forum.lissyara.su

Здравствуйте,


ситуация такая :

есть шлюз на FreeBSD , на нем IPFW + portforward , есть сервак Windows2k (находится внутри сети) . Пользователи данной фирмы используют Windows2k сервер для работы, коннектятся терминально. (в смысле с помощью Terminal Server Client) , до сих пор они к нему коннектились только из внутренней сети, но сейчас стали коннектится из дома и других мест. Задача такая : когда происходит коннект к серверу Windows2k , чтобы до того, как появится окошко от самой Win2k ОС с логином и паролем, чтобы появилась еще одна дополнительная авторизация, чтобы логины и пароли были для неё отдельные и не связанные с Win2k юзерами. Это вообще реально сделать? (мне кажется что нет), а есть какие-то альтернативы, чтобы обезопасить доступ к данному серверу win2k, но при этом не делать доступ с определенного списка IP.

помогите, идей у меня нет, может у Вас, как у сторожил Администраторского дела. есть они...?

использовать vpn

как то pptp,openvpn и т.п.
openvpn выглядет предпочтительней, так как кросплатформенно и работает на одном порту udp или tcp

проблема в том, что места из "вне сети" не постоянные и могут изменяться в течение суток несколько раз + изменяться как на региональном уровне, так и международном.

Есть какие-то варианты?

openvpn - авторизация сертификатами
pptp - авторизация логин\пароль
скажем вы подымаете или то или то на сервере FreeBSD (кстати с pptp будет небольшой напряг по поводу шифрования)
открываете порт если злоумышленик не стырил сертификат или пару логин\пароль доступа не получит
удаленный клиент получает ip адрес скажем из какой нибудь подсетки
эту подсетку вы разрешаете доступ на window-с машину по нужному протоколу\порту

ну так получается, что клиентскую машину полюбому придется подстраивать под данный openvpn (или я что-то не так понял в VPN технологии), если да, то клиент - даун, хочет просто зайти и без лишних движений пальцем... кроме как два раза ввести пароль....

прочитал статью про VPN соединение на сайте : http://www.lissyara.su/?id=1709

дык, понял, что VPN никак не катит, т.к. люди могут коннектиться и не со своих домашних машин , а с чужих, а для каждой делать VPN соединение - не подходит...

есть другие варианты? советы? совет : накуй послать - не подходит.

эхх...чувствую предстоит слать клиента на..х и ставить "впн" соединение

Тебе поможет WEB самого Citrix TM на твоем 2003 ))

Почитай очень хорошо и надежно работает !

Можно сделать как я !

Заходишь на ссылку первая авторизация
Прошел авторизацию приглашение в имени и пароля
После удачного соединения выводит опубликованные приложения ...

Запускаешь что надо и работаешь ...

Удобно и просто, даже клиента не надо на ПК пользователя !

Так что рой сам Цитрикс - он сейчас много умеет !

упоминания о цитриксе не было.

Блин ... точно )))

Вот что с башкой происходит после 20 часов работы !

____

Читаю одновременно и форум цитрикса и даю ответ ! )) жесть !

эхх..... вот так.. второй неуд.. за что...