[exchar]

Цитата

Сообщение от Немо

Нет ну причем тут без пароля, я имею ввиду то, что есть у ssh, когда генерируются rsa-ключи и загружаются на сервер и можно заходить не вводя логин с паролем.

имеются в виду действия пользователя на удаленном хосте - чтобы получить доступ ему не нужно вводить пароль.
способ же настройки такой дыры может быть различным =)

тут смысл такой:
сеть, которую защищает керио - доверенная, хосты там доверенные.
удаленный хост с впн-клиентом - не доверенный, хз кто к этому (заранее настроенному) хосту подошел чтобы в сеть за керио залезть.
и для доступа к защищенной сети этот "хз кто" либо хотя бы вводит пароль, либо его пускают просто так, без пароля. а уж на ключах там, сертификатах или еще чем вход злоумышленника без пароля будет настроен - дело исключительно ваше.

Цитата

Сообщение от Немо

Вобщем, как я понимаю, в обеих вариантах впн-сервера у керио (что ipsec, что керио впн) используется только логин/пароль, и администраторы постоянно наблюдают как логи пополняются неудачными попытками подбора паролей различными ботнетами китайских хакеров? Как вообще лучше всего побеждать подобную напасть?

вот интересно, для кого я написал:

Цитата:

Сообщение от exchar

или ограничивают подсетями конкретных провайдеров/мобильных операторов, если клиенты не разбросаны совсем уж сильно по провайдерам и сети белых ip провайдеров известны.

или у вас есть пользователи в сетях китайских провайдеров?.. =)

Цитата

Сообщение от Немо

Замутить сложные пароли и игнорировать?

да
и логины интереснее чем "petya" и "vasya"

Цитата

Сообщение от Немо

Фильтровать множественные частые подключения и банить их, если актуальный керио это может?

емнип не может
но в природе бывает всякий fail2ban и подобное, сам не настраивал за ненадобностью.