tsolodov Опубликовано 3 марта, 2011 · Жалоба Юзеры все в радиусе(freeradius). Интересует кто как решил проблему когда у пользователя целая сеть? В радиус добавляли каждый IP из сети c атрибутами или использовали другое решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 3 марта, 2011 · Жалоба Тоже задавался такой целью. В каком то топике подтвердили, по моему, sirmax, что при ip subscriber l2-connected не получится этого сделать. Тестировал, подтвердилось. Единственный вариант, когда это работает: ip subscriber routed , и подсеть клиентская должна находиться за l3 железкой, ну и подсеть должна быть подсетью с определенной маской, а не ip с разных подсетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 3 марта, 2011 · Жалоба Тоже задавался такой целью. В каком то топике подтвердили, по моему, sirmax, что при ip subscriber l2-connected не получится этого сделать. Тестировал, подтвердилось. Единственный вариант, когда это работает: ip subscriber routed , и подсеть клиентская должна находиться за l3 железкой, ну и подсеть должна быть подсетью с определенной маской, а не ip с разных подсетей. Наверное вы меня не поняли. У меня уже все работает. Вопрос в наполнении БД для радиуса. Если сессия установлена то клиенты из этой подсети выйдут наружу, если нет, то нужно авторризовываться. Т.е. если подсеть размеров в 256 хостов то в БД пользователей нужно занести 256 записей+для каждого из этого пользователей нужно еще и одинаковые атрибуты засунуть, что впринципе не проблема, но это самый просто и неоптимальный на мой взгляд ход, т.к. в бд будут лишние записи. Что я хочу: в бд имерть одну запись например select * from radcheck attribute,"op","value","username" Password,"==","cisco","192.168.0.0" select * from radreply "username","attribute","op","value" "192.168.0.0","Framed-IP-Netmask","+=","255.255.255.0" Когда сессия неавторизована, то если пакет придет с IP 192.168.0.20, то ISG будет запрашивать accREq с username = 192.168.0.20, ему будет отказано, т.к. в БД есть только 192.168.0.0. Если же сессия авторизована то пакет пройдет. Какием есть мысли: 1) Еще раз скажу что созать записи для каждого IP для подсети(думаю это грабля) 2) Другой авриант, это преобразование/либо хитрый запрос который бы давал access accept, думаю не я один задавался этим вопросом. Кто как решил проблему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 3 марта, 2011 · Жалоба Да, я вас не так понял. По вашему вопросу, до этого момента не доходил еще, но думаю, что либо хитрый запрос, либо использовать группы в радиусе. При использовании групп придется создать только записи о включении ip в группу, а аттрибуты уже все будут идти в radgroupreply. У вас клиент с подсетью подключен как routed и за l3 железкой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 3 марта, 2011 · Жалоба Да, я вас не так понял. По вашему вопросу, до этого момента не доходил еще, но думаю, что либо хитрый запрос, либо использовать группы в радиусе. При использовании групп придется создать только записи о включении ip в группу, а аттрибуты уже все будут идти в radgroupreply. У вас клиент с подсетью подключен как routed и за l3 железкой? Про группы хорошоая идея, буду копать в этом направлении!!!!у нас routed, но в дальнейшем будет и l2 connected! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 3 марта, 2011 · Жалоба у нас routed, но в дальнейшем будет и l2 connected! Соответственно l2-connected и routed будете вешать на разные сабинтерфейсы, т.к. на один нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 3 марта, 2011 · Жалоба Я понимаю это) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...