Я в этом вопросе плаваю, но меня волнует возможность подделки с другого компьютера MAC+IP или во время работы залогиненного легально клиента, или по окончанию его работы для продолжения работы его сеанса.

Способ - введение логина и пароля с клавиатуры.

Это понятно. Кстати, DSA-3100 у меня ещё нету. Меня же волнует следующее (в аутентификациях разбираюсь слабо): когда некоторые мои клиенты сидят через WiFi, бывает рвётся соединение VPN, и клиенту надо перелогониться, а это очень НЕУДОБНО. Аутентификация по MAKу и/или IP как Вы понимаете ненадёжна.
Нет ли в природе такой схемы аутентификации (можно без шифрования последующего трафика), чтобы соединения типа VPN, которое может порваться, не устанавливалось, а, например, после аутентификации клиента (логона), перед каждым из множества последующих TCP соединений клиентом слалось (можно шифрованное) подтверждение (например, UDP пакетом с обратным подтвеждением) аутентифицированности этого TCP соединения клиента. Только так DSA-3100 чтобы позволял TCP соединения. Если одно из соединений разорвалось - ничего страшного, канал ненадёжный, но сам пользователь не "отваливался". Можно ещё прикрутить KeepAlive пакеты от клиента периодически, чтобы знали, что клиент ещё жив, пока после последнего полученного KeepAlive не вышел таймаут.
Что-то подобное было бы надёжнее VPN, но при этом не примитивно, то есть защищено от подделки MAC+IP. Есть такое в природе?

Если я правильно вас понял, то подобную схему можно реализовать используя аутентифицируемые правила на наших файрволлах серии DFL-200/700/1100. То есть создать правила, разрешающие проход, например, протокола GRE только для аутентифицированных пользователей.

_________________
С уважением -- Александр Шебаронин.

[quote="TTX"]:)

ands, вот было бы здорово, если бы ты сказал чего-нибудь по теме.

Извиняюсь, я пост сочинил, потом понял, что туплю (не понял где WiFi и как VPN), отозвал на редактирование и снес текст. А то что осталось - просто часть вашей цитаты. Никого не хотел обидеть. Я работал с этим аппаратом, WiFi имелся ввиду на WAN или Private LAN ? Если речь о клиентах LAN, то сеанс рвется по заданным на сервере авторизации параметрам. Если по каким то причинам оторвало связь с клиентской машиной и сохранен сеанс, то вышедшей на связь машине с поддельным MAK-IP сервис будет предоставлен. Но там масса возможностей этого избежать. Вообще аппарат для коротких клиентов, для сетки постояноой лучше DFL.

WiFi на Private LAN. Так вот мне надо, чтобы клиетов, подсоединившихся по VPN через WiFi не отрывало иногда (сидят по многу часов), то есть было надёжно, но при этом безопасно от подделок MAC+IP.

Туплю. VPN сервак снаружи ? Тогда DMZ клиенту и настройка базы авторизации.

Бывает, критикую людей за плохую формулировку вопроса, но в этой теме я сам совершил ту же ошибку.
Мне надо раздавать ADSL интернет пользователям нашей (и на WiFi и на витухе) домашней сети, но так, чтобы было безопасно (всякие хитроумные детишки не подделывали MAC+IP для доступа в интернет за чужой счёт), и при этом удобно пользователям (надёжно, не отваливалось частенько как VPN соединение).
Вот меня и интересует на базе чего (и какого протокола) это сделать: компьютер или железку какую для этого дела поставить между ADSL модемом и нашей домашней сетью посоветуете?

На Private LAN нет аутентификации ! Там всегда инет, для админа, например.
Юзеров надо сажать на порт Authentication. Если речь идет о встроенной клиентской базе (в ДСАшку), то никакого VPN там нет, только логин-пароль. Всё вполне надёжно. Есть опция, которая запрещает два одинаковых логина.
Единственное тонкое место - если юзер не разлогинился руками (не нажал кнопку LogOut во всплывающем окне) и выключил комп, то когда он его снова включит - инет пойдет сразу, без авторизации, при условии что еще не вышло время (Logout Timer). Вот как раз после такого некорректного выхода злой пионер и сможет подсесть на этого юзера, зная его мак и айпи. Это теоретически, но практически маловероятно, надо часами сидеть и ждать, пока кто-то из юзеров некорректно выйдет ....

Сорри, конечно Pablic LAN. Я в основном пользуюсь таймером времени простоя, не ограничивая длину сеанса. Конечно юзерам приходится изредка перелогиниваться, но зато надежно рвет сеанс.

А чего ждать-то? Юзерскому компьютеру по сети пионэр может и помочь уйти... без LogOut-а.
Но мне интересней другой вариант. Что будет, когда пионэр просто в наглую займёт MAC+IP авторизованного юзера прямо когда тот работает? Сеть понятно, на неуправляемых свитчах. Пионэр, естественно может, например, пингами куда-нибудь почаще, напоминать свитчу где "правильный" порт для subjевого MACа. Как Вы это прокомментиреуете?

Пока никак, надо пробовать ...

Если будете пробовать, то очень интересны результаты Ваших опытов над этой железякой!
siba@mail333.com
Кажется на винте завалялся хороший софт для "ухода" кого-нибудь по сети, если хотите, могу поделиться, также как и способами пионэров занять MAC+IP внаглую, чтобы пионэрская Windows при этом не пищала, хотя Вы и так, думаю, знаете.