Всем привет.Есть задача поднять VPN-server.
VPN-server поднял на базе pptpd v1.3.4, Виндовые клиенты цепляются, получают IP.
Но после подключения ВПН сессии пропадает доступ к локальой сети, приходится прописывать маршрут в ручную после каждого такого соединения.
Хотелось бы узнать как настроить pptpd, чтобы при создании ВПН сесии, pptpd - сервер передавал нужные маршруты в таблицу маршрутизации клиента?И ещё один вопрос, как сделать так, чтоб pptpd - сервер при подключении к нему клиента спрашивал права у ACTIVE DIRECTORY в определённой группе?
Сам сервер UDUNTU заведён в домен, осталось дело за настройкой pptpd, но не нашел такой инфы нигде.
Подскажите куда капать?
uname -a
Linux serv 2.6.27-7-generic #1 SMP Fri Oct 24 06:42:44 UTC 2008 i686 GNU/Linux======
Вощем нарыл вот это:
для авторизации ВПН пользователей в актив диретори нужно в /etc/ppp/pptpd-options добавить следующее
plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"Конечно и самба должна быть настроена и заведена в домен.
Но при такий схеме пускает пользователя независимо от участия его в какой либо группе, нужно просто чтоб пользователь существовал в АД, но это совсем не подходящий вариант, с тем же результаттом можно вообще не српашивать пароль Smiley
Однако есть такой параметр дополнительный к /usr/bin/ntlm_auth
--require-membership-of=<domin-group>
но почему-то при его указании вообще не проходит аутентификация, в логе ругается на невозможность создать PAP авторизацию, ну правильно, она же запрещена.
Как заставить авторизироваться пользователей по mschap-v2 при такой схеме?
Ну и вопрос про роутинг остаётся в силе, вообще нигде нинамёка на это нет, только на примере ЦИСКО.
Про маршрутизацию кажется никак не решить, только если скриптом на клиенте запускать и менять маршруты после подключения
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN --require-membership-of="DOMAIN\\InetUsers"
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\InetUsers"так работает в сквиде. хотя я б использовал радиус авторизацию средствами виндового радиус сервера.
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN --require-membership-of="DOMAIN\\InetUsers"
>auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\InetUsers"
>
>так работает в сквиде. хотя я б использовал радиус авторизацию средствами виндового
>радиус сервера.Спасибо, но как работает сквид я в курсе, уже настроено.
кстати и PPTPD настроил тож.. нужно так:
в опции --require-membership-of=<domin-group>
где <domin-group> - нужно указывать SID группы.Узнать её можно так.
wbinfo -n <domin-group>
Вот и всё :)
Теперь бы роутинг настроить, если конечно это реализуемо вообще при такой схеме..
а что с роутингом не так? подробнее можно?
>а что с роутингом не так? подробнее можно?В постановке вопроса в первом посте написано:
Хотелось бы узнать как настроить pptpd, чтобы при создании ВПН сесии, pptpd - сервер передавал нужные маршруты в таблицу маршрутизации клиента?
Т.е. я где-та в как-то гонфиге, пока мне неизвестном, указываю нужный маршрут, и когда пользователь создаёт ВПН сесиию, то ему этот маршрут передавался бы в его таблицу маршрутизации.
Такой механизм существует на маршрутизаторах ЦИСКО при соединение к нему COSCO SYSTEM VPN CLIENT`ом.
такой механизм есть и в openvpn
>такой механизм есть и в openvpn+1
для pppd мне такой функционал не известен
Всем спасибо, буду тагда прописывать статические маршруты :)
Возник ещё вопрос, можно ли при такой схеме, указанном в первом посте, организовать ограничение скорости для клиентов ВПН ?
>Всем спасибо, буду тагда прописывать статические маршруты :)
>
>
>Возник ещё вопрос, можно ли при такой схеме, указанном в первом посте,
>организовать ограничение скорости для клиентов ВПН ?Нашол :) , буду пробывать..
http://ylsoftware.com/?action=news&na=viewfull&news=433&from...