URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1512
[ Назад ]

Исходное сообщение
"VPN: IP фильтрация "
Отправлено Shodan , 23-Окт-14 12:47

Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус (в роли радиуса win2008 с network policy server, и доменные аккаунты + две группы vpn1 и vpn2).
Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10, а юзеры из группы vpn2 видели только сеть 0.11?
ЗЫ
Виланы не поддерживаются.

Содержание

VPN: IP фильтрация ,shadow_alone, 13:08 , 23-Окт-14
- VPN: IP фильтрация ,Shodan, 15:27 , 23-Окт-14
VPN: IP фильтрация ,rusadmin, 14:01 , 23-Окт-14
VPN: IP фильтрация ,ShyLion, 14:02 , 23-Окт-14
- VPN: IP фильтрация ,Shodan, 15:31 , 23-Окт-14

Сообщения в этом обсуждении

"VPN: IP фильтрация "
Отправлено shadow_alone , 23-Окт-14 13:08

Запретить forward между сетями в файрволе

"VPN: IP фильтрация "
Отправлено Shodan , 23-Окт-14 15:27

> Запретить forward между сетями в файрволе
Это не сработает для впн клиентов (10.0.0.1-100), они будут видеть обе подсетки. Нужна динамическая фильтрация на основе атрибутов радиуса (нужно както различать две впн группы)

"VPN: IP фильтрация "
Отправлено rusadmin , 23-Окт-14 14:01

> Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус
> (в роли радиуса win2008 с network policy server, и доменные аккаунты
> + две группы vpn1 и vpn2).
> Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры
> (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10,
> а юзеры из группы vpn2 видели только сеть 0.11?
> ЗЫ
> Виланы не поддерживаются.
в микротике есть фаервол (iptables). Им разруливайте

"VPN: IP фильтрация "
Отправлено ShyLion , 23-Окт-14 14:02

> Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус
> (в роли радиуса win2008 с network policy server, и доменные аккаунты
> + две группы vpn1 и vpn2).
> Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры
> (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10,
> а юзеры из группы vpn2 видели только сеть 0.11?
> ЗЫ
> Виланы не поддерживаются.
http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
Вкратце: радиус должен возвращать атрибут Filter-Id - имя цепочки на фаерволе.
Дальше рой сам.

"VPN: IP фильтрация "
Отправлено Shodan , 23-Окт-14 15:31

>[оверквотинг удален]
>> (в роли радиуса win2008 с network policy server, и доменные аккаунты
>> + две группы vpn1 и vpn2).
>> Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры
>> (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10,
>> а юзеры из группы vpn2 видели только сеть 0.11?
>> ЗЫ
>> Виланы не поддерживаются.
> http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
> Вкратце: радиус должен возвращать атрибут Filter-Id - имя цепочки на фаерволе.
> Дальше рой сам.
Кажется, то что надо. Спасибо )