Экстренный VPN сервер Openconnect с двухфакторной авторизацией на Centos 8

Он бесплатный и стабильно работает.

Экстренный VPN сервер Openconnect с двухфакторной авторизацией на Centos 8

Я имел ввиду только --direct в части Forward пакетов внутри одной зоны между двумя сетевыми интерфейсами

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0  -i vpns0 -o ens224  -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0  -i ens224 -o vpns0  -j ACCEPT

Экстренный VPN сервер Openconnect с двухфакторной авторизацией на Centos 8

Вся проблема в том, что --direct не работают в Centos 8

Экстренный VPN сервер Openconnect с двухфакторной авторизацией на Centos 8

По nftables:
Есть сведения от firewalld тут и тут чуть больше тут
По google auth Да, вы правы. У себя мы сделали чуть по другому мы проверяем если в личной папке пользователя есть сформированный файл .google_authenticator то pam использует 2FA если нет, то просто авторизация по связке логин+пароль. И потихоньку генерили qr и рассылали пользователям.

Экстренный VPN сервер Openconnect с двухфакторной авторизацией на Centos 8

Я и сам не в восторге от этой идеи. Добавили 2 этап авторизации для повышения безопасности и защиты от брута. Задача была срочная и связана с обеспечением работы предприятия в форс-мажорной ситуации.

СХД QSAN в качестве конкурента продукции брендам Tier 1

Подскажите а контролееры работают Active-Active? Возможен ли интерфейс FC?

Yet another вариант отправки уведомлений от Asterisk в Telegram

А почему вы вызываете скрипт через system, а не используете AGI? Нет необходимости передавать агрументы они все в agi.env

Почему у Сбербанка некорректная SPF-запись для домена?

Сбербанк-АСТ видимо поправили

 host -t txt sberbank-ast.ru 
sberbank-ast.ru descriptive text "v=spf1 mx a:mail2.sberbank-ast.ru a:mail3.sberbank-ast.ru a:mail4.sberbank-ast.ru a:gw.sberbank-ast.ru a:mail7.sberbank-ast.ru -all"

Универсальный https c использованием ГОСТ сертификата

Да ничем, просто привычка свежие версии по на тестовом стенде всегда собирать из исходников. В статье я хотел осветить новые возможности появившиеся в связке nginx 1.11.0+openssl 1.0.2g, и я надеюсь, что статью не будут использовать как пошаговое руководство при пром. внедрении.

Универсальный https c использованием ГОСТ сертификата

Да. Но использование таких модулей возможно. Я уже протестировал работу с крипто про engine

Универсальный https c использованием ГОСТ сертификата

С тестовым стендом все в порядке, а вот ssllabs не смог закончить тестирование на 98% Assessment failed: Unsupported key algorithm: ECGOST3410

Универсальный https c использованием ГОСТ сертификата

Постараюсь пояснить:
В строке директиве ssl_ciphers с лева на право перечисляются допустимые алгоритмы шифрования. В данном случае самым приоритетным (левым) указан алгоритм GOST2001-GOST89-GOST89, далее указаны алгоритмы HIGH — это ключевое слово указывает алгоритмы с длиной ключа более 128 бит, и MEDIUM — алгоритмы с длиной ключа 128 бит. Получается, что сначала NGINX предложит построить https соединение по ГОСТ, если отказались то RSA-like.

Универсальный https c использованием ГОСТ сертификата

Использовать криптосредства можно, но в с соответствии указом президента России от 5 мая 2004 г. № 580 необходимо согласовать с ФСБ

Универсальный https c использованием ГОСТ сертификата

Не задумываясь могу сказать, что браузеры использующие библиотеки openssl должны поддерживать ГОСТ сертификаты. А так же есть такой продукт как КриптоПРО Fox