[ sveti sava @ 26.05.2011. 18:01 ] @
Da li je na Mikrotiku moguce namestiti da se korisnicima iz AD-a koji se konektuju na IPsec/L2TP VPN server koji je podignut na Mikrotiku (RouterOS 5.2) PPP profili dinamicki lepe (/ppp profile) u zavisnosti od korisnika koji se logovao a ne samo da postoji jedan profil koji je podesen u L2TP server (/interface l2tp-server server default-profile=...) delu konfiguracije kao default i koji se lepi svim korisnicima koji se autentifikuju preko RADIUSa (ovo je moguce konfigurisati na CISCO ASI preko RADIUS class atributa, gde se stavlja ime profila za atribut i ono se poredi sa imenima vpn profila u konfiguraciji ASE) ? Gledao sam po forumima ali su takva pitanja ostala ili neodgovorena ili je odgovor bio da tako nesto nije podrazano za RADIUS i PPP.

Svrha ovog pitanja je da imam PPP profile sa razlicitim filter atributima, jer hocu ako se nakaci jedan korisnik da ima pristup celoj mrezi, a neki drugi korisnik da ima ogranicim pristup samo jednom serveru na tom i tom portu...

Vidim da se to moze podesiti za lokalne usere koji se prave u ppp secret bazi gde je pojedinacim userima moguce lepiti PPP profile jer postoji takav atribut (/ppp secret ... profile=...)



Hvala unapred!
[ acatheking @ 26.05.2011. 20:10 ] @
Hm, a sto ne napravis razliku u samoj RADIUS bazi, kreiranjem dve (ili koliko vec) grupa korisnika. Jedna grupa korisnika dobija adrese iz npr 192.168.1.x, druga iz 192.168.2.x i na MT kreiras odgovarajuce filtere na osnovu kojih kontrolises pristup mrezi?
[ sveti sava @ 26.05.2011. 20:34 ] @
Hvala na predlogu, odlicna ti je ideja ako vec ne moze sa PPP profilima. Ima li jos neki predlog ili jos bolje, da li ovo sa PPP profilima moze da proradi?
[ acatheking @ 29.05.2011. 18:04 ] @
Hm, teorijski gledano, RADIUS i ne bi mogao da vrati vrednost ppp profila, jer isti sadrzi vise informacija (local addr, remote addr, enkripcija, kompresija... ) Ne znam sto bi komplikovao sa tim i da postoji :)
[ sveti sava @ 30.05.2011. 15:30 ] @
@acatheking:

Mozda nisi pazljivo sve procitao, u ovom slucaju radius vraca samo vrednost class atributa (atribut br. 25) ASI/Mikrotiku (na radiusu napravim profile kojima podesim razlicite vrednosti class atributa), a zatim ASA uporedjuje tu vrednost koja je obican string i pokusava da matchuje sa imenom PPP/VPN profila. Ne vraca radius parametre (adrese, rute, sta god), vec samo vrednost class atributa (tj. ime profila u ovom slucaju). Cisco ASA zna sta da radi kada joj radius posalje class atribut, a pitanje je da li Mikrotik zna ili na neki nacin to moze da iskoristi. Uopste nije komplikovano, veruj mi, tri klika misem na radius serveru, a imas dinamicko dodeljivanje polisa userima na osnovu grupa kojima pripadaju, to sve iz AD-a naravno. Tako radi npr WebVPN na ASI.
[ Schmidt @ 31.05.2011. 09:40 ] @
Da li samo zelis da podesis access liste ili imas jos nesto?
Za access liste moze 100%, navedi da li treba jos nesto.
[ sveti sava @ 01.06.2011. 08:50 ] @
Za sad mi treba samo za access-liste, da ogranicim jednu grupu user-a na npr te i te servere (i portove na njima), drugoj grupi full pristup mrezi, trecoj nesto trece itd... A zanima me i da to podesim, cisto kao izazov :-)



Evo procitah na Mikrotik forumu, postoji radius atribut "Framed-Pool" :
Framed-Pool - IP pool name (on the router) from which to get IP address for the client. If Framed-IP-Address is specified, this attribute is ignored .

Izgleda je to to, probacu pa javljam. Ako neko ima preglode, primedbe, ideje, saljite :-) ! Hvala unapred !


Edit:

Pa ovo radi :-))))))).
Prvo sam probao i nije htelo, pa sam krenuo po www.google.com. Problem je bio u remote-address parametru koji je bio podesen za default profil. Znaci, da bi ovo radilo, bar na RouterOS 5.2, mora se skinuti remote-address iz default profila, i onda ce ruter dodeljivati klijentima adrese iz pool-a koji se zove isto kao pool iz radius atributa Framed-Pool, u suprotnom, dodeljuje adrese iz pool-a koji je definisan u remote-address parametru jer ocigledno on ima prioritet.

[Ovu poruku je menjao sveti sava dana 01.06.2011. u 10:49 GMT+1]

[Ovu poruku je menjao sveti sava dana 01.06.2011. u 10:49 GMT+1]