မင်္ဂလာပါ လုပ်ဖော်ကိုင်ဖက်များ။ ယနေ့၊ "ဝေးလံခေါင်သီသောအလုပ်" နှင့်စပ်လျဉ်းသည့်စိတ်အားထက်သန်မှုအနည်းငယ်လျော့နည်းသွားသောအခါ၊ စီမံခန့်ခွဲသူအများစုသည် ဝန်ထမ်းများ၏ကော်ပိုရိတ်ကွန်ရက်သို့ ဝန်ထမ်းများ၏အဝေးမှဝင်ရောက်ခွင့်ကိုရရှိသွားသည်၊ VPN လုံခြုံရေးကို ပိုမိုကောင်းမွန်လာစေရန် ကျွန်ုပ်၏နှစ်ရှည်လများအတွေ့အကြုံကို မျှဝေရမည့်အချိန်ဖြစ်သည်။ ဤဆောင်းပါးသည် ယခု IPSec IKEv2 နှင့် xAuth ခေတ်ဆန်မည်မဟုတ်ပါ။ စနစ်တစ်ခုတည်ဆောက်ခြင်းအကြောင်း။ MikroTik VPN ဆာဗာအဖြစ် လုပ်ဆောင်သောအခါ VPN အသုံးပြုသူများ။ ပြောရရင်၊ PPP လိုမျိုး "ဂန္တဝင်" ပရိုတိုကောတွေကို သုံးတဲ့အခါ။
အသုံးပြုသူအကောင့်ကို "အပိုင်စီးခြင်း" တွင်ပင် MikroTik PPP-VPN ကိုမည်သို့ကာကွယ်ရမည်ကို ယနေ့ ကျွန်ုပ်ပြောပြပါမည်။ ဤအစီအစဥ်ကို ကျွန်ုပ်၏ဖောက်သည်တစ်ဦးထံ မိတ်ဆက်သောအခါ၊ ၎င်းက "အင်း၊ အခုက ဘဏ်မှာလိုပါပဲ" ဟု အတိုချုံးဖော်ပြခဲ့သည်။
နည်းလမ်းသည် ပြင်ပစစ်မှန်ကြောင်းအထောက်အထားစိစစ်ခြင်းဝန်ဆောင်မှုများကို အသုံးမပြုပါ။ အလုပ်များကို router ကိုယ်တိုင်က အတွင်းပိုင်း၌ လုပ်ဆောင်ပါသည်။ ချိတ်ဆက်အသုံးပြုသူအတွက် ကုန်ကျစရိတ်မရှိပါ။ ဤနည်းလမ်းသည် PC client များနှင့် မိုဘိုင်းလ်စက်ပစ္စည်းများအတွက် အလုပ်လုပ်ပါသည်။
ယေဘူယျအားဖြင့် ကာကွယ်မှုအစီအစဥ်မှာ အောက်ပါအတိုင်းဖြစ်သည်။
- VPN ဆာဗာသို့ အောင်မြင်စွာ ချိတ်ဆက်ထားသည့် အသုံးပြုသူ၏ အတွင်းပိုင်း IP လိပ်စာသည် အလိုအလျောက် မီးခိုးရောင်စာရင်းသွင်းထားသည်။
- ချိတ်ဆက်မှုဖြစ်ရပ်သည် ရရှိနိုင်သောနည်းလမ်းများထဲမှ တစ်ခုကို အသုံးပြု၍ အသုံးပြုသူထံ ပေးပို့သည့် တစ်ကြိမ်သုံးကုဒ်ကို အလိုအလျောက်ထုတ်ပေးပါသည်။
- ဤစာရင်းရှိ လိပ်စာများသည် တစ်ကြိမ်သုံး ပတ်စ်ကုဒ်ကို လက်ခံရရှိရန် စောင့်ဆိုင်းနေသည့် “အထောက်အထားစိစစ်သူ” ဝန်ဆောင်မှုမှ လွဲ၍ ဒေသတွင်း ကွန်ရက်အရင်းအမြစ်များသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားသည်။
- ကုဒ်ကိုတင်ပြပြီးနောက်၊ အသုံးပြုသူသည် ကွန်ရက်၏အတွင်းပိုင်းအရင်းအမြစ်များကို ဝင်ရောက်ကြည့်ရှုနိုင်မည်ဖြစ်သည်။
ပဌမ ကျွန်တော်ရင်ဆိုင်ခဲ့ရတဲ့ အသေးဆုံးပြဿနာကတော့ 2FA ကုဒ်ကိုပေးပို့ဖို့အတွက် အသုံးပြုသူနဲ့ ပတ်သက်တဲ့ အဆက်အသွယ်အချက်အလက်ကို သိမ်းဆည်းခြင်းပါပဲ။ Mikrotik ရှိ အသုံးပြုသူများနှင့် သက်ဆိုင်သည့် မထင်သလို ဒေတာအကွက်များကို ဖန်တီးရန် မဖြစ်နိုင်သောကြောင့်၊ ရှိပြီးသား "မှတ်ချက်" အကွက်ကို အသုံးပြုခဲ့သည်-
/ppp လျှို့ဝှက်ချက်များ အမည်=Petrov စကားဝှက်=4M@ngr ထည့်ပါ။ မှတ်ချက် = "89876543210"
ဒုတိယ ပြဿနာက ပိုပြင်းထန်လာသည် - ကုဒ်ပေးပို့သည့်လမ်းကြောင်းနှင့် နည်းလမ်းရွေးချယ်မှု။ လက်ရှိတွင် အစီအစဉ်သုံးခုကို အကောင်အထည်ဖော်လျက်ရှိသည်- က) USB-modem မှတစ်ဆင့် SMS ကို ခ) အီးမေး (e-mail) ဂ) အနီရောင်ဆယ်လူလာအော်ပရေတာ၏ ကော်ပိုရိတ်ဖောက်သည်များအတွက် ရရှိနိုင်သော အီးမေးမှတစ်ဆင့် SMS။
ဟုတ်ကဲ့၊ SMS အစီအစဥ်များသည် ကုန်ကျစရိတ်များ သယ်ဆောင်လာပါသည်။ ဒါပေမယ့် လေ့လာကြည့်မယ်ဆိုရင် "လုံခြုံရေးဟာ ငွေနဲ့ပတ်သက်တယ်" (ဂ)။
e-mail ပါတဲ့ အစီအစဉ်ကို ကျွန်တော် ကိုယ်တိုင် မကြိုက်ပါဘူး။ ကလိုင်းယင့် စစ်မှန်ကြောင်း စစ်မှန်ကြောင်း စစ်မှန်ကြောင်း ရရှိနိုင်စေရန် မေးလ်ဆာဗာကို လိုအပ်သောကြောင့် မဟုတ်ပါ - လမ်းကြောင်းကို ခွဲထုတ်ရန် ပြဿနာမဟုတ်ပါ။ သို့သော်၊ အကယ်၍ client သည် browser တစ်ခုတွင် vpn နှင့် email စကားဝှက်များကို ဂရုမစိုက်ဘဲ သိမ်းဆည်းပြီးနောက် ၎င်းတို့၏ laptop ပျောက်ဆုံးသွားပါက၊ တိုက်ခိုက်သူသည် ၎င်းမှ ကော်ပိုရိတ်ကွန်ရက်သို့ အပြည့်အဝဝင်ရောက်ခွင့်ရရှိမည်ဖြစ်သည်။
ထို့ကြောင့် ဆုံးဖြတ်ထားသည် - ကျွန်ုပ်တို့သည် SMS မက်ဆေ့ဂျ်များကို အသုံးပြု၍ တစ်ကြိမ်သုံးကုဒ်ကို ပေးပို့ပါသည်။
တတိယ ပြဿနာက ဘယ်မှာလဲ။ MikroTik တွင် 2FA အတွက် pseudo-random ကုဒ်ကို မည်သို့ထုတ်လုပ်မည်နည်း။. RouterOS scripting language တွင် random() function ၏ analogue မရှိပါ။ နှင့် crutch script pseudo-random number generator အများအပြားကို ယခင်က တွေ့ဖူးပါသည်။ အကြောင်းအမျိုးမျိုးကြောင့် သူတို့ကို မကြိုက်ခဲ့ဘူး။
တကယ်တော့၊ MikroTik တွင် pseudo-random sequence generator တစ်ခုရှိသည်။ /certificates scep-server ၏အကြောင်းအရာတွင် အပေါ်ယံအကြည့်မှ ဝှက်ထားသည်။ ပထမဦးဆုံးနည်းလမ်း တစ်ကြိမ်သုံးစကားဝှက်တစ်ခုရယူခြင်းသည် အမိန့်ဖြင့် လွယ်ကူရိုးရှင်းပါသည်။ /certificates scep-server otp ထုတ်ပေးသည်။. ကျွန်ုပ်တို့သည် ရိုးရှင်းသော ပြောင်းလဲနိုင်သော assignment လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ပါက၊ နောက်ပိုင်းတွင် scripts များတွင် အသုံးပြုနိုင်သည့် array value တစ်ခုကို ရရှိပါမည်။
ဒုတိယလမ်း ပြင်ပဝန်ဆောင်မှုကို အသုံးပြု၍ လျှောက်ထားရလွယ်ကူသည့် တစ်ကြိမ်သုံးစကားဝှက်ကို ရယူခြင်း။ pseudo-random နံပါတ်များ၏ လိုချင်သော sequence အမျိုးအစားကို ထုတ်လုပ်ရန်။ ဤတွင် ရိုးရှင်းပါသည်။ cantilevered ကိန်းရှင်တစ်ခုသို့ဒေတာရယူခြင်း၏ဥပမာ
ကုဒ်
:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6]
:put $rnd1
ကွန်ဆိုးလ်အတွက် ဖော်မတ်လုပ်ထားသည့် တောင်းဆိုချက်တစ်ခု (ဇာတ်ညွှန်းကိုယ်ထည်တွင် အထူးဇာတ်ကောင်များထွက်ရန် လိုအပ်မည်) သည် $rnd1 ကိန်းရှင်သို့ ဂဏန်းခြောက်လုံးစာတန်းကို လက်ခံရရှိမည်ဖြစ်သည်။ အောက်ပါ "put" command သည် MikroTik console တွင် variable ကိုပြသည်။
စတုတ္ထပြဿနာ အမြန်ဖြေရှင်းခဲ့ရသည် - ဤသည်မှာ ချိတ်ဆက်ထားသော client သည် အထောက်အထားစိစစ်ခြင်း၏ ဒုတိယအဆင့်တွင် ၎င်း၏တစ်ကြိမ်သုံးကုဒ်ကို လွှဲပြောင်းပေးမည့်နေရာဖြစ်သည်။
ကုဒ်ကိုလက်ခံပြီး တိကျသော client နှင့် ကိုက်ညီနိုင်သည့် MikroTik router တွင် ဝန်ဆောင်မှုတစ်ခု ရှိရပါမည်။ ပေးထားသည့်ကုဒ်သည် မျှော်လင့်ထားသည့်တစ်ခုနှင့် ကိုက်ညီပါက၊ ကုမ္ပဏီ၏အတွင်းပိုင်းကွန်ရက်သို့ ဝင်ရောက်ခွင့်ပြုထားသည့် လိပ်စာများသည် အချို့သော "အဖြူ" စာရင်းတွင် ထည့်သွင်းသင့်သည်။
ဝန်ဆောင်မှုများ၏ ရွေးချယ်မှု ညံ့ဖျင်းမှုကြောင့် Mikrotik တွင် တည်ဆောက်ထားသော webproxy ကို အသုံးပြု၍ http မှတစ်ဆင့် ကုဒ်များကို လက်ခံရန် ဆုံးဖြတ်ခဲ့သည်။ firewall သည် dynamic lists များ၏ IP လိပ်စာများနှင့် အလုပ်လုပ်နိုင်သောကြောင့်၊ ၎င်းသည် ကုဒ်ရှာဖွေမှုကို လုပ်ဆောင်ပေးသည့် firewall ဖြစ်ပြီး၊ ၎င်းသည် client IP နှင့် ကိုက်ညီပြီး Layer7 regexp ကို အသုံးပြု၍ "အဖြူ" စာရင်းသို့ ပေါင်းထည့်ခြင်းဖြစ်သည်။ Router ကိုယ်တိုင်က သတ်မှတ်ပေးထားသော DNS အမည် "gw.local" ကို သတ်မှတ်ပေးထားပြီး PPP သုံးစွဲသူများထံ ထုတ်ပေးရန်အတွက် ၎င်းတွင် static A-record ကို ဖန်တီးထားသည်။
DNS ကို
/ip dns static add name=gw.local address=172.31.1.1
ပရောက်စီတွင် မစစ်ဆေးရသေးသော သုံးစွဲသူများ၏ အသွားအလာကို ဖမ်းယူခြင်း-
/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128
ဤကိစ္စတွင်၊ ပရောက်စီတွင် လုပ်ဆောင်ချက်နှစ်ခုရှိသည်။
1. ဖောက်သည်များနှင့် tcp ချိတ်ဆက်မှုများကို ဖွင့်ပါ။
2. ခွင့်ပြုချက်အောင်မြင်ပါက၊ ဖောက်သည်ဘရောက်ဆာကို အောင်မြင်သောအထောက်အထားစိစစ်ခြင်းအကြောင်း အသိပေးသည့် စာမျက်နှာ သို့မဟုတ် ရုပ်ပုံသို့ ပြန်ညွှန်းသည်-
ပရောက်စီပြင်ဆင်မှု
/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0
ကျွန်ုပ်သည် အရေးကြီးသော ဖွဲ့စည်းမှုပုံစံ အစိတ်အပိုင်းများကို စာရင်းပြုစုပါမည်။
- အင်တာဖေ့စ်စာရင်း "2fa" - 2FA အတွင်း လုပ်ဆောင်ရန် လိုအပ်သည့် ဖောက်သည်အင်တာဖေ့စ်များ၏ တက်ကြွသောစာရင်း၊
- လိပ်စာစာရင်း "2fa_jailed" - VPN သုံးစွဲသူများ၏ ဥမင်လိုဏ်ခေါင်း IP လိပ်စာများ၏ "မီးခိုးရောင်" စာရင်း။
- address_list "2fa_approved" - "အဖြူ" အချက်နှစ်ချက် အထောက်အထားစိစစ်ခြင်းကို အောင်မြင်စွာ ကျော်ဖြတ်ခဲ့သော VPN ဖောက်သည်များ၏ ဥမင် IP လိပ်စာများ၏ "အဖြူ" စာရင်း။
- firewall ကွင်းဆက် "input_2fa" - ၎င်းသည် ခွင့်ပြုချက်ကုဒ်တစ်ခုရှိနေခြင်းအတွက် tcp packet များကို စစ်ဆေးပြီး လိုအပ်သော code ပေးပို့သူ၏ IP လိပ်စာနှင့် ကိုက်ညီပါသည်။ ကွင်းဆက်အတွင်းရှိ စည်းမျဉ်းများကို ထည့်သွင်းပြီး တက်ကြွစွာ ဖယ်ရှားသည်။
packet processing ၏ ရိုးရှင်းသော flowchart သည် ဤကဲ့သို့ ဖြစ်သည်-
အထောက်အထားစိစစ်ခြင်း၏ဒုတိယအဆင့်ကိုမကျော်ရသေးသော "မီးခိုးရောင်" စာရင်းမှဖောက်သည်များထံမှ Layer7 လမ်းကြောင်းစစ်ဆေးခြင်းသို့ဝင်ရောက်ရန်၊ စံ "ထည့်သွင်းမှု" ကွင်းဆက်တွင် စည်းမျဉ်းတစ်ခုကို ဖန်တီးထားသည်-
ကုဒ်
/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa
ယခု ဤချမ်းသာကြွယ်ဝမှုအားလုံးကို PPP ဝန်ဆောင်မှုတွင် ချိတ်ဆက်လိုက်ကြပါစို့။ MikroTik သည် သင့်အား ပရိုဖိုင်များ (ppp-profile) တွင် scripts များကို အသုံးပြုနိုင်ပြီး ppp ချိတ်ဆက်မှုကို ထူထောင်ခြင်းနှင့် ဖောက်ဖျက်ခြင်းဆိုင်ရာ ဖြစ်ရပ်များတွင် ၎င်းတို့အား တာဝန်ပေးနိုင်သည်။ ppp-profile ဆက်တင်များကို PPP ဆာဗာတစ်ခုလုံး သို့မဟုတ် အသုံးပြုသူတစ်ဦးချင်းစီအတွက် အသုံးချနိုင်သည်။ တစ်ချိန်တည်းမှာပင်၊ အသုံးပြုသူအား သတ်မှတ်ပေးထားသည့် ပရိုဖိုင်သည် ဦးစားပေးဖြစ်ပြီး၊ ၎င်း၏ သတ်မှတ်ထားသော ကန့်သတ်ဘောင်များနှင့် ဆာဗာတစ်ခုလုံးအတွက် ရွေးချယ်ထားသော ပရိုဖိုင်၏ ဘောင်များကို ဦးစားပေးထားသည်။
ဤချဉ်းကပ်မှု၏ရလဒ်အနေဖြင့်၊ ကျွန်ုပ်တို့သည် two-factor authentication အတွက် အထူးပရိုဖိုင်ကို ဖန်တီးနိုင်ပြီး ၎င်းကို အသုံးပြုသူအားလုံးအတွက်မဟုတ်ဘဲ ထိုသို့ပြုလုပ်ရန် လိုအပ်သည်ဟု ယူဆသူများအတွက်သာ သတ်မှတ်ပေးနိုင်ပါသည်။ သုံးစွဲသူများအား ချိတ်ဆက်ရန်အတွက်သာမက ဆိုက်မှဆိုက်ချိတ်ဆက်မှုများကို တည်ဆောက်ရန်အတွက် တစ်ချိန်တည်းတွင် သင်သည် PPP ဝန်ဆောင်မှုများကို အသုံးပြုပါက ၎င်းသည် သက်ဆိုင်နိုင်ပါသည်။
အသစ်ဖန်တီးထားသော အထူးပရိုဖိုင်တွင်၊ ကျွန်ုပ်တို့သည် လိပ်စာများနှင့် အင်တာဖေ့စ်များ၏ "မီးခိုးရောင်" စာရင်းများသို့ ချိတ်ဆက်အသုံးပြုသူ၏ လိပ်စာနှင့် အင်တာဖေ့စ်၏ တက်ကြွသော ထပ်လောင်းမှုကို အသုံးပြုသည်-
winbox
ကုဒ်
/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1
dstnat (prorouting) ကွင်းဆက်ရှိ အလယ်တန်းမဟုတ်သော VPN ဖောက်သည်များထံမှ အသွားအလာကို ရှာဖွေပြီးဖမ်းယူရန် "လိပ်စာစာရင်း" နှင့် "ကြားခံစာရင်း" စာရင်းများကို အသုံးပြုရန် လိုအပ်ပါသည်။
ပြင်ဆင်မှုပြီးသွားသောအခါတွင် နောက်ထပ် firewall ကွင်းဆက်များနှင့် ပရိုဖိုင်တစ်ခု ဖန်တီးပြီး 2FA ကုဒ်နှင့် တစ်ဦးချင်း firewall စည်းမျဉ်းများကို အလိုအလျောက်ထုတ်လုပ်ခြင်းအတွက် တာဝန်ရှိသော script တစ်ခုကို ကျွန်ုပ်တို့ရေးသားပါမည်။
PPP-Profile တွင် PPP client ချိတ်ဆက်-ဖြတ်တောက်ခြင်း ဖြစ်ရပ်များနှင့် ဆက်စပ်နေသော ကိန်းရှင်များအကြောင်း အချက်အလက်များကို ကျွန်ုပ်တို့အား ကြွယ်ဝစေသည်။ "အသုံးပြုသူဝင်ရောက်ခြင်း-ဖြစ်ရပ်တွင် script ကိုလုပ်ဆောင်ပါ။ ဤအရာများသည် ပွဲစခရစ်အတွက် ဝင်ရောက်နိုင်သော ကိန်းရှင်များဖြစ်သည်- အသုံးပြုသူ၊ ဒေသန္တရလိပ်စာ၊ အဝေးထိန်းလိပ်စာ၊ ခေါ်ဆိုသူ-အိုင်ဒီ၊ ခေါ်ဆိုသူ-အိုင်ဒီ၊ အင်တာဖေ့စ်". ၎င်းတို့ထဲမှ အချို့သည် ကျွန်ုပ်တို့အတွက် အလွန်အသုံးဝင်ပါသည်။
PPP ချိတ်ဆက်မှုကိစ္စရပ်အတွက် ပရိုဖိုင်တွင်သုံးသောကုဒ်
#Логируем для отладки полученные переменные :log info (quot;local-address")
:log info (quot;remote-address")
:log info (quot;caller-id")
:log info (quot;called-id")
:log info ([/int pptp-server get (quot;interface") name])
#Объявляем свои локальные переменные
:local listname "2fa_jailed"
:local viamodem false
:local modemport "usb2"
#ищем автоматически созданную запись в адрес-листе "2fa_jailed"
:local recnum1 [/ip fi address-list find address=(quot;remote-address") list=$listname]
#получаем псевдослучайный код через random.org
#:local rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4] #либо получаем псевдослучайный код через локальный генератор
#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки
/ip fir address-list set $recnum1 comment=$rnd1
#получаем номер телефона куда слать SMS
:local vphone [/ppp secret get [find name=$user] comment]#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно
#будет перейти прямо по ссылке из полученного сообщения
:local msgboby ("Your code: ".$comm1."n Or open link http://gw.local/otp/".$comm1."/")# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms
if $viamodem do={
/tool sms send phone-number=$vphone message=$msgboby port=$modemport }
else={
/tool e-mail send server=a.b.c.d [email protected] [email protected] subject="@".$vphone body=$msgboby }#Генерируем Layer7 regexp
local vregexp ("otp\/".$comm1)
:local vcomment ("2fa_".(quot;remote-address"))
/ip firewall layer7-protocol add name=(quot;vcomment") comment=(
quot;remote-address") regexp=(
quot;vregexp")
#Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода
#и небольшой защитой от брутфорса кодов с помощью dst-limit
/ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=(quot;vcomment") protocol=tcp src-address=(
quot;remote-address") dst-limit=1,1,src-address/1m40s
အထူးသဖြင့် သတိမရှိဘဲ ကော်ပီကူးထည့်လိုသူများအတွက် အထူးသတိပေးပါတယ် - ကုဒ်ကို စမ်းသပ်ဗားရှင်းမှ ထုတ်ယူပြီး အမှားအယွင်းလေးများ ပါဝင်နိုင်ပါတယ်။ နားလည်သူတစ်ယောက်အတွက် ဘယ်နေရာကို အတိအကျရှာရမခက်ပါဘူး။အသုံးပြုသူတစ်ဦးမှ ချိတ်ဆက်မှုဖြတ်တောက်သည့်အခါ၊ "On-Down" အစီအစဉ်ကို ထုတ်ပေးမည်ဖြစ်ပြီး သက်ဆိုင်ရာ ကန့်သတ်ချက်များပါရှိသည့် ဇာတ်ညွှန်းကို ခေါ်သည်။ ဤဇာတ်ညွှန်း၏ရည်ရွယ်ချက်မှာ အဆက်ပြတ်နေသောအသုံးပြုသူအတွက် ဖန်တီးထားသည့် firewall စည်းမျဉ်းများကို ရှင်းလင်းရန်ဖြစ်သည်။
PPP on-down connection event အတွက် ပရိုဖိုင်တွင်သုံးသောကုဒ်
:local vcomment ("2fa_".(quot;remote-address"))
/ip firewall address-list remove [find address=(quot;remote-address") list=2fa_approved] /ip firewall filter remove [find chain="input_2fa" src-address=(
quot;remote-address") ] /ip firewall layer7-protocol remove [find name=$vcomment]
ထို့နောက် သင်သည် အသုံးပြုသူများကို ဖန်တီးပြီး ၎င်းတို့အားလုံးကို သို့မဟုတ် အချို့ကို two-factor authentication ပရိုဖိုင်သို့ သတ်မှတ်ပေးနိုင်ပါသည်။winbox
ကုဒ်
/ppp secrets set [find name=Petrov] profile=2FAဖောက်သည်ဘက်က ဘယ်လိုမြင်လဲ။
VPN ချိတ်ဆက်မှုတစ်ခုကို တည်ဆောက်သောအခါ၊ SIM ကတ်တစ်ခုပါသည့် Android/iOS ဖုန်း/တက်ဘလက်တစ်ခုသည် ဤကဲ့သို့သော SMS ကို လက်ခံရရှိသည်-
အက်စ်အမ်အက်စ်
ချိတ်ဆက်မှုကို ဖုန်း/တက်ဘလက်မှ တိုက်ရိုက်တည်ဆောက်ထားပါက မက်ဆေ့ချ်မှ လင့်ခ်ကို နှိပ်ရုံဖြင့် 2FA မှတဆင့် သင်သွားနိုင်ပါသည်။ အဆင်ပြေတယ်။
VPN ချိတ်ဆက်မှုကို PC တစ်ခုမှ တည်ဆောက်ထားလျှင် အသုံးပြုသူသည် အနည်းဆုံး စကားဝှက်ပုံစံကို ထည့်သွင်းရန် လိုအပ်မည်ဖြစ်သည်။ VPN ကို စနစ်ထည့်သွင်းသည့်အခါ အသုံးပြုသူအား HTML ဖိုင်၏ ပုံစံငယ်ပုံစံကို ပေးသည်။ အသုံးပြုသူက ၎င်းကို သိမ်းဆည်းပြီး အဆင်ပြေသောနေရာတွင် ဖြတ်လမ်းတစ်ခု ဖန်တီးနိုင်စေရန် ဖိုင်ကို မေးလ်ဖြင့်ပင် ပေးပို့နိုင်သည်။ ဤပုံသည်-
စားပွဲပေါ်တံဆိပ်
အသုံးပြုသူသည် ဖြတ်လမ်းလင့်ခ်ကို နှိပ်လိုက်သည်၊ ရိုးရှင်းသော ကုဒ်ထည့်သွင်းမှုပုံစံတစ်ခု ပွင့်လာကာ ၎င်းသည် ဖွင့်ထားသော URL တွင် ကုဒ်ကို ကူးထည့်လိမ့်မည်-
မျက်နှာပြင်ပုံစံ
ရှေးအကျဆုံးပုံစံကို ဥပမာတစ်ခုအနေနဲ့ ပြထားပါတယ်။ ဆန္ဒရှိသူများ ကိုယ်တိုင် ပြုပြင်နိုင်ပါသည်။
2fa_login_mini.html
<html> <head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head> <body> <form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value" method="post" <input id="text" type="text"/> <input type="button" value="Login" onclick="location.href='http://gw.local/otp/'+document.getElementById('text').value"/> </form> </body> </html>ခွင့်ပြုချက်အောင်မြင်ပါက၊ အသုံးပြုသူသည် အထောက်အထားစိစစ်ခြင်းအောင်မြင်ကြောင်း အချက်ပြသင့်သည့် ဘရောက်ဆာတွင် MikroTik လိုဂိုကို တွေ့ရလိမ့်မည်-
ပုံကို WebProxy Deny Redirect သုံးပြီး Built-in MikroTik ဝဘ်ဆာဗာမှ ပြန်ပို့သည်ကို သတိပြုပါ။
ပုံအား "hotspot" tool ဖြင့် စိတ်ကြိုက်ပြင်ဆင်နိုင်ပြီး၊ ထိုနေရာတွင် သင့်ကိုယ်ပိုင်ဗားရှင်းကို အပ်လုဒ်လုပ်ကာ WebProxy ဖြင့် ၎င်းသို့ Deny Redirect URL ကို သတ်မှတ်ပေးနိုင်သည်။
ဈေးအသက်သာဆုံး "အရုပ်" Mikrotik ကို $20 နဲ့ဝယ်ပြီး $500 Router နဲ့ အစားထိုးဖို့ ကြိုးစားနေသူတွေအတွက် ကြီးမားတဲ့ တောင်းဆိုချက်တစ်ခု - အဲဒါကို မလုပ်ပါနဲ့။ "hAP Lite" / "hAP mini" (home access point) ကဲ့သို့သော စက်ပစ္စည်းများတွင် အလွန်အားနည်းသော CPU (smips) ရှိပြီး လုပ်ငန်းအပိုင်းရှိ ဝန်ကို ကိုင်တွယ်ဖြေရှင်းနိုင်မည်မဟုတ်ပေ။
သတိပေးခြင်း! ဤဖြေရှင်းချက်တွင် အားနည်းချက်တစ်ခုရှိသည်- ဖောက်သည်များချိတ်ဆက်ခြင်း သို့မဟုတ် ချိတ်ဆက်မှုဖြတ်တောက်သည့်အခါ router သည် ၎င်း၏မတည်ငြိမ်သောမှတ်ဉာဏ်တွင် သိမ်းဆည်းရန်ကြိုးစားသည့် ဖွဲ့စည်းမှုပုံစံပြောင်းလဲမှုများ ဖြစ်ပေါ်ပါသည်။ ဖောက်သည်အများအပြားနှင့် မကြာခဏချိတ်ဆက်မှုများနှင့် ချိတ်ဆက်မှုများပြတ်တောက်မှုများနှင့်အတူ၊ ၎င်းသည် router အတွင်းရှိ internal storage ကို ပြိုကွဲသွားစေနိုင်သည်။
PS- သင့်ပရိုဂရမ်းမင်းစွမ်းရည် လုံလောက်သရွေ့ ကုဒ်ပေးပို့ခြင်းနည်းလမ်းများကို ချဲ့ထွင်ပြီး ဖြည့်စွက်နိုင်ပါသည်။ ဥပမာအားဖြင့်၊ သင်သည် တယ်လီဂရမ်သို့ မက်ဆေ့ချ်များ ပေးပို့နိုင်သည် သို့မဟုတ် ... ရွေးချယ်စရာများကို အကြံပြုပါ။
ဆောင်းပါးသည် သင့်အတွက် အသုံးဝင်မည်ဖြစ်ပြီး အသေးစားနှင့် အလတ်စားစီးပွားရေးလုပ်ငန်းများ၏ ကွန်ရက်များကို အနည်းငယ် ပိုမိုလုံခြုံစေရန် အထောက်အကူဖြစ်မည်ဟု မျှော်လင့်ပါသည်။
source: www.habr.com