Авторизованный доступ к ресурсам в локальной сети из Интернета.

Имеем в наличии
- DFL-860
- Сервер 1С в локальной сети настроенный на WEB-доступ/работу пользователей .
- Только 1 "белый" адрес на WAN-интерфейсе DFL-860 который может предоставить провайдер.
- Настроенные и работающие правила SAT\Allow для доступа с серверу в локальной сети.

Надо ограничить доступ к ресурсу через авторизацию на D-Link DFL-860 только определенных сотрудников. Пользователи берутся из внутренней БД пользователей.
Есть варианты реализации такой схемы.

PPTP\L2tp
на вкус и цвет .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Это не тот случай.
Имея 1С и имея мобильное приложение для продавцов(Мерчандайзер) в "поле" ранее это работало в 2 клика
- рассылаем 2 url + атрибутика для регистрации на устройств DFL DLink860
- первый клик - это авторизация
- второй кдик - коннект к 1С из мобильного приложения(или коннект через браузер)

Создавать такое усложнение с PPTP\L2tp, простой пользователь - не сможет осилить. Я только и буду им создавать им на сматфонах vpn. А если на компьютере дома - это вообще - проблема.

А текучка этого вида деятельности - безумная.

Неужели ни как нельзя обмануть, когда используется только один "белый" адрес на устройстве.

это как так работало ?



а что обманывать ? а если бы было два ? три ?
Это же не авторизационный центр , это все таки FireWall. Он не умеет такого делать по определению.
его задача фильтровать пакеты.

можно конечно начудить например:
пользователь тыкает ссылку - пробрасывается на какой то сервер . там ему в онлайне заливается какой то сертификат после авторизации .

потом он с этим сертификатом идет на другую ссылку . уже к вашей 1Ц. но DFL тут не причем . вообще ни как .

или я не понимаю ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Если имеется и публикуется второй IP на устройстве тот авторизируемый доступ делается на "ура" и без проблем.
Создаю auth_net(0.0.0.0/0) и указываю в закладке User Authentication webuser.
И далее если я хочу открыть\закрыть доступ к определённому ресурсу то в правилах указываю auth_net в качестве источника. И пройти могу только пройдя предварительную регистрацию на устройстве DLink DFL-860.
Было просто и логично. И было сделано по аналогии с тем что предлагается для выхода пользователь через устройство DLink DFL-860 в иент.

Я испрашиваю - есть какое-то шаманство по типу того что при одном "белом" IP при создании правил SAT\Allow надо выбирать core вместо WAN1
Может имеется какая-то хитрость, которую не замечаю\не знаю.

Я Вам уже писал в другой теме, что при пробросе портов через IP адрес, присвоенный самому DFL, в качестве интерфейса назначения всегда используется используется core. И только он.

Если вы, например, на wan1 интерфейс хотите посадить дополнительные адреса, то лучше всего привязывать самостоятельно эти адреса к интерфейсу core. Хотя в рекомендациях D-Link это нигде не фигурирует, тут, на форуме, это уже давно стандарт, де-факто. Уже чуть менее 7-ми лет. Срок немалый. Можете почитать форум или просто мне поверить.

Я не поленился и предоставляю подробности
viewtopic.php?f=3&t=114002

Если же Вы будете действовать сами, не по инструкции, то никто вам не запретит делать, что угодно и как угодно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Думаю, вполне можно развернуть эту инструкцию в обратном направлении, т.е. wan1 --> lan
Вот и получится в 2 клика - первый - авторизация, второй запуск приложения.

Да, и для одного внешнего IP я использую пару:
Sat: wan1/all-nets core/Public_Host_ip ......
Allow: wan1/all-nets core/Public_Host_ip ....

В случае нескольких:
Sat: wan1/all-nets wan1/Public_Host_ip ....
Allow: wan1/all-nets wan1/Public_Host_ip ....
+ ARP привязка

Так что не зацикливайтесь на вопросе "Как правильно?" в соседней ветке!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

А можно ли ограничить количество неудачных попыток ввода пароля в веб-форме, защититься от перебора?

_________________
есть парочка APшек, DFL