内网搭建

公司目前有全国5个点,相关的oa系统全裸在公网上,建议boss做安全防护以及打通内部相关系统,考虑成本问题,选择方案为vm+RouterOS+radius认证 openVPN其实能更好的下发路由规则,但client在我国实在是。。。有人懂的 对于RouterOS配置不算复杂,百度+请教+手册,主要是在开启l2tp后的认证兼容性问题绕了很大圈子 比较有参考价值的:https://github.com/hulupiao/docker-ipsec-vpn-server 没有现成的对接radius,也没RouterOS强大,但对于client的配置部分说的很详细 对于认证的方案: 第一个方案为radius调用shell,shell调用php,php做smtp协议走邮箱的认证,但CHAP类协议在radius端没有存留密码是走不通的,所以放弃 第二个方案改为radius调用本地库mysql,要写UI管理系统,github拿来主义, 顺便修复了拿来系统的两个bug: https://github.com/arch-lamp/freeradius-web-ui 然后把添加用户密码部分的md5和sha1方式去掉,在iOS, 安卓, windows上测试顺利通过 附ppp认证算法,主要有以下: 1、PAP:密码认证协议 客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。 优点:简单。 缺点:明文传送,极容易被窃听。 2、SPAP:Shiva密码验证协议 Shiva公司开发,是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。…

继续阅读 →