URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16664
[ Назад ]

Исходное сообщение
"Настройка VPDN"
Отправлено darkomen , 04-Июл-08 12:32

Как настроить VPDN сервер так чтобы пользователи получали ip адреса в зависимости от имени пользователя, без доп. сервисов типа радиуса и.т.д

Содержание

Настройка VPDN,Andrei_V, 13:00 , 04-Июл-08
- Настройка VPDN,darkomen, 14:56 , 04-Июл-08
  - Настройка VPDN,Andrei_V, 11:00 , 06-Июл-08
    - Настройка VPDN,darkomen, 10:49 , 07-Июл-08
      - Настройка VPDN,Andrei_V, 12:37 , 07-Июл-08
      - Настройка VPDN,alchie, 12:43 , 07-Июл-08
        
        Настройка VPDN,darkomen, 13:39 , 07-Июл-08
        
        Настройка VPDN,darkomen, 13:44 , 07-Июл-08
        
        Настройка VPDN,alchie, 14:10 , 07-Июл-08
        
        Настройка VPDN,CrAzOiD, 15:56 , 07-Июл-08
Настройка VPDN,CrAzOiD, 15:57 , 07-Июл-08
- Настройка VPDN,awesomebanana, 17:15 , 07-Июл-08
  - Настройка VPDN,CrAzOiD, 01:29 , 08-Июл-08
    - Настройка VPDN,awesomebanana, 13:11 , 08-Июл-08
      - Настройка VPDN,phantomR6, 10:09 , 11-Фев-13
  - Настройка VPDN,Andrei_V, 13:37 , 08-Июл-08
    - Настройка VPDN,awesomebanana, 14:49 , 08-Июл-08
- Настройка VPDN,alchie, 18:04 , 07-Июл-08
  - Настройка VPDN,NZ, 08:38 , 11-Июл-08
    - Настройка VPDN,awesomebanana, 10:32 , 11-Июл-08
      - Настройка VPDN,Andrei_V, 12:14 , 11-Июл-08
        
        Настройка VPDN,awesomebanana, 12:56 , 11-Июл-08
        
        Настройка VPDN,Andrei_V, 13:09 , 11-Июл-08
- Настройка VPDN,zavrik, 14:45 , 03-Окт-08
  - Настройка VPDN,zavrik, 12:22 , 13-Окт-08
    - Настройка VPDN,phantomR6, 11:23 , 11-Фев-13

Сообщения в этом обсуждении

"Настройка VPDN"
Отправлено Andrei_V , 04-Июл-08 13:00

>Как настроить VPDN сервер так чтобы пользователи получали ip адреса в зависимости
>от имени пользователя, без доп. сервисов типа радиуса и.т.д
Я делал так:
vpdn enable
vpdn authen-before-forward
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
и в темплейте указывал конкретный локальный пул:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool to_rtk
ppp authentication pap chap callin
ppp ipcp dns 87.ххх.ххх.х
ну и тут же локальный пул:
ip local pool to_rtk 87.ххх.ххх.х 87.yyy.yyy.y
Но за именем и паролем все равно в радиус лазить приходится:
radius-server host 87.ххх.ххх.х auth-port 1812 acct-port 1813
radius-server key 7 123456789

"Настройка VPDN"
Отправлено darkomen , 04-Июл-08 14:56

>[оверквотинг удален]
> ppp ipcp dns 87.ххх.ххх.х
>
>ну и тут же локальный пул:
>
>ip local pool to_rtk 87.ххх.ххх.х 87.yyy.yyy.y
>
>Но за именем и паролем все равно в радиус лазить приходится:
>
>radius-server host 87.ххх.ххх.х auth-port 1812 acct-port 1813
>radius-server key 7 123456789
А почему просто не задать имя и пароль на самом рутере?
И где привязка что такой то юзер к такой то впдн группе?

"Настройка VPDN"
Отправлено Andrei_V , 06-Июл-08 11:00

>А почему просто не задать имя и пароль на самом рутере?
А как хранить тучу паролей на роутере? Я не знаю.
>И где привязка что такой то юзер к такой то впдн группе?
Зачем?

"Настройка VPDN"
Отправлено darkomen , 07-Июл-08 10:49

>>А почему просто не задать имя и пароль на самом рутере?
>
>А как хранить тучу паролей на роутере? Я не знаю.
>
>>И где привязка что такой то юзер к такой то впдн группе?
>
>Зачем?
Ну а я знаю, мне нужно всего 10 юзеров и они заведены на роутере. Как им назначить разные впдн группы ?

"Настройка VPDN"
Отправлено Andrei_V , 07-Июл-08 12:37

>Ну а я знаю, мне нужно всего 10 юзеров и они заведены
>на роутере. Как им назначить разные впдн группы ?
Любопытно. :) Я не знаю, как это сделать. Может еше кто опытом поделится?

"Настройка VPDN"
Отправлено alchie , 07-Июл-08 12:43

>>>А почему просто не задать имя и пароль на самом рутере?
>>
>>А как хранить тучу паролей на роутере? Я не знаю.
>>
>>>И где привязка что такой то юзер к такой то впдн группе?
>>
>>Зачем?
>
>Ну а я знаю, мне нужно всего 10 юзеров и они заведены
>на роутере. Как им назначить разные впдн группы ?
юзер может попросить у рутера определенный адрес,
и, если рутер будет любезен, он разрешит.
на практике это выражается прописыванием определенного адреса
в настройках TCP/IP впн-подключения пользуна.

"Настройка VPDN"
Отправлено darkomen , 07-Июл-08 13:39

>[оверквотинг удален]
>>>
>>>Зачем?
>>
>>Ну а я знаю, мне нужно всего 10 юзеров и они заведены
>>на роутере. Как им назначить разные впдн группы ?
>
>юзер может попросить у рутера определенный адрес,
>и, если рутер будет любезен, он разрешит.
>на практике это выражается прописыванием определенного адреса
>в настройках TCP/IP впн-подключения пользуна.
Можно подробнее где прописать ИП адрес для пользуна?

"Настройка VPDN"
Отправлено darkomen , 07-Июл-08 13:44

>[оверквотинг удален]
>>>
>>>Ну а я знаю, мне нужно всего 10 юзеров и они заведены
>>>на роутере. Как им назначить разные впдн группы ?
>>
>>юзер может попросить у рутера определенный адрес,
>>и, если рутер будет любезен, он разрешит.
>>на практике это выражается прописыванием определенного адреса
>>в настройках TCP/IP впн-подключения пользуна.
>
>Можно подробнее где прописать ИП адрес для пользуна?
Подозреваю что это можно сделать через ааа модель, но как?

"Настройка VPDN"
Отправлено alchie , 07-Июл-08 14:10

>[оверквотинг удален]
>>>>на роутере. Как им назначить разные впдн группы ?
>>>
>>>юзер может попросить у рутера определенный адрес,
>>>и, если рутер будет любезен, он разрешит.
>>>на практике это выражается прописыванием определенного адреса
>>>в настройках TCP/IP впн-подключения пользуна.
>>
>>Можно подробнее где прописать ИП адрес для пользуна?
>
>Подозреваю что это можно сделать через ааа модель, но как?
свойства VPN подключения - свойства протокола TCP/IP
на кошке это не реализуется.
только через radius/tacacs

"Настройка VPDN"
Отправлено CrAzOiD , 07-Июл-08 15:56

>на кошке это не реализуется.
>только через radius/tacacs
реализуется

"Настройка VPDN"
Отправлено CrAzOiD , 07-Июл-08 15:57

>Как настроить VPDN сервер так чтобы пользователи получали ip адреса в зависимости
>от имени пользователя, без доп. сервисов типа радиуса и.т.д
пример:
aaa attribute list attr_list
attribute type addr-pool "local_pool" service ppp protocol ip
username cisco password 7 xxx
username cisco aaa attribute list attr_list
ip local pool local_pool a.b.c.2 a.b.c.254

"Настройка VPDN"
Отправлено awesomebanana , 07-Июл-08 17:15

>[оверквотинг удален]
>>от имени пользователя, без доп. сервисов типа радиуса и.т.д
>
>пример:
>aaa attribute list attr_list
> attribute type addr-pool "local_pool" service ppp protocol ip
>
>username cisco password 7 xxx
>username cisco aaa attribute list attr_list
>
>ip local pool local_pool a.b.c.2 a.b.c.254
А что при этом надо прописать на virtualtemplate про default ip address? Если не писать ничего то клиенту не назначается никакого айпишника.

"Настройка VPDN"
Отправлено CrAzOiD , 08-Июл-08 01:29

>[оверквотинг удален]
>>aaa attribute list attr_list
>> attribute type addr-pool "local_pool" service ppp protocol ip
>>
>>username cisco password 7 xxx
>>username cisco aaa attribute list attr_list
>>
>>ip local pool local_pool a.b.c.2 a.b.c.254
>
>А что при этом надо прописать на virtualtemplate про default ip address?
>Если не писать ничего то клиенту не назначается никакого айпишника.
что-то не понял мысль, поясни

"Настройка VPDN"
Отправлено awesomebanana , 08-Июл-08 13:11

>[оверквотинг удален]
>>>
>>>username cisco password 7 xxx
>>>username cisco aaa attribute list attr_list
>>>
>>>ip local pool local_pool a.b.c.2 a.b.c.254
>>
>>А что при этом надо прописать на virtualtemplate про default ip address?
>>Если не писать ничего то клиенту не назначается никакого айпишника.
>
>что-то не понял мысль, поясни
Да всё, разобрался. Проблема была в другом. Спасибо :)

"Настройка VPDN"
Отправлено phantomR6 , 11-Фев-13 10:09

>[оверквотинг удален]
>>>>username cisco password 7 xxx
>>>>username cisco aaa attribute list attr_list
>>>>
>>>>ip local pool local_pool a.b.c.2 a.b.c.254
>>>
>>>А что при этом надо прописать на virtualtemplate про default ip address?
>>>Если не писать ничего то клиенту не назначается никакого айпишника.
>>
>>что-то не понял мысль, поясни
> Да всё, разобрался. Проблема была в другом. Спасибо :)
В чем была проблема? подскажите.

"Настройка VPDN"
Отправлено Andrei_V , 08-Июл-08 13:37

>>>от имени пользователя, без доп. сервисов типа радиуса и.т.д
так реализуемо подключение без радиуса?

"Настройка VPDN"
Отправлено awesomebanana , 08-Июл-08 14:49

>>>>от имени пользователя, без доп. сервисов типа радиуса и.т.д
>
>так реализуемо подключение без радиуса?
Да, вполне. Приведенный пример работает.

"Настройка VPDN"
Отправлено alchie , 07-Июл-08 18:04

>[оверквотинг удален]
>>от имени пользователя, без доп. сервисов типа радиуса и.т.д
>
>пример:
>aaa attribute list attr_list
> attribute type addr-pool "local_pool" service ppp protocol ip
>
>username cisco password 7 xxx
>username cisco aaa attribute list attr_list
>
>ip local pool local_pool a.b.c.2 a.b.c.254
Спасибо, не знал (:

"Настройка VPDN"
Отправлено NZ , 11-Июл-08 08:38

2awesomebanana
получившийся конфиг увидеть можно? - аналогичная задача возникает

"Настройка VPDN"
Отправлено awesomebanana , 11-Июл-08 10:32

>2awesomebanana
>получившийся конфиг увидеть можно? - аналогичная задача возникает
Так все строчки приведены двумя постами выше. Больше ничего и не нужно.

"Настройка VPDN"
Отправлено Andrei_V , 11-Июл-08 12:14

>>2awesomebanana
>>получившийся конфиг увидеть можно? - аналогичная задача возникает
>
>Так все строчки приведены двумя постами выше. Больше ничего и не нужно.
>
т.е. всех таких пользователей надо тупо прописать на роутере:
username cisco password 7 xxx
username cisco aaa attribute list attr_list
username cisco2 password 7 yyy
username cisco2 aaa attribute list attr_list
username cisco3 password 7 zzz
username cisco3 aaa attribute list attr_list
и т.д.?

"Настройка VPDN"
Отправлено awesomebanana , 11-Июл-08 12:56

>[оверквотинг удален]
>username cisco password 7 xxx
>username cisco aaa attribute list attr_list
>
>username cisco2 password 7 yyy
>username cisco2 aaa attribute list attr_list
>
>username cisco3 password 7 zzz
>username cisco3 aaa attribute list attr_list
>
>и т.д.?
Да, ну и создать сам attribute list attr_list, как показано выше. Или можно на каждого юзера создать свой attribute list

"Настройка VPDN"
Отправлено Andrei_V , 11-Июл-08 13:09

>Да, ну и создать сам attribute list attr_list, как показано выше. Или
>можно на каждого юзера создать свой attribute list
Ясно, спасибо! :)

"Настройка VPDN"
Отправлено zavrik , 03-Окт-08 14:45

>aaa attribute list attr_list
>  attribute type addr-pool "local_pool" service ppp protocol ip
Очень полезная комманда. Подскажите как заставить эту раздачу адресов работать в следующем конфиге:
aaa attribute list vpn_atts
attribute type addr-pool "test_pool" service ppp protocol ip
username tester2 privilege 0 password 123
username tester2 aaa attribute list vpn_atts
vpdn enable
vpdn-group cdma
accept-dialin
  protocol l2tp
  virtual-template 1
terminate-from hostname хххх
source-ip ххххххх
l2tp tunnel password .......

interface Virtual-Template1
ip unnumbered GigabitEthernet0/0.2
peer default ip address pool VpdnUsers
ppp authentication chap callin
ip local pool VpdnUsers 10.101.0.1 10.101.0.20
ip local pool test_pool 10.103.0.1 10.103.0.20
Проблема в том что заходящем юзерам успешно выдаются айпишники из пула VpdnUsers и все работает. Но, нужно разделить юзеров: одному дается айпишник из test_pool, например, а другому из другого пула. Для этого добавляем aaa attribute list vpn_atts юзерам, но оно не отрабатывает. Айпишники все равно выдаются из пула VpdnUsers, указанного в interface Virtual-Template1.  Снять комманду peer default ip address pool с интерфейса не получается - клиенты не могут подсоедениться, им выдается ошибка что Server did not assign an address и все.
Как заставить такое разделение работать?

"Настройка VPDN"
Отправлено zavrik , 13-Окт-08 12:22

Оказывается не хватало чтото наподобии этого:
aaa authorization network VPDN local
interface Virtual-Template1
ppp authorization VPDN
или более общего aaa authorization network default local если это не мешает другим конфигам.

"Настройка VPDN"
Отправлено phantomR6 , 11-Фев-13 11:23

> Оказывается не хватало чтото наподобии этого:
> aaa authorization network VPDN local
> interface Virtual-Template1
> ppp authorization VPDN
> или более общего aaa authorization network default local если это не мешает
> другим конфигам.
Вот оно) спасибо