[dariangrai]

Доброго времени суток уважаемые форумчане!

Помогите разобраться в вопросе ,задача состоит в поднятии VPN сервера

С фильтрацией клиентов по ip адресу ! Используется связка AD+Freeradius+Accel-ppp . Нужно настроить все таким образом что бы при подключении пользователи делились на группы с разными правами доступа к локальной сети (например определённые сервисы или сегменты сети

Для этого было настроена авторизация радиуса в домен по ntlm ! и фильтрацией на участие пользователя в группе vpn ! В радиусе включен и настроен модуль ip_pool. В конфиг users радиуса написано правило то всем пользователям прошедшим авторизацию назначать ip из пула.

 

DEFAULT Pool-Name := main_pool

Fall-Through = Yes

 

Затем пользователи сети которым на которых будут наложены те или иные запреты

Они прописываются отдельно каждый

 

Test-User

Service-Type = Framed-User,

Framed-Protocol = PPP,

Framed-IP-Address = 10.10.10.15,

Framed-IP-Netmask = 255.255.255.0,

Framed-Routing = Broadcast-Listen,

Framed-Route = "192.168.180.1 255.255.255.0 10.10.10.15 100",

Framed-Route = 10.10.10.0/24,

Framed-Filter-Id = "std.ppp",

Framed-MTU = 1500,

Framed-Compression = Van-Jacobsen-TCP-IP

 

На акселе настроена авторизация в радиус ! И непосредственно L2TP

Необходимо создать vpn подключение таким образом что бы передать пользователю определенные маршруты и не использовать шлюз по умолчанию в случае если она используется блокировать пользователя полностью! А так же может быть кто ни будь подскажет более элегантное решение разграничение прав

Заранее благдарен!

[dariangrai]

Доброго времени суток уважаемые форумчане!

Помогите разобраться в вопросе ,задача состоит в поднятии VPN сервера

С фильтрацией клиентов по ip адресу ! Используется связка AD+Freeradius+Accel-ppp . Нужно настроить все таким образом что бы при подключении пользователи делились на группы с разными правами доступа к локальной сети (например определённые сервисы или сегменты сети

Для этого было настроена авторизация радиуса в домен по ntlm ! и фильтрацией на участие пользователя в группе vpn ! В радиусе включен и настроен модуль ip_pool. В конфиг users радиуса написано правило то всем пользователям прошедшим авторизацию назначать ip из пула.

 

DEFAULT Pool-Name := main_pool

Fall-Through = Yes

 

Затем пользователи сети которым на которых будут наложены те или иные запреты

Они прописываются отдельно каждый

 

Test-User

Service-Type = Framed-User,

Framed-Protocol = PPP,

Framed-IP-Address = 10.10.10.15,

Framed-IP-Netmask = 255.255.255.0,

Framed-Routing = Broadcast-Listen,

Framed-Route = "192.168.180.1 255.255.255.0 10.10.10.15 100",

Framed-Route = 10.10.10.0/24,

Framed-Filter-Id = "std.ppp",

Framed-MTU = 1500,

Framed-Compression = Van-Jacobsen-TCP-IP

 

На акселе настроена авторизация в радиус ! И непосредственно L2TP

Необходимо создать vpn подключение таким образом что бы передать пользователю определенные маршруты и не использовать шлюз по умолчанию в случае если она используется блокировать пользователя полностью! А так же может быть кто ни будь подскажет более элегантное решение разграничение прав

Заранее благдарен!

 

вопрос заключается в следующем,и он написан «как передать пользователю маршруты при создании подключения», чтобы была возможность убрать галочку на впн соединении «маршрут по умолчанию», а если она стоит то сделать так чтобы ничего никуда не ездило. ??

 

а также второй вопрос, который также написан, Как седлать более элегантное решение в плане ограничения прав пользователей на подключения к ресурсам сети? А именно, если все пользоватлеи получают адреса из пула и работают безх ограничения доступа, то кого ограничиваем в правах приходиться каждый раз заносить в файл юзерс, в идеале бы использование БД.