форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение		[ Отслеживать ]

"VPN:  IP фильтрация "	+/–
Сообщение от Shodan (ok) on 23-Окт-14, 12:47
Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус (в роли радиуса win2008 с network policy server, и доменные аккаунты + две группы vpn1 и vpn2). Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10, а юзеры из группы vpn2 видели только сеть 0.11? ЗЫ Виланы не поддерживаются.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN:  IP фильтрация "	+/–
Сообщение от shadow_alone (ok) on 23-Окт-14, 13:08
Запретить forward между сетями в файрволе
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "VPN:  IP фильтрация "	+/–
	Сообщение от Shodan (ok) on 23-Окт-14, 15:27
	> Запретить forward между сетями в файрволе Это не сработает для впн клиентов (10.0.0.1-100), они будут видеть обе подсетки. Нужна динамическая фильтрация на основе атрибутов радиуса (нужно както различать две впн группы)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "VPN:  IP фильтрация "	+/–
Сообщение от rusadmin (ok) on 23-Окт-14, 14:01
> Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус > (в роли радиуса win2008 с network policy server, и доменные аккаунты > + две группы vpn1 и vpn2). > Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры > (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10, > а юзеры из группы vpn2 видели только сеть 0.11? > ЗЫ > Виланы не поддерживаются. в микротике есть фаервол (iptables). Им разруливайте
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "VPN:  IP фильтрация "	+/–
Сообщение от ShyLion (ok) on 23-Окт-14, 14:02
> Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус > (в роли радиуса win2008 с network policy server, и доменные аккаунты > + две группы vpn1 и vpn2). > Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры > (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10, > а юзеры из группы vpn2 видели только сеть 0.11? > ЗЫ > Виланы не поддерживаются. http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client Вкратце: радиус должен возвращать атрибут Filter-Id - имя цепочки на фаерволе. Дальше рой сам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "VPN:  IP фильтрация "	+/–
	Сообщение от Shodan (ok) on 23-Окт-14, 15:31
	>[оверквотинг удален] >> (в роли радиуса win2008 с network policy server, и доменные аккаунты >> + две группы vpn1 и vpn2). >> Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры >> (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10, >> а юзеры из группы vpn2 видели только сеть 0.11? >> ЗЫ >> Виланы не поддерживаются. > http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client > Вкратце: радиус должен возвращать атрибут Filter-Id - имя цепочки на фаерволе. > Дальше рой сам. Кажется, то что надо. Спасибо )
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема