dariangrai Posted August 19, 2014 · Report post Доброго времени суток уважаемые форумчане! Помогите разобраться в вопросе ,задача состоит в поднятии VPN сервера С фильтрацией клиентов по ip адресу ! Используется связка AD+Freeradius+Accel-ppp . Нужно настроить все таким образом что бы при подключении пользователи делились на группы с разными правами доступа к локальной сети (например определённые сервисы или сегменты сети Для этого было настроена авторизация радиуса в домен по ntlm ! и фильтрацией на участие пользователя в группе vpn ! В радиусе включен и настроен модуль ip_pool. В конфиг users радиуса написано правило то всем пользователям прошедшим авторизацию назначать ip из пула. DEFAULT Pool-Name := main_pool Fall-Through = Yes Затем пользователи сети которым на которых будут наложены те или иные запреты Они прописываются отдельно каждый Test-User Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 10.10.10.15, Framed-IP-Netmask = 255.255.255.0, Framed-Routing = Broadcast-Listen, Framed-Route = "192.168.180.1 255.255.255.0 10.10.10.15 100", Framed-Route = 10.10.10.0/24, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobsen-TCP-IP На акселе настроена авторизация в радиус ! И непосредственно L2TP Необходимо создать vpn подключение таким образом что бы передать пользователю определенные маршруты и не использовать шлюз по умолчанию в случае если она используется блокировать пользователя полностью! А так же может быть кто ни будь подскажет более элегантное решение разграничение прав Заранее благдарен! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dariangrai Posted August 21, 2014 · Report post Доброго времени суток уважаемые форумчане! Помогите разобраться в вопросе ,задача состоит в поднятии VPN сервера С фильтрацией клиентов по ip адресу ! Используется связка AD+Freeradius+Accel-ppp . Нужно настроить все таким образом что бы при подключении пользователи делились на группы с разными правами доступа к локальной сети (например определённые сервисы или сегменты сети Для этого было настроена авторизация радиуса в домен по ntlm ! и фильтрацией на участие пользователя в группе vpn ! В радиусе включен и настроен модуль ip_pool. В конфиг users радиуса написано правило то всем пользователям прошедшим авторизацию назначать ip из пула. DEFAULT Pool-Name := main_pool Fall-Through = Yes Затем пользователи сети которым на которых будут наложены те или иные запреты Они прописываются отдельно каждый Test-User Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 10.10.10.15, Framed-IP-Netmask = 255.255.255.0, Framed-Routing = Broadcast-Listen, Framed-Route = "192.168.180.1 255.255.255.0 10.10.10.15 100", Framed-Route = 10.10.10.0/24, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobsen-TCP-IP На акселе настроена авторизация в радиус ! И непосредственно L2TP Необходимо создать vpn подключение таким образом что бы передать пользователю определенные маршруты и не использовать шлюз по умолчанию в случае если она используется блокировать пользователя полностью! А так же может быть кто ни будь подскажет более элегантное решение разграничение прав Заранее благдарен! вопрос заключается в следующем,и он написан «как передать пользователю маршруты при создании подключения», чтобы была возможность убрать галочку на впн соединении «маршрут по умолчанию», а если она стоит то сделать так чтобы ничего никуда не ездило. ?? а также второй вопрос, который также написан, Как седлать более элегантное решение в плане ограничения прав пользователей на подключения к ресурсам сети? А именно, если все пользоватлеи получают адреса из пула и работают безх ограничения доступа, то кого ограничиваем в правах приходиться каждый раз заносить в файл юзерс, в идеале бы использование БД. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...