាច់ដើម្បីធ្វើដូច្នេះប៉ុណ្ណោះ។ វាអាចពាក់ព័ន្ធប្រសិនបើអ្នកប្រើសេវាកម្ម PPP មិនត្រឹមតែដើម្បីភ្ជាប់អ្នកប្រើប្រាស់ចុងក្រោយប៉ុណ្ណោះទេ ប៉ុន្តែក្នុងពេលតែមួយដើម្បីបង្កើតការតភ្ជាប់ពីគេហទំព័រទៅគេហទំព័រ។

នៅក្នុងទម្រង់ពិសេសដែលបានបង្កើតថ្មី យើងប្រើការបន្ថែមថាមវន្តនៃអាសយដ្ឋាន និងចំណុចប្រទាក់របស់អ្នកប្រើដែលបានភ្ជាប់ទៅបញ្ជី "ពណ៌ប្រផេះ" នៃអាសយដ្ឋាន និងចំណុចប្រទាក់៖

ប្រអប់ឈ្នះ

លេខកូដ
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

វាចាំបាច់ក្នុងការប្រើទាំងបញ្ជី "បញ្ជីអាសយដ្ឋាន" និង "បញ្ជីចំណុចប្រទាក់" ដើម្បីស្វែងរក និងចាប់យកចរាចរណ៍ពីអតិថិជន VPN មិនមែនបន្ទាប់បន្សំនៅក្នុងខ្សែសង្វាក់ dstnat (prerouting) ។

នៅពេលដែលការរៀបចំត្រូវបានបញ្ចប់ ខ្សែសង្វាក់ជញ្ជាំងភ្លើងបន្ថែម និងទម្រង់ត្រូវបានបង្កើត យើងនឹងសរសេរស្គ្រីបដែលទទួលខុសត្រូវចំពោះការបង្កើតកូដ 2FA ដោយស្វ័យប្រវត្តិ និងច្បាប់ជញ្ជាំងភ្លើងនីមួយៗ។

ឯកសារ wiki.mikrotik.com នៅលើ PPP-Profile ធ្វើឱ្យយើងទទួលបានព័ត៌មានអំពីអថេរដែលទាក់ទងនឹងព្រឹត្តិការណ៍តភ្ជាប់-ផ្តាច់អតិថិជន PPP msgstr "ប្រតិបត្តិ​ស្គ្រីប​លើ​ព្រឹត្តិការណ៍​ចូល​របស់​អ្នក​ប្រើ។ ទាំងនេះគឺជាអថេរដែលអាចចូលប្រើបានសម្រាប់ស្គ្រីបព្រឹត្តិការណ៍៖ អ្នកប្រើប្រាស់ អាសយដ្ឋានមូលដ្ឋាន អាសយដ្ឋានពីចម្ងាយ លេខសម្គាល់អ្នកហៅទូរសព្ទ លេខសម្គាល់ចំណុចប្រទាក់". ពួកគេខ្លះមានប្រយោជន៍ខ្លាំងណាស់សម្រាប់យើង។

កូដដែលប្រើក្នុងកម្រងព័ត៌មានសម្រាប់ព្រឹត្តិការណ៍ភ្ជាប់នៅលើ PPP

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



ជាពិសេសសម្រាប់អ្នកដែលចូលចិត្តចម្លង-បិទភ្ជាប់ដោយមិនដឹងខ្លួន ខ្ញុំសូមព្រមានអ្នក - កូដត្រូវបានយកចេញពីកំណែសាកល្បង ហើយអាចមានកំហុសតូចតាច។ វា​នឹង​មិន​ពិបាក​សម្រាប់​អ្នក​យល់​ដឹង​ក្នុង​ការ​ស្វែង​យល់​ពី​កន្លែង​ណា​ឱ្យ​ប្រាកដ​នោះ​ទេ។
នៅពេលដែលអ្នកប្រើប្រាស់ផ្តាច់ ព្រឹត្តិការណ៍ "On-Down" ត្រូវបានបង្កើត ហើយស្គ្រីបដែលត្រូវគ្នាជាមួយប៉ារ៉ាម៉ែត្រត្រូវបានហៅ។ ភារកិច្ចនៃស្គ្រីបនេះគឺដើម្បីសម្អាតច្បាប់ជញ្ជាំងភ្លើងដែលបានបង្កើតសម្រាប់អ្នកប្រើប្រាស់ដែលផ្តាច់។
កូដដែលប្រើក្នុងកម្រងព័ត៌មានសម្រាប់ព្រឹត្តិការណ៍ភ្ជាប់ចុះក្រោម PPP
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


បន្ទាប់មក អ្នកអាចបង្កើតអ្នកប្រើប្រាស់ និងកំណត់ពួកគេទាំងអស់ ឬមួយចំនួនទៅទម្រង់ការផ្ទៀងផ្ទាត់ពីរកត្តា។
ប្រអប់ឈ្នះ


លេខកូដ

/ppp secrets set [find name=Petrov] profile=2FA
របៀបដែលវាមើលទៅនៅខាងអតិថិជន។
នៅពេលដែលការតភ្ជាប់ VPN ត្រូវបានបង្កើតឡើង ទូរសព្ទ/ថេប្លេត Android/iOS ដែលមានស៊ីមកាត ទទួលបានសារ SMS ដូចនេះ៖
សារ


ប្រសិនបើការតភ្ជាប់ត្រូវបានបង្កើតឡើងដោយផ្ទាល់ពីទូរស័ព្ទ/ថេប្លេតនោះ អ្នកអាចចូលទៅតាមរយៈ 2FA ដោយគ្រាន់តែចុចលើតំណភ្ជាប់ពីសារ។ វាមានផាសុកភាព។
ប្រសិនបើការតភ្ជាប់ VPN ត្រូវបានបង្កើតឡើងពីកុំព្យូទ័រ នោះអ្នកប្រើប្រាស់នឹងតម្រូវឱ្យបញ្ចូលទម្រង់ពាក្យសម្ងាត់តិចតួចបំផុត។ ទម្រង់តូចមួយនៅក្នុងទម្រង់នៃឯកសារ HTML ត្រូវបានផ្តល់ឱ្យអ្នកប្រើប្រាស់នៅពេលដំឡើង VPN ។ ឯកសារអាចផ្ញើតាមប្រៃសណីយ៍ ដើម្បីឱ្យអ្នកប្រើប្រាស់រក្សាទុកវា និងបង្កើតផ្លូវកាត់នៅកន្លែងងាយស្រួល។ វាមើលទៅដូចនេះ៖
ស្លាកនៅលើតុ


អ្នកប្រើប្រាស់ចុចលើផ្លូវកាត់ ទម្រង់បញ្ចូលកូដសាមញ្ញនឹងបើក ដែលនឹងបិទភ្ជាប់កូដទៅក្នុង URL ដែលបើក៖
ទម្រង់អេក្រង់


ទម្រង់បឋមបំផុតត្រូវបានផ្តល់ជាឧទាហរណ៍។ អ្នកដែលចង់បានអាចកែប្រែខ្លួនឯងបាន។
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

ប្រសិនបើការអនុញ្ញាតបានជោគជ័យ អ្នកប្រើប្រាស់នឹងឃើញស្លាកសញ្ញា MikroTik នៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដែលគួរតែជាសញ្ញានៃការផ្ទៀងផ្ទាត់ដោយជោគជ័យ៖

ចំណាំថារូបភាពត្រូវបានបញ្ជូនមកវិញពីម៉ាស៊ីនមេបណ្តាញ MikroTik ដែលមានស្រាប់ដោយប្រើ WebProxy បដិសេធការប្តូរទិស។
ខ្ញុំគិតថារូបភាពអាចត្រូវបានប្ដូរតាមបំណងដោយប្រើឧបករណ៍ "hotspot" ផ្ទុកឡើងកំណែផ្ទាល់ខ្លួនរបស់អ្នកនៅទីនោះ ហើយកំណត់បដិសេធ URL ប្តូរទិសទៅវាជាមួយ WebProxy ។
សំណើដ៏ធំមួយសម្រាប់អ្នកដែលកំពុងព្យាយាមទិញ "ប្រដាប់ក្មេងលេង" Mikrotik ថោកបំផុតក្នុងតម្លៃ 20 ដុល្លារ ហើយជំនួសរ៉ោតទ័រ 500 ដុល្លារជាមួយវា - កុំធ្វើដូច្នោះ។ ឧបករណ៍ដូចជា "hAP Lite" / "hAP mini" (ចំណុចចូលប្រើនៅផ្ទះ) មាន CPU ខ្សោយខ្លាំង (smips) ហើយវាទំនងជាថាពួកគេនឹងមិនអាចទប់ទល់នឹងបន្ទុកនៅក្នុងផ្នែកអាជីវកម្មបានទេ។
ការព្រមាន!  ដំណោះស្រាយនេះមានគុណវិបត្តិមួយ៖ នៅពេលដែលអតិថិជនភ្ជាប់ ឬផ្តាច់ ការផ្លាស់ប្តូរការកំណត់កើតឡើង ដែលរ៉ោតទ័រព្យាយាមរក្សាទុកនៅក្នុងអង្គចងចាំដែលមិនងាយនឹងបង្កជាហេតុរបស់វា។ ជាមួយនឹងចំនួនអតិថិជនច្រើន និងការភ្ជាប់ញឹកញាប់ និងការផ្តាច់ នេះអាចនាំឱ្យខូចទំហំផ្ទុកខាងក្នុងនៅក្នុងរ៉ោតទ័រ។
PS: វិធីសាស្រ្តក្នុងការបញ្ជូនកូដទៅកាន់អតិថិជនអាចត្រូវបានពង្រីក និងបន្ថែមតាមដែលសមត្ថភាពសរសេរកម្មវិធីរបស់អ្នកគ្រប់គ្រាន់។ ឧទាហរណ៍ អ្នកអាចផ្ញើសារទៅតេឡេក្រាម ឬ ... ស្នើជម្រើស!
ខ្ញុំសង្ឃឹមថាអត្ថបទនឹងមានប្រយោជន៍សម្រាប់អ្នក ហើយនឹងជួយធ្វើឱ្យបណ្តាញអាជីវកម្មខ្នាតតូច និងមធ្យមមានសុវត្ថិភាពជាងមុនបន្តិច។
ប្រភព: www.habr.com