The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
cisco L2TP server + IPSec + radius, !*! Roger, 29-Янв-19, 17:50  [смотреть все]
Добрый день.

Настраиваю связку cisco L2TP + IPSec + radius + AD.
Соединение устанавливается, пользователь авторизуется через AD.
Чтобы не гонять весь трафик от клиентов через офис, хочу отдать маршруты до внутренних сетей и повесить ACL на пользователей.
Машруты отдаю через DHCP на циске:

ip dhcp pool L2TP_USERS
network 192.168.92.0 255.255.255.0
option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1

маршруты прописываются, трафик ходит.

Завожу в радиусе атрибут Cisco-AV-Pair:
ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1

Подключаюсь, acl применяется, а вот маршруты больше не прилетают.

Пните в нужную сторону.

Ответить | Сообщить модератору
  • cisco L2TP server + IPSec + radius, !*! Ann none, 20:41 , 29-Янв-19 (1) +1
    >[оверквотинг удален]
    > Машруты отдаю через DHCP на циске:
    > ip dhcp pool L2TP_USERS
    >  network 192.168.92.0 255.255.255.0
    >  option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
    > маршруты прописываются, трафик ходит.
    > Завожу в радиусе атрибут Cisco-AV-Pair:
    > ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
    > ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
    > Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
    > Пните в нужную сторону.

    dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)

    Ответить | Сообщить модератору
    • cisco L2TP server + IPSec + radius, !*! Roger, 17:31 , 30-Янв-19 (2)
      >[оверквотинг удален]
      >> ip dhcp pool L2TP_USERS
      >>  network 192.168.92.0 255.255.255.0
      >>  option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
      >> маршруты прописываются, трафик ходит.
      >> Завожу в радиусе атрибут Cisco-AV-Pair:
      >> ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
      >> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
      >> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
      >> Пните в нужную сторону.
      > dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)

      Да, добавление правил:

      ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67
      ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68

      решило проблему.

      Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище конечно.


      Ответить | Сообщить модератору
      • cisco L2TP server + IPSec + radius, !*! Ann none, 18:37 , 30-Янв-19 (3)
        >[оверквотинг удален]
        >>> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
        >>> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
        >>> Пните в нужную сторону.
        >> dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)
        > Да, добавление правил:
        > ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67
        > ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68
        > решило проблему.
        > Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище
        > конечно.

        ip клиент получает во время установки ppp соединения. а вот dhcp-запрос за остальными опциями уже потом поверху по широковещательному адресу.

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру