Задача такая.. есть скажем 20-30 пользователей которые подключаются к ESR-1000 по тунелю l2tp или Openvpn. Н
1. Нужно в сислоге видеть кто подключился. Важно индифицировать конкретного пользователя.
2. Нужно для каждого пользователя сделать что-то типа аксес листа. То есть список внутренних IP которые должны быть доступны для данного пользователя. Остальные адреса заблокировать. И для всех пользователей этот список разный.
Сейчас вижу что только вариант для каждого сознавать свою конфигурацию сервера, типа
remote-access l2tp remote-ac-user1
authentication mode local
local-address ip-address 10.10.10.1
remote-address address-range 10.10.10.100
outside-address ip-address 1.1.1.1
dns-servers object-group l2tp_dns
security-zone vpn
ipsec authentication method pre-shared-key
ipsec authentication pre-shared-key ascii-text encrypted w32345
username user1
password ascii-text encrypted 3412343
enable
exit
enable
exit
тогда в сислоге проваливается событие :
06-25-2018 16:54:29 Daemon.Debug 192.168.10.4 2018-06-25T16:47:14+03:00 "10.10.10.1:10.10.10.100"
06-25-2018 16:54:29 Daemon.Notice 192.168.10.4 2018-06-25T16:47:14+03:00 Connection established to 1.1.1.123, 1701. Local: 43742, Remote: 14 (ref=0/0). LNS session is 'default'
Но такое решение ну совсем кастыль.... Может есть какое-то более разумное решение?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
VPN клиенты и ограничения доступа.
Re: VPN клиенты и ограничения доступа.
Нашли решение?
Re: VPN клиенты и ограничения доступа.
В операторских масштабах такое решается за счёт RADIUS или TACACS. Слово RADIUS в документации к ESR встречается, но на сколько там всё реализовано, не вчитывался. По идее, RADIUS-сервер в ответном пакете на NAS (в данном случае предполагается, что NAS - это ESR) может настроить всю сессию для клиента. И фильтры, и скорость, и что там ещё может быть. Но всё зависит от полноты реализации на NAS.
Сергей.
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей