PPPoE и VPN на одном сервере. Используется один radiusclient
Есть 3 ethernet интерфейса
eth0 - Интернет
eth1 - PPPoE клиенты
eth2 - VPN клиенты
Как мне реализовать разграничение доступа, чтобы PPPoE клиент не смог бы подключиться по VPN?
Хотел два NAS'а сделать, но у меня он постоянно при подключении клиентов с разных интерфейсов выдает 127.0.0.1
PPPoE и VPN на одном сервере - разграничить доступ
а зачем ежли не секрет?Как мне реализовать разграничение доступа, чтобы PPPoE клиент не смог бы подключиться по VPN?
какая разница, через какой протокол подключился??? прошёл авторизацию - начит пущать нет начит нет... а одновременно и пптп и пппое сервера - дык это как 2 байта об асфальт 
ну а если уж нада ответ - пжалста
не назначать ип адрес на eth1 O_oeth1 - PPPoE клиенты
eth2 - VPN клиенты
Ну это как последний вариант.ran писал(а): ну а если уж нада ответ - пжалстане назначать ип адрес на eth1 O_oeth1 - PPPoE клиенты
eth2 - VPN клиенты
Мне просто хотелось понять структуру и возможности abills
Но я так понимаю, если "покапаться" в исходниках, то решение наверно найдется. просто спросил, чтоб не изобретать ь колесо.
А для чего, так это для того чтобы "корпоративную" подсеть направлять на по нужному маршруту, то есть чтоб сотрудники не могли из дома пользоваться рабочим инетом
Но NAS то у меня один.ran писал(а):это делается элементарно через абиллс привязкой усеров к соотв. нас, а не такими извращениямиА для чего, так это для того чтобы "корпоративную" подсеть направлять на по нужному маршруту, то есть чтоб сотрудники не могли из дома пользоваться рабочим инетом
Что то не догоняю, как через 1 radiusclient подымать 2 NAS
Но как я понимаю, ведь PPPoE и PPTP серверы отправляют запросы радиусу через radiusclient (он же NAS), если нет, то тыкните как это сделать, а то я с этой проблемой аж месяц кочую.ran писал(а):а причём здесь радиусклиент??? он жеж к радиуссерверу обращается, который тоже 1... а вот насов мб скоко угодноЧто то не догоняю, как через 1 radiusclient подымать 2 NAS
Гм, ну для начала к примеру у меня есть на одном сервере abills PPPoE и PPTPD сервера.ran писал(а):никакаой он ни нас - он ифейс для доступа к радиуссерверу. НАС в твоём случае это пппдradiusclient (он же NAS)как я тебя тыкну не зная твоей топологии и чего ты собсно хошь?тыкните как это сделать
PPPoE и PPTPD в конфигах прописано
Код: Выделить всё
plugin /usr/lib/pppd/2.4.4/radius.so
plugin /usr/lib/pppd/2.4.4/radattr.soPPPoE - тут только корпоративные клиенты
PPTPD - тут только коммерческие клиенты (в том числе и наши сотрудники)
И во вторых, у меня 2 канала интернета, и для каждой группы(то есть сервера PPTPD или PPPoE) использовать определенный канал.
Гм, проще бы все разнести, но у нас база клиентов максимум 100 чел, щас токо 20 чел. и разворачивать все это на нескольких сервером нерентабельно.
Можно как нить разграничивать по IP подсети?
1. в линухе предусмотрена маршрутизация на основе правил
2. по какому бы критерию ты не контролировал, откуда происходит доступ (ип или мак), никто не гарантирует тебя от спуфинга (проспуфить и то и другое и 5-классник сможет). Единственная гарантия - нормальная авторизация.
3. если есть у тебя вася пупкин - какая разница из дома он заходит или с работы? ну сделай в тарифном плане разную тарификацию/ограничение скорости в зависимости от времени суток/дня недели... ну или лимиты по времени/трафику выстави... возможностей в абиллсе масса
2. по какому бы критерию ты не контролировал, откуда происходит доступ (ип или мак), никто не гарантирует тебя от спуфинга (проспуфить и то и другое и 5-классник сможет). Единственная гарантия - нормальная авторизация.
3. если есть у тебя вася пупкин - какая разница из дома он заходит или с работы? ну сделай в тарифном плане разную тарификацию/ограничение скорости в зависимости от времени суток/дня недели... ну или лимиты по времени/трафику выстави... возможностей в абиллсе масса
это уже реализовал.ran писал(а):1. в линухе предусмотрена маршрутизация на основе правил
По критерию CID, но не по ip-адресу по IP-подсети и МАСran писал(а): 2. по какому бы критерию ты не контролировал, откуда происходит доступ (ип или мак), никто не гарантирует тебя от спуфинга (проспуфить и то и другое и 5-классник сможет). Единственная гарантия - нормальная авторизация.
Если CID=любому_МАК, то это PPPoE-клиент, иначе это PPTPD-клиент.
Как вариант подойдет.ran писал(а): 3. если есть у тебя вася пупкин - какая разница из дома он заходит или с работы? ну сделай в тарифном плане разную тарификацию/ограничение скорости в зависимости от времени суток/дня недели... ну или лимиты по времени/трафику выстави... возможностей в абиллсе масса
А вот как сделать так, чтоб у PPTPD был NAS отличный от PPPoE?
чтоб под линухом с пппое был цид=мак эт тебе ещё весьма и весьма подолбаться придётся (чтоб в идеале и по уму - править сырцы пппое сервераЕсли CID=любому_МАК, то это PPPoE-клиент
). Ток ни к чему это... короче:
1. делаешь разные конфиги пппд для разных серверов (это мб и пптп+пппое или 2 пппое или 2 пптп etc)
2. в одном конфиге пишешь например ipparam serv1 в другом ipparam serv2
3. один сервер запускаешь с одним конфигом другой - сдругим
4. под линухом цид заполняется как раз из параметра ipparam
5. в настройках клиентов делаешь привязку к цид (serv1 или serv2)
6. радуясь жизни идёшь за пивом (для меня
)Стоп, а это уже лучше, если CID <> '', то это значит PPTPD, так?ran писал(а):чтоб под линухом с пппое был цид=мак эт тебе ещё весьма и весьма подолбаться придётся (чтоб в идеале и по уму - править сырцы пппое сервераЕсли CID=любому_МАК, то это PPPoE-клиент
А теперь вопрос, можно ли в abills сделать так, типа фильтрация, если CID == '172.26.2x.x', то пускаем, иначе нет
и
CID == '172.26.3x.x', то пускаем, иначе нет
гм, serv1 - это просто имя?2. в одном конфиге пишешь например ipparam serv1 в другом ipparam serv2
5. в настройках клиентов делаешь привязку к цид (serv1 или serv2)
Я вот в инете посмотрел описание данного параметра, так там этот параметр вообще для другой цели.
цитирую комментарий
# TAG: noipparam
#
# Запрещает передачу IP клиента в PPP,
# что в противном случае делается по умолчанию.
#
noipparam
что-то сильно затупил я, пора отпуск братьЧто сделал, прописал в файлике
/etc/ppp/pppoe-server-options строчку
Код: Выделить всё
ipparam PPPoE/etc/ppp/options.pptpd
Код: Выделить всё
ipparam PPTPDЧерез PPPoE пускает, а через PPTPD.
С.П.А.С.И.Б.О.!!!
И еще один вопрос на засыпку, чтобы не прописывать каждому CID можно ли в группе?
нет, просто пптпд в иппарам передаёт ип клиента, который потом и попадает в цидСтоп, а это уже лучше, если CID <> '', то это значит PPTPD, так?
но если в конфиге задать иппарам жёстко - то это в цид и ппопадётлюбая строка, как писал выше оно и попадёт в цид. Судя по последнему посту ты уже и сам понялгм, serv1 - это просто имя?
если честно (положа руку на яй... ой... сердце), то что я тебе предложил, я сам лично не пробовал... просто прикинул что должно быть именно так... так что экспериметируйИ еще один вопрос на засыпку, чтобы не прописывать каждому CID можно ли в группе?
