Страница 1 из 2
PPPoE и VPN на одном сервере - разграничить доступ
Добавлено: Вс июл 27, 2008 1:36 pm
yes
PPPoE и VPN на одном сервере. Используется один radiusclient
Есть 3 ethernet интерфейса
eth0 - Интернет
eth1 - PPPoE клиенты
eth2 - VPN клиенты
Как мне реализовать разграничение доступа, чтобы PPPoE клиент не смог бы подключиться по VPN?
Хотел два NAS'а сделать, но у меня он постоянно при подключении клиентов с разных интерфейсов выдает 127.0.0.1
Добавлено: Вс июл 27, 2008 2:00 pm
ran
Как мне реализовать разграничение доступа, чтобы PPPoE клиент не смог бы подключиться по VPN?
а зачем ежли не секрет?
какая разница, через какой протокол подключился??? прошёл авторизацию - начит пущать нет начит нет... а одновременно и пптп и пппое сервера - дык это как 2 байта об асфальт
ну а если уж нада ответ - пжалста
eth1 - PPPoE клиенты
eth2 - VPN клиенты
не назначать ип адрес на eth1 O_o
Добавлено: Вс июл 27, 2008 10:50 pm
yes
ran писал(а):
ну а если уж нада ответ - пжалста
eth1 - PPPoE клиенты
eth2 - VPN клиенты
не назначать ип адрес на eth1 O_o
Ну это как последний вариант.
Мне просто хотелось понять структуру и возможности
abills
Но я так понимаю, если "покапаться" в исходниках, то решение наверно найдется. просто спросил, чтоб не изобретать ь колесо.
А для чего, так это для того чтобы "корпоративную" подсеть направлять на по нужному маршруту, то есть чтоб сотрудники не могли из дома пользоваться рабочим инетом
Добавлено: Пн июл 28, 2008 7:19 am
ran
А для чего, так это для того чтобы "корпоративную" подсеть направлять на по нужному маршруту, то есть чтоб сотрудники не могли из дома пользоваться рабочим инетом
это делается элементарно через абиллс привязкой усеров к соотв. нас, а не такими извращениями
Добавлено: Пн июл 28, 2008 8:57 am
yes
ran писал(а):А для чего, так это для того чтобы "корпоративную" подсеть направлять на по нужному маршруту, то есть чтоб сотрудники не могли из дома пользоваться рабочим инетом
это делается элементарно через абиллс привязкой усеров к соотв. нас, а не такими извращениями
Но NAS то у меня один.
Что то не догоняю, как через 1 radiusclient подымать 2 NAS
Добавлено: Пн июл 28, 2008 9:07 am
ran
Что то не догоняю, как через 1 radiusclient подымать 2 NAS
а причём здесь радиусклиент??? он жеж к радиуссерверу обращается, который тоже 1... а вот насов мб скоко угодно
Добавлено: Пн июл 28, 2008 9:45 am
yes
ran писал(а):Что то не догоняю, как через 1 radiusclient подымать 2 NAS
а причём здесь радиусклиент??? он жеж к радиуссерверу обращается, который тоже 1... а вот насов мб скоко угодно
Но как я понимаю, ведь PPPoE и PPTP серверы отправляют запросы радиусу через radiusclient (он же NAS), если нет, то тыкните как это сделать, а то я с этой проблемой аж месяц кочую.
Добавлено: Пн июл 28, 2008 10:03 am
ran
radiusclient (он же NAS)
никакаой он ни нас - он ифейс для доступа к радиуссерверу. НАС в твоём случае это пппд
тыкните как это сделать
как я тебя тыкну не зная твоей топологии и чего ты собсно хошь?
Добавлено: Пн июл 28, 2008 10:26 am
yes
ran писал(а):radiusclient (он же NAS)
никакаой он ни нас - он ифейс для доступа к радиуссерверу. НАС в твоём случае это пппд
тыкните как это сделать
как я тебя тыкну не зная твоей топологии и чего ты собсно хошь?
Гм, ну для начала к примеру у меня есть на одном сервере abills PPPoE и PPTPD сервера.
PPPoE и PPTPD в конфигах прописано
Код: Выделить всё
plugin /usr/lib/pppd/2.4.4/radius.so
plugin /usr/lib/pppd/2.4.4/radattr.so
Мне нужно, чтобы адреса из подсети
172.26.20.0 /24 подключались токо со стороны PPPoE, а адреса из подсети
172.26.30.0 /24 подключались со стороны PPTPD.
PPPoE - тут только корпоративные клиенты
PPTPD - тут только коммерческие клиенты (в том числе и наши сотрудники)
И во вторых, у меня 2 канала интернета, и для каждой группы(то есть сервера PPTPD или PPPoE) использовать определенный канал.
Гм, проще бы все разнести, но у нас база клиентов максимум 100 чел, щас токо 20 чел. и разворачивать все это на нескольких сервером нерентабельно.
Можно как нить разграничивать по IP подсети?
Добавлено: Пн июл 28, 2008 11:34 am
ran
1. в линухе предусмотрена маршрутизация на основе
правил
2. по какому бы критерию ты не контролировал, откуда происходит доступ (ип или мак), никто не гарантирует тебя от спуфинга (проспуфить и то и другое и 5-классник сможет). Единственная гарантия - нормальная авторизация.
3. если есть у тебя вася пупкин - какая разница из дома он заходит или с работы? ну сделай в тарифном плане разную тарификацию/ограничение скорости в зависимости от времени суток/дня недели... ну или лимиты по времени/трафику выстави... возможностей в абиллсе масса
Добавлено: Пн июл 28, 2008 1:02 pm
yes
ran писал(а):1. в линухе предусмотрена маршрутизация на основе
правил
это уже реализовал.
ran писал(а):
2. по какому бы критерию ты не контролировал, откуда происходит доступ (ип или мак), никто не гарантирует тебя от спуфинга (проспуфить и то и другое и 5-классник сможет). Единственная гарантия - нормальная авторизация.
По критерию CID, но не по
ip-адресу по
IP-подсети и
МАС
Если CID=любому_МАК, то это PPPoE-клиент, иначе это PPTPD-клиент.
ran писал(а):
3. если есть у тебя вася пупкин - какая разница из дома он заходит или с работы? ну сделай в тарифном плане разную тарификацию/ограничение скорости в зависимости от времени суток/дня недели... ну или лимиты по времени/трафику выстави... возможностей в абиллсе масса
Как вариант подойдет.
А вот как сделать так, чтоб у PPTPD был NAS отличный от PPPoE?
Добавлено: Пн июл 28, 2008 1:47 pm
ran
Если CID=любому_МАК, то это PPPoE-клиент
чтоб под линухом с пппое был цид=мак эт тебе ещё весьма и весьма подолбаться придётся (чтоб в идеале и по уму - править сырцы пппое сервера
). Ток ни к чему это...
короче:
1. делаешь разные конфиги пппд для разных серверов (это мб и пптп+пппое или 2 пппое или 2 пптп etc)
2. в одном конфиге пишешь например ipparam serv1 в другом ipparam serv2
3. один сервер запускаешь с одним конфигом другой - сдругим
4. под линухом цид заполняется как раз из параметра ipparam
5. в настройках клиентов делаешь привязку к цид (serv1 или serv2)
6. радуясь жизни идёшь за пивом (для меня
)
Добавлено: Вт июл 29, 2008 1:40 am
yes
ran писал(а):Если CID=любому_МАК, то это PPPoE-клиент
чтоб под линухом с пппое был цид=мак эт тебе ещё весьма и весьма подолбаться придётся (чтоб в идеале и по уму - править сырцы пппое сервера
). Ток ни к чему это...
Стоп, а это уже лучше, если CID <> '', то это значит PPTPD, так?
А теперь вопрос, можно ли в abills сделать так, типа фильтрация, если CID == '172.26.2x.x', то пускаем, иначе нет
и
CID == '172.26.3x.x', то пускаем, иначе нет
2. в одном конфиге пишешь например ipparam serv1 в другом ipparam serv2
5. в настройках клиентов делаешь привязку к цид (serv1 или serv2)
гм, serv1 - это просто имя?
Я вот в инете посмотрел описание данного параметра, так там этот параметр вообще для другой цели.
цитирую комментарий
# TAG: noipparam
#
# Запрещает передачу IP клиента в PPP,
# что в противном случае делается по умолчанию.
#
noipparam
Добавлено: Вт июл 29, 2008 3:58 am
yes
что-то сильно затупил я, пора отпуск брать
Что сделал, прописал в файлике
/etc/ppp/pppoe-server-options строчку
и в файлике
/etc/ppp/options.pptpd
Затем в настройках клиента в поле CID прописал соответственно "PPPoE".
Через PPPoE пускает, а через PPTPD.
С.П.А.С.И.Б.О.!!!
И еще один вопрос на засыпку, чтобы не прописывать каждому
CID можно ли в группе?
Добавлено: Вт июл 29, 2008 5:40 am
ran
Стоп, а это уже лучше, если CID <> '', то это значит PPTPD, так?
нет, просто пптпд в иппарам передаёт ип клиента, который потом и попадает в цид
но если в конфиге задать иппарам жёстко - то
это в цид и ппопадёт
гм, serv1 - это просто имя?
любая строка, как писал выше
оно и попадёт в цид. Судя по последнему посту ты уже и сам понял
И еще один вопрос на засыпку, чтобы не прописывать каждому CID можно ли в группе?
если честно (положа руку на яй... ой... сердце), то что я тебе предложил, я сам лично не пробовал... просто прикинул что должно быть именно так... так что экспериметируй