https://m.opennet.me/openforum/vsluhforumID6/2411.html Добрый день.<br><br>Настраиваю связку cisco L2TP + IPSec + radius + AD.<br>Соединение устанавливается, пользователь авторизуется через AD.<br>Чтобы не гонять весь трафик от клиентов через офис, хочу отдать маршруты до внутренних сетей и повесить ACL на пользователей.<br>Машруты отдаю через DHCP на циске:<br><br>ip dhcp pool L2TP_USERS<br> network 192.168.92.0 255.255.255.0<br> option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1<br><br>маршруты прописываются, трафик ходит.<br><br>Завожу в радиусе атрибут Cisco-AV-Pair:<br>ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1<br>ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1<br><br>Подключаюсь, acl применяется, а вот маршруты больше не прилетают.<br><br>Пните в нужную сторону.<br> https://m.opennet.me/openforum/vsluhforumID6/2411.html#3 Wed, 30 Jan 2019 15:37:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1 <br>&gt;&gt;&gt; Подключаюсь, acl применяется, а вот маршруты больше не прилетают.<br>&gt;&gt;&gt; Пните в нужную сторону.<br>&gt;&gt; dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-) <br>&gt; Да, добавление правил: <br>&gt; ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67 <br>&gt; ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68 <br>&gt; решило проблему.<br>&gt; Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище <br>&gt; конечно.<br><br>ip клиент получает во время установки ppp соединения. а вот dhcp-запрос за остальными опциями уже потом поверху по широковещательному адресу.<br> https://m.opennet.me/openforum/vsluhforumID6/2411.html#2 Wed, 30 Jan 2019 14:31:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip dhcp pool L2TP_USERS <br>&gt;&gt; network 192.168.92.0 255.255.255.0 <br>&gt;&gt; option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1 <br>&gt;&gt; маршруты прописываются, трафик ходит.<br>&gt;&gt; Завожу в радиусе атрибут Cisco-AV-Pair: <br>&gt;&gt; ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1 <br>&gt;&gt; ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1 <br>&gt;&gt; Подключаюсь, acl применяется, а вот маршруты больше не прилетают.<br>&gt;&gt; Пните в нужную сторону.<br>&gt; dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-) <br><br>Да, добавление правил:<br><br>ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67<br>ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68<br><br>решило проблему.<br><br>Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище конечно.<br><br><br> https://m.opennet.me/openforum/vsluhforumID6/2411.html#1 Tue, 29 Jan 2019 17:41:35 GMT &gt;[оверквотинг удален]<br>&gt; Машруты отдаю через DHCP на циске: <br>&gt; ip dhcp pool L2TP_USERS <br>&gt; network 192.168.92.0 255.255.255.0 <br>&gt; option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1 <br>&gt; маршруты прописываются, трафик ходит.<br>&gt; Завожу в радиусе атрибут Cisco-AV-Pair: <br>&gt; ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1 <br>&gt; ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1 <br>&gt; Подключаюсь, acl применяется, а вот маршруты больше не прилетают.<br>&gt; Пните в нужную сторону.<br><br>dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)<br><br>