The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
VPN:  IP фильтрация , !*! Shodan, 23-Окт-14, 12:47  [смотреть все]
Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус (в роли радиуса win2008 с network policy server, и доменные аккаунты + две группы vpn1 и vpn2).
Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10, а юзеры из группы vpn2 видели только сеть 0.11?

ЗЫ
Виланы не поддерживаются.

Ответить | Сообщить модератору
  • VPN:  IP фильтрация , !*! shadow_alone, 13:08 , 23-Окт-14 (1)
    Запретить forward между сетями в файрволе
    Ответить | Сообщить модератору
    • VPN:  IP фильтрация , !*! Shodan, 15:27 , 23-Окт-14 (4)
      > Запретить forward между сетями в файрволе

      Это не сработает для впн клиентов (10.0.0.1-100), они будут видеть обе подсетки. Нужна динамическая фильтрация на основе атрибутов радиуса (нужно както различать две впн группы)

      Ответить | Сообщить модератору
  • VPN:  IP фильтрация , !*! rusadmin, 14:01 , 23-Окт-14 (2)
    > Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус
    > (в роли радиуса win2008 с network policy server, и доменные аккаунты
    > + две группы vpn1 и vpn2).
    > Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры
    > (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10,
    > а юзеры из группы vpn2 видели только сеть 0.11?
    > ЗЫ
    > Виланы не поддерживаются.

    в микротике есть фаервол (iptables). Им разруливайте

    Ответить | Сообщить модератору
  • VPN:  IP фильтрация , !*! ShyLion, 14:02 , 23-Окт-14 (3)
    > Имееется микротик CCR1016-12, на нем запущен pptp сервер с AAA через радиус
    > (в роли радиуса win2008 с network policy server, и доменные аккаунты
    > + две группы vpn1 и vpn2).
    > Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры
    > (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10,
    > а юзеры из группы vpn2 видели только сеть 0.11?
    > ЗЫ
    > Виланы не поддерживаются.

    http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

    Вкратце: радиус должен возвращать атрибут Filter-Id - имя цепочки на фаерволе.
    Дальше рой сам.

    Ответить | Сообщить модератору
    • VPN:  IP фильтрация , !*! Shodan, 15:31 , 23-Окт-14 (5)
      >[оверквотинг удален]
      >> (в роли радиуса win2008 с network policy server, и доменные аккаунты
      >> + две группы vpn1 и vpn2).
      >> Есть две подсетки - 192.168.0.10/24 и 192.168.0.11/24. Как сделать чтобы впн юзеры
      >> (vpn ip range 10.0.0.1-100) из группы vpn1 видели только сеть 0.10,
      >> а юзеры из группы vpn2 видели только сеть 0.11?
      >> ЗЫ
      >> Виланы не поддерживаются.
      > http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
      > Вкратце: радиус должен возвращать атрибут Filter-Id - имя цепочки на фаерволе.
      > Дальше рой сам.

      Кажется, то что надо. Спасибо )

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру