ການກວດສອບສອງປັດໃຈຂອງຜູ້ໃຊ້ VPN ຜ່ານ MikroTik ແລະ SMS

ສະບາຍດີເພື່ອນຮ່ວມງານ! ໃນມື້ນີ້, ໃນເວລາທີ່ຄວາມເຂັ້ມຂົ້ນຂອງ passions ກ່ຽວກັບ "ວຽກທາງໄກ" ຫຼຸດລົງເລັກນ້ອຍ, ສ່ວນໃຫຍ່ຂອງຜູ້ເບິ່ງແຍງໄດ້ຊະນະວຽກງານຂອງພະນັກງານໃນການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກຂອງເຄືອຂ່າຍຂອງບໍລິສັດ, ມັນເປັນເວລາທີ່ຈະແບ່ງປັນປະສົບການທີ່ມີມາຍາວນານຂອງຂ້ອຍໃນການປັບປຸງຄວາມປອດໄພ VPN. ບົດຄວາມນີ້ຈະບໍ່ເປັນຄົນອັບເດດ: ໃນປັດຈຸບັນ IPSec IKEv2 ແລະ xAuth. ມັນກ່ຽວກັບການກໍ່ສ້າງລະບົບ. ການພິສູດຢືນຢັນສອງປັດໃຈ (2FA) ຜູ້ໃຊ້ VPN ເມື່ອ MikroTik ເຮັດຫນ້າທີ່ເປັນເຄື່ອງແມ່ຂ່າຍ VPN. ຄື, ເມື່ອໂປໂຕຄອນ "ຄລາສສິກ" ເຊັ່ນ PPP ຖືກນໍາໃຊ້.

ມື້ນີ້ຂ້ອຍຈະບອກທ່ານກ່ຽວກັບວິທີການປົກປ້ອງ MikroTik PPP-VPN ເຖິງແມ່ນວ່າບັນຊີຜູ້ໃຊ້ຈະຖືກ "hijacked". ເມື່ອໂຄງການນີ້ຖືກນໍາສະເຫນີໃຫ້ກັບລູກຄ້າຂອງຂ້ອຍ, ລາວໄດ້ອະທິບາຍສັ້ນໆວ່າ "ດີ, ດຽວນີ້ມັນຄືກັບທະນາຄານ!"

ວິທີການດັ່ງກ່າວບໍ່ໄດ້ໃຊ້ບໍລິການຕົວພິສູດຢືນຢັນພາຍນອກ. ວຽກງານແມ່ນປະຕິບັດພາຍໃນໂດຍ router ຕົວມັນເອງ. ບໍ່ມີຄ່າໃຊ້ຈ່າຍສໍາລັບລູກຄ້າເຊື່ອມຕໍ່. ວິທີການເຮັດວຽກສໍາລັບທັງລູກຄ້າ PC ແລະອຸປະກອນມືຖື.

ໂຄງ​ການ​ປົກ​ປັກ​ຮັກ​ສາ​ໂດຍ​ທົ່ວ​ໄປ​ແມ່ນ​ດັ່ງ​ຕໍ່​ໄປ​ນີ້​:

1. ທີ່ຢູ່ IP ພາຍໃນຂອງຜູ້ໃຊ້ທີ່ໄດ້ເຊື່ອມຕໍ່ຢ່າງສໍາເລັດຜົນກັບເຊີບເວີ VPN ຈະຖືກຈັດເປັນສີເທົາໂດຍອັດຕະໂນມັດ.
2. ເຫດການການເຊື່ອມຕໍ່ອັດຕະໂນມັດຈະສ້າງລະຫັດຫນຶ່ງຄັ້ງທີ່ຖືກສົ່ງໄປຫາຜູ້ໃຊ້ໂດຍໃຊ້ຫນຶ່ງໃນວິທີການທີ່ມີຢູ່.
3. ທີ່ຢູ່ໃນບັນຊີລາຍຊື່ນີ້ມີການເຂົ້າເຖິງຊັບພະຍາກອນເຄືອຂ່າຍທ້ອງຖິ່ນທີ່ຈໍາກັດ, ຍົກເວັ້ນການບໍລິການ "ຕົວຢືນຢັນ", ເຊິ່ງລໍຖ້າການຮັບລະຫັດຄັ້ງດຽວ.
4. ຫຼັງຈາກການນໍາສະເຫນີລະຫັດ, ຜູ້ໃຊ້ໄດ້ເຂົ້າເຖິງຊັບພະຍາກອນພາຍໃນຂອງເຄືອຂ່າຍ.

ກ່ອນອື່ນ ໝົດ ບັນຫານ້ອຍທີ່ສຸດທີ່ຂ້ອຍຕ້ອງປະເຊີນແມ່ນການເກັບຮັກສາຂໍ້ມູນການຕິດຕໍ່ຂອງຜູ້ໃຊ້ເພື່ອສົ່ງລະຫັດ 2FA ໃຫ້ລາວ. ເນື່ອງຈາກມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະສ້າງຊ່ອງຂໍ້ມູນຕາມຄວາມຕ້ອງການທີ່ກົງກັບຜູ້ໃຊ້ໃນ Mikrotik, ຊ່ອງຂໍ້ມູນ "ຄໍາເຫັນ" ທີ່ມີຢູ່ແລ້ວໄດ້ຖືກນໍາໃຊ້:

/ppp ຄວາມລັບເພີ່ມຊື່=Petrov ລະຫັດຜ່ານ=4M@ngr! ຄໍາເຫັນ = "89876543210"

ທີສອງ ບັນຫາໄດ້ຫັນອອກເປັນຮ້າຍແຮງກວ່າເກົ່າ - ທາງເລືອກຂອງເສັ້ນທາງແລະວິທີການສົ່ງລະຫັດ. ສາມ​ໂຄງ​ການ​ແມ່ນ​ໄດ້​ຮັບ​ການ​ປະ​ຕິ​ບັດ​ໃນ​ປັດ​ຈຸ​ບັນ​: a) SMS ຜ່ານ USB​-modem b) e​-mail c) SMS ຜ່ານ​ອີ​ເມລ​ທີ່​ມີ​ສໍາ​ລັບ​ລູກ​ຄ້າ​ຂອງ​ບໍ​ລິ​ສັດ​ຂອງ​ປະ​ຕິ​ບັດ​ການ cellular ສີ​ແດງ​.

ແມ່ນແລ້ວ, ໂຄງການ SMS ນໍາຄ່າໃຊ້ຈ່າຍ. ແຕ່ຖ້າຫາກວ່າທ່ານເບິ່ງ, "ຄວາມປອດໄພແມ່ນສະເຫມີໄປກ່ຽວກັບເງິນ" (c).
ສ່ວນຕົວຂ້ອຍບໍ່ມັກໂຄງການທີ່ມີ e-mail. ບໍ່ແມ່ນຍ້ອນວ່າມັນຮຽກຮ້ອງໃຫ້ເຄື່ອງແມ່ຂ່າຍເມລສາມາດໃຊ້ໄດ້ສໍາລັບລູກຄ້າທີ່ຖືກກວດສອບຄວາມຖືກຕ້ອງ - ມັນບໍ່ແມ່ນບັນຫາທີ່ຈະແບ່ງປັນການຈະລາຈອນ. ຢ່າງໃດກໍຕາມ, ຖ້າລູກຄ້າໄດ້ບັນທຶກລະຫັດຜ່ານ vpn ແລະອີເມລ໌ຢ່າງລະມັດລະວັງໃນຕົວທ່ອງເວັບແລະຫຼັງຈາກນັ້ນສູນເສຍຄອມພິວເຕີຂອງພວກເຂົາ, ຜູ້ໂຈມຕີຈະໄດ້ຮັບການເຂົ້າເຖິງເຄືອຂ່າຍຂອງບໍລິສັດຢ່າງເຕັມທີ່ຈາກມັນ.

ດັ່ງນັ້ນ, ມັນຕັດສິນໃຈ - ພວກເຮົາສົ່ງລະຫັດຄັ້ງດຽວໂດຍໃຊ້ຂໍ້ຄວາມ SMS.

ທີສາມ ບັນຫາແມ່ນຢູ່ໃສ ວິທີການສ້າງລະຫັດ pseudo-random ສໍາລັບ 2FA ໃນ MikroTik. ບໍ່ມີການປຽບທຽບຂອງຟັງຊັນ random() ໃນພາສາ RouterOS scripting, ແລະຂ້ອຍໄດ້ເຫັນເຄື່ອງສ້າງຕົວເລກ pseudo-random ຫຼາຍຄັ້ງກ່ອນ. ຂ້າ​ພະ​ເຈົ້າ​ບໍ່​ໄດ້​ມັກ​ໃດໆ​ຂອງ​ເຂົາ​ເຈົ້າ​ສໍາ​ລັບ​ເຫດ​ຜົນ​ຕ່າງໆ​.

ໃນຄວາມເປັນຈິງ, ມີເຄື່ອງກໍາເນີດລໍາດັບແບບສຸ່ມຢູ່ໃນ MikroTik! ມັນຖືກເຊື່ອງໄວ້ຈາກການແນມເບິ່ງເລິກໆໃນບໍລິບົດຂອງ /certificates scep-server. ວິທີທໍາອິດ ການໄດ້ຮັບລະຫັດຜ່ານຄັ້ງດຽວແມ່ນງ່າຍແລະງ່າຍດາຍ - ດ້ວຍຄໍາສັ່ງ /certificates scep-server otp ສ້າງ. ຖ້າພວກເຮົາປະຕິບັດການກໍານົດຕົວແປທີ່ງ່າຍດາຍ, ພວກເຮົາຈະໄດ້ຮັບຄ່າ array ທີ່ສາມາດນໍາໃຊ້ໄດ້ໃນ scripts ຕໍ່ມາ.

ວິທີທີສອງ ໄດ້​ຮັບ​ລະ​ຫັດ​ຜ່ານ​ຄັ້ງ​ດຽວ​ທີ່​ຍັງ​ງ່າຍ​ທີ່​ຈະ​ນໍາ​ໃຊ້ - ການ​ນໍາ​ໃຊ້​ບໍ​ລິ​ການ​ພາຍ​ນອກ​ random.org ເພື່ອສ້າງປະເພດທີ່ຕ້ອງການຂອງລໍາດັບຂອງຕົວເລກ pseudo-random. ນີ້ແມ່ນງ່າຍ cantilevered ຕົວຢ່າງຂອງການເອົາຂໍ້ມູນເຂົ້າໄປໃນຕົວແປ:

ລະ​ຫັດ
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6] :put $rnd1

ການຮ້ອງຂໍທີ່ມີຮູບແບບສໍາລັບ console (ການຫນີຕົວອັກສອນພິເສດຈະຕ້ອງຢູ່ໃນຕົວຂອງສະຄຣິບ) ໄດ້ຮັບຕົວເລກຫົກຕົວເລກເຂົ້າໄປໃນຕົວແປ $rnd1. ຄໍາສັ່ງ "ໃສ່" ຕໍ່ໄປນີ້ພຽງແຕ່ສະແດງຕົວແປໃນ MikroTik console.

ບັນຫາທີສີ່ ເຊິ່ງຕ້ອງໄດ້ຮັບການແກ້ໄຂຢ່າງໄວວາ - ນີ້ແມ່ນວິທີການແລະບ່ອນທີ່ລູກຄ້າເຊື່ອມຕໍ່ຈະໂອນລະຫັດຫນຶ່ງຄັ້ງໃນຂັ້ນຕອນທີສອງຂອງການກວດສອບ.

ຕ້ອງມີການບໍລິການຢູ່ໃນ router MikroTik ທີ່ສາມາດຍອມຮັບລະຫັດແລະຈັບຄູ່ກັບລູກຄ້າສະເພາະ. ຖ້າລະຫັດທີ່ສະຫນອງໃຫ້ກົງກັບທີ່ຄາດໄວ້, ທີ່ຢູ່ຂອງລູກຄ້າຄວນຈະຖືກລວມເຂົ້າໃນບັນຊີລາຍຊື່ "ສີຂາວ" ທີ່ແນ່ນອນ, ທີ່ຢູ່ທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້ເຂົ້າເຖິງເຄືອຂ່າຍພາຍໃນຂອງບໍລິສັດ.

ເນື່ອງຈາກທາງເລືອກທີ່ບໍ່ດີຂອງການບໍລິການ, ມັນໄດ້ຖືກຕັດສິນໃຈທີ່ຈະຍອມຮັບລະຫັດຜ່ານ http ໂດຍໃຊ້ webproxy ທີ່ສ້າງຂຶ້ນໃນ Mikrotik. ແລະນັບຕັ້ງແຕ່ໄຟວໍສາມາດເຮັດວຽກກັບລາຍຊື່ແບບເຄື່ອນໄຫວຂອງທີ່ຢູ່ IP, ມັນແມ່ນໄຟວໍທີ່ດໍາເນີນການຄົ້ນຫາລະຫັດ, ຈັບຄູ່ກັບ IP ຂອງລູກຄ້າແລະເພີ່ມມັນເຂົ້າໃນບັນຊີລາຍຊື່ "ສີຂາວ" ໂດຍໃຊ້ Layer7 regexp. router ຕົວຂອງມັນເອງໄດ້ຖືກມອບຫມາຍຊື່ DNS ທີ່ມີເງື່ອນໄຂ "gw.local", ບັນທຶກ A-static ໄດ້ຖືກສ້າງຂື້ນຢູ່ໃນມັນເພື່ອອອກໃຫ້ກັບລູກຄ້າ PPP:

DNS
/ip dns static add name=gw.local address=172.31.1.1

ບັນທຶກການຈາລະຈອນຂອງລູກຄ້າທີ່ບໍ່ໄດ້ຢັ້ງຢືນຢູ່ໃນຕົວແທນ:
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128


ໃນກໍລະນີນີ້, ຕົວແທນມີສອງຫນ້າທີ່.

1. ເປີດການເຊື່ອມຕໍ່ tcp ກັບລູກຄ້າ;

2. ໃນ​ກໍ​ລະ​ນີ​ຂອງ​ການ​ອະ​ນຸ​ຍາດ​ສົບ​ຜົນ​ສໍາ​ເລັດ​, ໂອນ​ຕົວ​ທ່ອງ​ເວັບ​ຂອງ​ລູກ​ຄ້າ​ໄປ​ທີ່​ຫນ້າ​ຫຼື​ຮູບ​ພາບ​ແຈ້ງ​ການ​ກ່ຽວ​ກັບ​ການ​ກວດ​ສອບ​ສົບ​ຜົນ​ສໍາ​ເລັດ​:

ການຕັ້ງຄ່າພຣັອກຊີ
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

ຂ້ອຍຈະບອກອົງປະກອບການຕັ້ງຄ່າທີ່ສໍາຄັນ:

1. interface-list "2fa" - ບັນຊີລາຍຊື່ແບບເຄື່ອນໄຫວຂອງການໂຕ້ຕອບລູກຄ້າ, ການຈະລາຈອນທີ່ຮຽກຮ້ອງໃຫ້ມີການປຸງແຕ່ງພາຍໃນ 2FA;
2. address-list "2fa_jailed" - "ສີຂີ້ເຖົ່າ" ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP tunnel ຂອງລູກຄ້າ VPN;
3. address_list "2fa_approved" - "ສີຂາວ" ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP tunnel ຂອງລູກຄ້າ VPN ທີ່ຜ່ານການພິສູດຢືນຢັນສອງປັດໃຈຢ່າງສໍາເລັດຜົນ.
4. ລະບົບຕ່ອງໂສ້ firewall "input_2fa" - ມັນກວດເບິ່ງແພັກເກັດ tcp ສໍາລັບການມີລະຫັດການອະນຸຍາດແລະກົງກັບທີ່ຢູ່ IP ຂອງຜູ້ສົ່ງລະຫັດກັບຫນຶ່ງທີ່ຕ້ອງການ. ກົດລະບຽບໃນລະບົບຕ່ອງໂສ້ຖືກເພີ່ມແລະເອົາອອກແບບເຄື່ອນໄຫວ.

ແຜນຜັງຂັ້ນຕອນທີ່ງ່າຍດາຍຂອງການປະມວນຜົນແພັກເກັດມີລັກສະນະດັ່ງນີ້:

ເພື່ອເຂົ້າໄປໃນການກວດສອບ Layer7 ຂອງການຈະລາຈອນຈາກລູກຄ້າຈາກບັນຊີລາຍຊື່ "ສີຂີ້ເຖົ່າ" ທີ່ຍັງບໍ່ທັນຜ່ານຂັ້ນຕອນທີສອງຂອງການກວດສອບ, ກົດລະບຽບໄດ້ຖືກສ້າງຂື້ນໃນລະບົບຕ່ອງໂສ້ "ປ້ອນ" ມາດຕະຖານ:

ລະ​ຫັດ
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

ຕອນນີ້ໃຫ້ເຮົາເລີ່ມຍຶດຄວາມຮັ່ງມີທັງໝົດນີ້ໃຫ້ກັບການບໍລິການ PPP. MikroTik ອະນຸຍາດໃຫ້ທ່ານໃຊ້ສະຄິບໃນໂປຼໄຟລ໌ (ppp-profile) ແລະມອບຫມາຍໃຫ້ພວກເຂົາກັບເຫດການຂອງການສ້າງຕັ້ງແລະທໍາລາຍການເຊື່ອມຕໍ່ ppp. ການຕັ້ງຄ່າ ppp-profile ສາມາດຖືກນໍາໃຊ້ກັບເຄື່ອງແມ່ຂ່າຍ PPP ທັງຫມົດຫຼືກັບຜູ້ໃຊ້ສ່ວນບຸກຄົນ. ໃນເວລາດຽວກັນ, ໂປຼໄຟລ໌ທີ່ມອບຫມາຍໃຫ້ຜູ້ໃຊ້ມີບູລິມະສິດ, overriding ຕົວກໍານົດການຂອງໂປຣໄຟລ໌ທີ່ເລືອກສໍາລັບເຄື່ອງແມ່ຂ່າຍໂດຍລວມກັບຕົວກໍານົດການຂອງຕົນ.

ເປັນຜົນມາຈາກວິທີການນີ້, ພວກເຮົາສາມາດສ້າງໂປຣໄຟລ໌ພິເສດສໍາລັບການພິສູດຢືນຢັນສອງປັດໃຈແລະມອບຫມາຍບໍ່ໃຫ້ຜູ້ໃຊ້ທັງຫມົດ, ແຕ່ວ່າພຽງແຕ່ຜູ້ທີ່ພິຈາລະນາວ່າມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະເຮັດແນວນັ້ນ. ນີ້ອາດຈະມີຄວາມກ່ຽວຂ້ອງຖ້າທ່ານໃຊ້ບໍລິການ PPP ບໍ່ພຽງແຕ່ເຊື່ອມຕໍ່ຜູ້ໃຊ້ສຸດທ້າຍ, ແຕ່ໃນເວລາດຽວກັນເພື່ອສ້າງການເຊື່ອມຕໍ່ຈາກເວັບໄຊທ໌.

ໃນໂປຣໄຟລ໌ພິເສດທີ່ສ້າງຂຶ້ນໃຫມ່, ພວກເຮົາໃຊ້ການເພີ່ມແບບເຄື່ອນໄຫວຂອງທີ່ຢູ່ແລະການໂຕ້ຕອບຂອງຜູ້ໃຊ້ທີ່ເຊື່ອມຕໍ່ໄປຫາລາຍຊື່ "ສີຂີ້ເຖົ່າ" ຂອງທີ່ຢູ່ແລະສ່ວນຕິດຕໍ່:

winbox

ລະ​ຫັດ
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະໃຊ້ທັງ "ລາຍຊື່ທີ່ຢູ່" ແລະ "ລາຍຊື່ການໂຕ້ຕອບ" ເພື່ອກວດສອບແລະເກັບກໍາການຈະລາຈອນຈາກລູກຄ້າ VPN ທີ່ບໍ່ແມ່ນຮອງໃນລະບົບຕ່ອງໂສ້ dstnat (prerouting).

ເມື່ອການກະກຽມສໍາເລັດ, ລະບົບຕ່ອງໂສ້ firewall ເພີ່ມເຕີມແລະໂປຣໄຟລ໌ໄດ້ຖືກສ້າງຂື້ນ, ພວກເຮົາຈະຂຽນສະຄິບທີ່ຮັບຜິດຊອບສໍາລັບການສ້າງລະຫັດ 2FA ອັດຕະໂນມັດແລະກົດລະບຽບຂອງ Firewall ສ່ວນບຸກຄົນ.

ເອກະສານ wiki.mikrotik.com ໃນ PPP-Profile ເສີມໃຫ້ພວກເຮົາຂໍ້ມູນກ່ຽວກັບຕົວແປທີ່ກ່ຽວຂ້ອງກັບເຫດການການເຊື່ອມຕໍ່ - ຕັດການເຊື່ອມຕໍ່ລູກຄ້າ PPP "ປະຕິບັດ script ໃນເຫດການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້. ເຫຼົ່ານີ້ແມ່ນຕົວແປທີ່ສາມາດເຂົ້າເຖິງໄດ້ສໍາລັບ script ເຫດການ: ຜູ້ໃຊ້, ທີ່ຢູ່ທ້ອງຖິ່ນ, ທີ່ຢູ່ຫ່າງໄກສອກຫຼີກ, caller-id, call-id, interface". ບາງສ່ວນຂອງພວກມັນມີປະໂຫຍດຫຼາຍຕໍ່ພວກເຮົາ.

ລະຫັດທີ່ໃຊ້ໃນໂປຣໄຟລ໌ສໍາລັບເຫດການການເຊື່ອມຕໍ່ PPP on-up

#Логируем для отладки полученные переменные 
:log info (

quot;local-address")

:log info (

quot;remote-address")

:log info (

quot;caller-id")

:log info (

quot;called-id")

:log info ([/int pptp-server get (

quot;interface") name])

#Объявляем свои локальные переменные

:local listname "2fa_jailed"

:local viamodem false

:local modemport "usb2"

#ищем автоматически созданную запись в адрес-листе "2fa_jailed"

:local recnum1 [/ip fi address-list find address=(

quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org

#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор

#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]
#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки

/ip fir address-list set $recnum1 comment=$rnd1

#получаем номер телефона куда слать SMS

:local vphone [/ppp secret get [find name=$user] comment]
#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно

#будет перейти прямо по ссылке из полученного сообщения

:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")
# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms

if $viamodem do={

/tool sms send phone-number=$vphone message=$msgboby port=$modemport }

else={

/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }
#Генерируем Layer7 regexp

local vregexp ("otp\/".$comm1)

:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall layer7-protocol add name=(

quot;vcomment") comment=(

quot;remote-address") regexp=(

quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода

#и небольшой защитой от брутфорса кодов с помощью dst-limit

/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(

quot;vcomment") protocol=tcp src-address=(

quot;remote-address") dst-limit=1,1,src-address/1m40s



ໂດຍສະເພາະສໍາລັບຜູ້ທີ່ມັກ copy-paste ໂດຍ mindlessly, ຂ້າພະເຈົ້າເຕືອນທ່ານ - ລະຫັດແມ່ນເອົາມາຈາກສະບັບທົດສອບແລະອາດຈະມີການພິມເລັກນ້ອຍ. ມັນຈະບໍ່ເປັນການຍາກສໍາລັບຄົນທີ່ມີຄວາມເຂົ້າໃຈທີ່ຈະຄິດອອກວ່າບ່ອນໃດ.
ເມື່ອຜູ້ໃຊ້ຕັດການເຊື່ອມຕໍ່, ເຫດການ "On-Down" ຖືກສ້າງຂຶ້ນແລະ script ທີ່ສອດຄ້ອງກັນກັບພາລາມິເຕີແມ່ນເອີ້ນວ່າ. ຈຸດປະສົງຂອງສະຄຣິບນີ້ແມ່ນເພື່ອເຮັດຄວາມສະອາດກົດລະບຽບຂອງໄຟວໍທີ່ສ້າງຂື້ນສໍາລັບຜູ້ໃຊ້ທີ່ຕັດການເຊື່ອມຕໍ່.
ລະຫັດທີ່ໃຊ້ໃນໂປຣໄຟລ໌ PPP on-down connection event
:local vcomment ("2fa_".(

quot;remote-address"))

/ip firewall address-list remove [find address=(

quot;remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=(

quot;remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]


ຈາກນັ້ນທ່ານສາມາດສ້າງຜູ້ໃຊ້ ແລະມອບໝາຍທັງໝົດ ຫຼືບາງອັນໃຫ້ກັບໂປຣໄຟລ໌ການພິສູດຢືນຢັນສອງປັດໃຈ.
winbox


ລະ​ຫັດ

/ppp secrets set [find name=Petrov] profile=2FA
ມັນເບິ່ງຢູ່ຝ່າຍລູກຄ້າແນວໃດ.
ເມື່ອ​ການ​ເຊື່ອມ​ຕໍ່ VPN ຖືກ​ສ້າງ​ຕັ້ງ​ຂຶ້ນ​, ໂທລະ​ສັບ Android / iOS / ຢາ​ເມັດ​ທີ່​ມີ​ຊິມ​ກາດ​ໄດ້​ຮັບ SMS ດັ່ງ​ນີ້​:
ຂໍ້​ຄວາມ


ຖ້າການເຊື່ອມຕໍ່ໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນໂດຍກົງຈາກໂທລະສັບ / ແທັບເລັດ, ຫຼັງຈາກນັ້ນທ່ານສາມາດຜ່ານ 2FA ໄດ້ງ່າຍໆໂດຍການຄລິກໃສ່ການເຊື່ອມຕໍ່ຈາກຂໍ້ຄວາມ. ມັນສະດວກສະບາຍ.
ຖ້າການເຊື່ອມຕໍ່ VPN ຖືກສ້າງຕັ້ງຂຶ້ນຈາກ PC, ຫຼັງຈາກນັ້ນຜູ້ໃຊ້ຈະຕ້ອງໃສ່ແບບຟອມລະຫັດຜ່ານຫນ້ອຍທີ່ສຸດ. ຮູບແບບຂະຫນາດນ້ອຍໃນຮູບແບບຂອງໄຟລ໌ HTML ໄດ້ຖືກມອບໃຫ້ຜູ້ໃຊ້ໃນເວລາຕັ້ງ VPN. ໄຟລ໌ດັ່ງກ່າວສາມາດສົ່ງຜ່ານທາງໄປສະນີເພື່ອໃຫ້ຜູ້ໃຊ້ປະຫຍັດມັນແລະສ້າງທາງລັດໃນສະຖານທີ່ທີ່ສະດວກສະບາຍ. ມັນເບິ່ງຄືວ່ານີ້:
ປ້າຍຊື່ໃນຕາຕະລາງ


ຜູ້ໃຊ້ຄລິກໃສ່ທາງລັດ, ແບບຟອມການເຂົ້າລະຫັດງ່າຍໆຈະເປີດ, ເຊິ່ງຈະວາງລະຫັດໃສ່ໃນ URL ທີ່ເປີດ:
ຮູບແບບຫນ້າຈໍ


ຮູບແບບເບື້ອງຕົ້ນທີ່ສຸດແມ່ນຍົກຕົວຢ່າງ. ຜູ້ທີ່ປາດຖະຫນາສາມາດດັດແປງດ້ວຍຕົນເອງ.
2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input id="text" type="text"/> 
<input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> 
</form>
</body>
</html>

ຖ້າການອະນຸຍາດປະສົບຜົນສໍາເລັດ, ຜູ້ໃຊ້ຈະເຫັນໂລໂກ້ MikroTik ໃນຕົວທ່ອງເວັບ, ເຊິ່ງຄວນຈະເປັນສັນຍານການພິສູດຢືນຢັນສົບຜົນສໍາເລັດ:

ໃຫ້ສັງເກດວ່າຮູບພາບຖືກສົ່ງຄືນຈາກເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ MikroTik ທີ່ໃຊ້ໃນ WebProxy ປະຕິເສດການປ່ຽນເສັ້ນທາງ.
ຂ້ອຍສົມມຸດວ່າຮູບພາບສາມາດຖືກປັບແຕ່ງໂດຍໃຊ້ເຄື່ອງມື "hotspot", ອັບໂຫລດສະບັບຂອງທ່ານເອງຢູ່ທີ່ນັ້ນແລະຕັ້ງ URL ປະຕິເສດການປ່ຽນເສັ້ນທາງກັບມັນກັບ WebProxy.
ຄໍາຮ້ອງຂໍອັນໃຫຍ່ຫຼວງຕໍ່ຜູ້ທີ່ພະຍາຍາມຊື້ Mikrotik "ຂອງຫຼິ້ນ" ລາຄາຖືກທີ່ສຸດໃນລາຄາ 20 ໂດລາແລະປ່ຽນ router 500 ໂດລາກັບມັນ - ຢ່າເຮັດແນວນັ້ນ. ອຸປະກອນເຊັ່ນ "hAP Lite" / "hAP mini" (ຈຸດເຂົ້າເຖິງເຮືອນ) ມີ CPU ທີ່ອ່ອນແອຫຼາຍ (smips), ແລະມັນອາດຈະບໍ່ຮັບມືກັບການໂຫຼດໃນສ່ວນທຸລະກິດ.
ຄໍາເຕືອນ!  ການແກ້ໄຂນີ້ມີຈຸດອ່ອນຫນຶ່ງ: ເມື່ອລູກຄ້າເຊື່ອມຕໍ່ຫຼືຕັດການເຊື່ອມຕໍ່, ການປ່ຽນແປງການຕັ້ງຄ່າເກີດຂື້ນ, ເຊິ່ງ router ພະຍາຍາມບັນທຶກໃນຫນ່ວຍຄວາມຈໍາທີ່ບໍ່ປ່ຽນແປງຂອງມັນ. ດ້ວຍຈໍານວນລູກຄ້າຈໍານວນຫລາຍແລະການເຊື່ອມຕໍ່ແລະການຕັດການເຊື່ອມຕໍ່ເລື້ອຍໆ, ນີ້ສາມາດນໍາໄປສູ່ການເສື່ອມໂຊມຂອງການເກັບຮັກສາພາຍໃນໃນ router.
PS: ວິທີການສົ່ງລະຫັດໃຫ້ກັບລູກຄ້າສາມາດຂະຫຍາຍແລະເສີມໄດ້ເທົ່າທີ່ຄວາມສາມາດການຂຽນໂປຼແກຼມຂອງເຈົ້າພຽງພໍ. ຕົວຢ່າງ, ທ່ານສາມາດສົ່ງຂໍ້ຄວາມໄປຫາ telegram ຫຼື ... ແນະນໍາທາງເລືອກ!
ຂ້າພະເຈົ້າຫວັງວ່າບົດຄວາມຈະເປັນປະໂຫຍດສໍາລັບທ່ານແລະຈະຊ່ວຍໃຫ້ເຄືອຂ່າຍຂອງທຸລະກິດຂະຫນາດນ້ອຍແລະຂະຫນາດກາງມີຄວາມປອດໄພຫຼາຍຂຶ້ນ.
ແຫຼ່ງຂໍ້ມູນ: www.habr.com