форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Радиус и IP адреса."
Сообщение от Andrew on 28-Июл-03, 14:10  (MSK)
Здравствуйте уважаемые! Всех с прошедшим праздником сисадмина! Разбираюсь я тут с Радиус-сервером и авторизацией. И вот не могу сообразить правильно ли я все понял. Значит так: у меня локалка с внутренними адресами (много клиентов > 200). Для выхода в инет использую NAT на циске. Локалка состоит из нескольких сегментов и все рулится на роутере. Хочу поставить радиус сервер для авторизации выхода в инет на роутер. Тогда у меня получится судя по всему следующая картина. Пользователь под своим локальным ip лазит по локалке. Для выхода в инет авторизуется. Ему присваивают еще один внутренний ip. И вот этот ip уже будет натиться на циске. Я правильно думаю или нет?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Радиус и IP адреса."
Сообщение от syslog on 28-Июл-03, 14:50  (MSK)
>>Ему присваивают ещё один внутренний ip Зачем ? У него уже есть один, от которого и считайте трафик на инет
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 15:24  (MSK)
	Но ведь радиус присваивает ip-шник. Или я все-таки чего-то не понимаю?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Радиус и IP адреса."
	Сообщение от Dima on 28-Июл-03, 15:32  (MSK)
	Правильно понимаешь Это делается через VPN клиента на виндах Радиус будет отдавать IP. все что не в твоей сети пойдет IP, все что по локалке будет как и прежде использовать ранее присвоенный IP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 15:40  (MSK)
	>Правильно понимаешь >Это делается через VPN клиента на виндах >Радиус будет отдавать IP. >все что не в твоей сети пойдет IP, все что по локалке >будет как и прежде использовать ранее присвоенный IP Ну то есть у машины будет 2 ip-шника. А теперь упрощаем схему. Убираем роутер. Т.е. авторизация на циске. И что тогда? Переписывать NAT?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Радиус и IP адреса."
	Сообщение от Dima on 28-Июл-03, 16:06  (MSK)
	Что значит убераем роутер? для меня это убрать машину(Cisco), которая стоит между LAN и WAN то есть остается один Switch о каком Nat будет идти тогда речь Посмотри как работают VPN клинты.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 16:14  (MSK)
	>Что значит убераем роутер? для меня это убрать машину(Cisco), которая стоит между >LAN и WAN то есть остается один Switch >о каком Nat будет идти тогда речь >Посмотри как работают VPN клинты. Наверное я неправильно в самом начале объяснил. У меня есть отдельно циска между ЛАН и ВАН. На ней и делается НАТ. А есть еще отдельно роутер - комп с 4-мя сетевухами. Рулит между сегментами и циской. Вот про него то я и говорю. Что если его убрать и авторизацию сделать на циске. Что тогда будет с адресами? Может подскажешь документацию по радиусу, где бы объяснялись проблемы с адресацией.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Радиус и IP адреса."
Сообщение от Grey on 28-Июл-03, 16:20  (MSK)
Чего ты хочешь вообще от RADIUS? RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может быть по "подсказке" RADIUS-сервера). без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 16:29  (MSK)
	>Чего ты хочешь вообще от RADIUS? >RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может >быть по "подсказке" RADIUS-сервера). >без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера? Хочу что бы была авторизация для выхода в инет. С сохранением существующих настроек локалки.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Радиус и IP адреса."
	Сообщение от Grey on 28-Июл-03, 16:32  (MSK)
	>>Чего ты хочешь вообще от RADIUS? >>RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может >>быть по "подсказке" RADIUS-сервера). >>без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера? > >Хочу что бы была авторизация для выхода в инет. С сохранением существующих >настроек локалки. тогда реши сначала: кто будет сервером доступа, кто будет сервером аутентификации, какая будет опорная IP-сеть, какая будет для выхода наружу... когда решишь, можно думать дальше
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 16:33  (MSK)
	Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно понял?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Радиус и IP адреса."
	Сообщение от Grey on 28-Июл-03, 16:34  (MSK)
	>Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия >фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно >понял? ты вообще о чём? :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 16:40  (MSK)
	>>Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия >>фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно >>понял? > >ты вообще о чём? :))) Да все о том же... Есть локальная сеть. Есть роутер - разруливает разные сегменты локалки. Есть пограничный маршрутизатор с НАТ. Хочу реализовать авторизацию доступа к внешней сети. Помыслил и решил что проще это сделать на роутере на радиусе. Или я чего то не врубаюсь?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Радиус и IP адреса."
	Сообщение от Dima on 28-Июл-03, 17:03  (MSK)
	Похоже что ты что-то не допонимаешь? хотя пишешь о том что тебе тут и отвечаю К примеру у тебя локальная сеть имеет IP 10.0.0.0/24 с этими адресами нельзя выходить в инет (ну хочу я так сделать и не кто мне не помешает, согласен? ) Далее на Виндовых машинах (или что там у тебя стоит) настраиваешь VPN Если в инет не надо у тебя клеенты будут спокойну бегать по сетке без выхода на ружу. Как только кому бы то небыло понадобится инет они запускают VPN соединение Cisco в свою очерь выдаст IP (192.168.0.1 и тд), а они (IP) в свою очередь могут ходить в инет по средством NAT. В этом случае человек пройдет авторизацию и бужет работать с инетом (и с локальной сетью тоже) Radius будет вести Акаунтинг (то есть вермя и трафик) Как ты будешь выдавать IP ни кого не интересую, хоть пусть радиус это делает, хоть сама Cisco Чего тут не понятного совершенно не вижу Перестраивать ни чего не надо (разве что мелочи)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 17:18  (MSK)
	>Чего тут не понятного совершенно не вижу >Перестраивать ни чего не надо (разве что мелочи) У меня статистика настроена на локальные адреса и их у меня около 500. То есть мне надо статистику править под те адреса которые будут выдаваться после авторизации? Меня вот что мучает то по большому счету.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Радиус и IP адреса."
	Сообщение от Grey on 28-Июл-03, 17:24  (MSK)
	>>Чего тут не понятного совершенно не вижу >>Перестраивать ни чего не надо (разве что мелочи) > >У меня статистика настроена на локальные адреса и их у меня около >500. >То есть мне надо статистику править под те адреса которые будут выдаваться >после авторизации? Меня вот что мучает то по большому счету. у тебя вся статистика будет храниться (к примеру) в sql-ной базе, в которой будет "жить" RADIUS-сервер :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 17:30  (MSK)
	>у тебя вся статистика будет храниться (к примеру) в sql-ной базе, в >которой будет "жить" RADIUS-сервер :) Так она у меня и так храниться в майскул. Я хочу понять какие адреса будет брать статистика. Локальные или уже после радиуса?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Радиус и IP адреса."
	Сообщение от Dima on 28-Июл-03, 17:37  (MSK)
	Только те, которые вывел Радис сервер имя узера, Время входа, время выходя, количесчтво пакетов, количество байт Надо более детально посмотреть какие данные ведутся status | user_name  | event_date_time |  nas_ip_address | nas_port_id | acct_session_id  | acct_session_time | acct_input_octets | acct_output_octets |  connect_term_reason | framed_ip_address |        called_station_id |calling_station_id Это из моего сервера Radius Hаботает совместно с Postgres
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Радиус и IP адреса."
	Сообщение от Grey on 28-Июл-03, 17:27  (MSK)
	>>Чего тут не понятного совершенно не вижу >>Перестраивать ни чего не надо (разве что мелочи) > >У меня статистика настроена на локальные адреса и их у меня около >500. >То есть мне надо статистику править под те адреса которые будут выдаваться >после авторизации? Меня вот что мучает то по большому счету. ... причём не по адресам будет храниться а по именам юзеров.... один раз старые данные "подтянешь" в базу и дальше забудешь вообще про свои адреса... и рулить всей статистикой сможешь через веб-интерфейс....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Радиус и IP адреса."
	Сообщение от Dima on 28-Июл-03, 17:28  (MSK)
	Смотря как ведется Radius это может вести DB (MySQL, Postgres) Но имеет смысл переделать тогда именно для радис Управлять будет легче (превышение трафик и прочие вкусности) И не надо настраивать дикую таблицу в Firewall и NAT Тебе ее надо только упарядочить и вывести окончательный результат Если знаешь как работать на Postgres ( к примеру), то тогда сделай там тригеры, которые будут складывать все автоматом. Или ты считаешь трафик даже к своим серверам (почты или SQUID) ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Радиус и IP адреса."
	Сообщение от Andrew on 28-Июл-03, 18:00  (MSK)
	Понятно. Беру таймаут. Надо подумать.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.