[es] - IPsec\L2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

sveti sava
Milos Petrovic
Vracar

Član broj: 59588
Poruke: 11
*.dynamic.isp.telekom.rs.

ICQ: 2701583

Profil

IPsec\L2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{26.05.2011. u 18:01 - pre 157 meseci}

Da li je na Mikrotiku moguce namestiti da se korisnicima iz AD-a koji se konektuju na IPsec/L2TP VPN server koji je podignut na Mikrotiku (RouterOS 5.2) PPP profili dinamicki lepe (/ppp profile) u zavisnosti od korisnika koji se logovao a ne samo da postoji jedan profil koji je podesen u L2TP server (/interface l2tp-server server default-profile=...) delu konfiguracije kao default i koji se lepi svim korisnicima koji se autentifikuju preko RADIUSa (ovo je moguce konfigurisati na CISCO ASI preko RADIUS class atributa, gde se stavlja ime profila za atribut i ono se poredi sa imenima vpn profila u konfiguraciji ASE) ? Gledao sam po forumima ali su takva pitanja ostala ili neodgovorena ili je odgovor bio da tako nesto nije podrazano za RADIUS i PPP.

Svrha ovog pitanja je da imam PPP profile sa razlicitim filter atributima, jer hocu ako se nakaci jedan korisnik da ima pristup celoj mrezi, a neki drugi korisnik da ima ogranicim pristup samo jednom serveru na tom i tom portu...

Vidim da se to moze podesiti za lokalne usere koji se prave u ppp secret bazi gde je pojedinacim userima moguce lepiti PPP profile jer postoji takav atribut (/ppp secret ... profile=...)

Hvala unapred!

Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.mirijevo.rs.

+28 Profil

Re: IPsecL2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{26.05.2011. u 20:10 - pre 157 meseci}

Hm, a sto ne napravis razliku u samoj RADIUS bazi, kreiranjem dve (ili koliko vec) grupa korisnika. Jedna grupa korisnika dobija adrese iz npr 192.168.1.x, druga iz 192.168.2.x i na MT kreiras odgovarajuce filtere na osnovu kojih kontrolises pristup mrezi?

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.

Odgovor na temu

sveti sava
Milos Petrovic
Vracar

Član broj: 59588
Poruke: 11
*.dynamic.isp.telekom.rs.

ICQ: 2701583

Profil

Re: IPsecL2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{26.05.2011. u 20:34 - pre 157 meseci}

Hvala na predlogu, odlicna ti je ideja ako vec ne moze sa PPP profilima. Ima li jos neki predlog ili jos bolje, da li ovo sa PPP profilima moze da proradi?

Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.mirijevo.rs.

+28 Profil

Re: IPsecL2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{29.05.2011. u 18:04 - pre 156 meseci}

Hm, teorijski gledano, RADIUS i ne bi mogao da vrati vrednost ppp profila, jer isti sadrzi vise informacija (local addr, remote addr, enkripcija, kompresija... ) Ne znam sto bi komplikovao sa tim i da postoji :)

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.

Odgovor na temu

sveti sava
Milos Petrovic
Vracar

Član broj: 59588
Poruke: 11
91.212.208.*

ICQ: 2701583

Profil

Re: IPsecL2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{30.05.2011. u 15:30 - pre 156 meseci}

@acatheking:

Mozda nisi pazljivo sve procitao, u ovom slucaju radius vraca samo vrednost class atributa (atribut br. 25) ASI/Mikrotiku (na radiusu napravim profile kojima podesim razlicite vrednosti class atributa), a zatim ASA uporedjuje tu vrednost koja je obican string i pokusava da matchuje sa imenom PPP/VPN profila. Ne vraca radius parametre (adrese, rute, sta god), vec samo vrednost class atributa (tj. ime profila u ovom slucaju). Cisco ASA zna sta da radi kada joj radius posalje class atribut, a pitanje je da li Mikrotik zna ili na neki nacin to moze da iskoristi. Uopste nije komplikovano, veruj mi, tri klika misem na radius serveru, a imas dinamicko dodeljivanje polisa userima na osnovu grupa kojima pripadaju, to sve iz AD-a naravno. Tako radi npr WebVPN na ASI.

Odgovor na temu

Schmidt
RHCE

Član broj: 80784
Poruke: 647
*.blic.net.

+10 Profil

Re: IPsecL2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{31.05.2011. u 09:40 - pre 156 meseci}

Da li samo zelis da podesis access liste ili imas jos nesto?
Za access liste moze 100%, navedi da li treba jos nesto.

Odgovor na temu

sveti sava
Milos Petrovic
Vracar

Član broj: 59588
Poruke: 11
91.212.208.*

ICQ: 2701583

Profil

Re: IPsecL2TP vpn, RADIUS i dinamicko dodeljivanje PPP polisa

^{01.06.2011. u 08:50 - pre 156 meseci}

Za sad mi treba samo za access-liste, da ogranicim jednu grupu user-a na npr te i te servere (i portove na njima), drugoj grupi full pristup mrezi, trecoj nesto trece itd... A zanima me i da to podesim, cisto kao izazov :-)

Evo procitah na Mikrotik forumu, postoji radius atribut "Framed-Pool" :
Framed-Pool - IP pool name (on the router) from which to get IP address for the client. If Framed-IP-Address is specified, this attribute is ignored .

Izgleda je to to, probacu pa javljam. Ako neko ima preglode, primedbe, ideje, saljite :-) ! Hvala unapred !

Edit:

Pa ovo radi :-))))))).
Prvo sam probao i nije htelo, pa sam krenuo po www.google.com. Problem je bio u remote-address parametru koji je bio podesen za default profil. Znaci, da bi ovo radilo, bar na RouterOS 5.2, mora se skinuti remote-address iz default profila, i onda ce ruter dodeljivati klijentima adrese iz pool-a koji se zove isto kao pool iz radius atributa Framed-Pool, u suprotnom, dodeljuje adrese iz pool-a koji je definisan u remote-address parametru jer ocigledno on ima prioritet.

_{[Ovu poruku je menjao sveti sava dana 01.06.2011. u 10:49 GMT+1]}

_{[Ovu poruku je menjao sveti sava dana 01.06.2011. u 10:49 GMT+1]}

Odgovor na temu