дык... я б именно хотел чтоб все клиенты висели на одном тапе типа изернет и меж собой общались через него же а не как иначеУгу, только без client-to-client. Собственно разницы особой нет
Openvpn & Баг с acct_session_id
-
Ck-NoSFeRaTU
- Сообщения: 54
- Зарегистрирован: Ср фев 20, 2008 12:17 pm
- Контактная информация:
Так номер интерфейса у всех пользачей, ходящих через openvpn одинаковый, соответственно тогда правила все пишутся на одни и те же номера, которые потом при выходе одного из пользователей удаляются для всех. А у меня к примеру в linkupdown выдаются ещё и очереди и через какой шлюз их гнать в зависимости от тарифа. Поэтому как один пользач выходит, инет пропадает у всех. :-/ Лучше бы конечно как-то передавать linkupdown`у номер nas-port`а, чтобы корректно работало, если разрешено несколько одновременных сессий с одним и тем же логином, но переменная эта от радиус плагина основному openvpn походу не передается, а допиливать его код или же переносить прописывание правил куда-нить в Acct.pm на Start/Stop пакеты пока нет желания, тем более, что сам одновременных сессий не использую.~AsmodeuS~ писал(а):а зачем юзер ид что по номеру интерфеса нельзя ?
Последний раз редактировалось Ck-NoSFeRaTU Вт май 27, 2008 4:56 pm, всего редактировалось 1 раз.
-
Ck-NoSFeRaTU
- Сообщения: 54
- Зарегистрирован: Ср фев 20, 2008 12:17 pm
- Контактная информация:
Ну пропишешь client-to-client в конфиг и будет работать, я у себя специально это заблокировал, чтобы лишний трафик через сервер не пускали, пущай пользуются адресом в локалке. client-to-client будет работать как на tap`е, так и на tun`е, только что через tap ходят arp, броадкасты, можно бриджить с другими интерфейсами и есть иллюзия как будто они в обычной локалке, а не бегают через шлюз.ran писал(а):дык... я б именно хотел чтоб все клиенты висели на одном тапе типа изернет и меж собой общались через него же а не как иначеУгу, только без client-to-client. Собственно разницы особой нет
я просто скажу, чего хочу хочу как у меня щас - усеры авторизуются через пппое... стоит ip-sentinel который через arp банит всю сетку 0/0 
(линух у меня)... к любым ресурсам сети (неважно внешний это инет или внутренний какой-то сервер) усер имеет доступ только авторизовавшись на насе (то бишь через пппое туннель)... проблема в том что я собираюсь сетку сегментировать... пптп я активно ненавижу не буду щас вобъяснять почему... а теперь вопрос - будет ли на tap ифейсе (который наскоко помню - изернет типа) работать авторизация через радиус?
хочу как у меня щас - усеры авторизуются через пппое... стоит ip-sentinel который через arp банит всю сетку 0/0 (линух у меня)... к любым ресурсам сети (неважно внешний это инет или внутренний какой-то сервер) усер имеет доступ только авторизовавшись на насе (то бишь через пппое туннель)... проблема в том что я собираюсь сетку сегментировать... пптп я активно ненавижу не буду щас вобъяснять почему... а теперь вопрос - будет ли на tap ифейсе (который наскоко помню - изернет типа) работать авторизация через радиус?-
Ck-NoSFeRaTU
- Сообщения: 54
- Зарегистрирован: Ср фев 20, 2008 12:17 pm
- Контактная информация:
А почему нет? У меня сейчас на tap`е работает как радиус-авторизация, так и полноценный радиус-аккаунтинг. Я вообще не пойму какая связь между радиусом и типом соединения? Работу с радиусом выполняет плагин к опенвпну, который добавляет свои обработчики на стандартные функции опенвпн: AUTH_USER_PASS_VERIFY, CLIENT_CONNECT, CLIENT_DISCONNECT. Ну и общается с радиусом каждые ACCT-INTERIM-INTERVAL, для каждого соединения, сообщая данные о прошедшем трафике и т.д.. Всё. Всю остальную работу выполняет сам опенвпн, включая все инкапсуляции трафика. Как мы там проверили можно ли юзеру заходить ему совершенно фиолетово.