Может, кому нибудь поможет, как я настроил DFL-700 и MS IAS. Задача была доступ из Интернета в локальную сеть.
IAS в моём случае могли быть два способа доступа:
1) непосредственно проверка пользователя на странице DFL c целью получения, каких либо разрешений
2) проверка пользователя при подключении клиента к серверам PPTP L2TP и IPSec
1) Первый случай работает при стандартных настройках IAS но только при PAP аутентификации между DFL и IAS.
В настройках политики IAS на первой странице ставим группы которым разрешен доступ и ещё дополнительный признак, по которому будет применяться именно эта политика (это нужно когда политик для разных устройств) я добавил Client-Friendly-Name и там прописал то имя устройства которое задал в настройках Radius Client.
2) При доступе клиентов по VPN к встроенным в DFL серверам(PPTP и L2TP) все также как в первом случае, но проходит аутентификация CHAP между DFL и IAS, но есть ряд моментов.
Первое надо отключить галку в настройках Firewall -> Policy Allow all VPN traffic: internal->VPN, VPN->internal and VPN->VPN
тогда для сервера VPN(PPTP или L2TP) можно будет задавать отдельные разрешения.
Настройки политик едины для всех клиентов подключающихся к одному VPN серверу. Если надо для разных пользователей разные политики доступа, то надо заводить несколько VPN серверов или для одного пользователя прописывать разрешения в правилах.
При прописывании политик, например для PPTP -> LAN можно разрешить в IAS доступ определённой группе, а уже в правилах задать правила на основе Логинов. Соответственно в правиле PPTP -> LAN пишется в ... Users/Groups: пользователь USER1, а в качестве
Destination Nets: нужная сеть и сервис. Таким способом можно гибко настроить права доступа. Но есть два момента login распознается только в случае если имя и пароль были введены без доменного префикса и нельзя использовать группы только логины введенные через запятую..
Использовать первый способ я не стал из-за недостаточной защищенности (протокол PAP) а вот второй успешно эксплуатируеться.
Хочется отметить недостатки DFL-700.
Во первых нельзя настроить лог чтобы он писал события с соответствующих правил и интерфейсов. Или все задропленные пакеты или все пакеты через DFL или ничего. очень неудобно.
Во вторых не воспринимаються группы из MS AD.
Нельзя настроить статистику активности по VPN
очень помогла утилита
http://www.deepsoftware.com/iasviewer/ она даже в бесплатной версии даёт хорошую статистику по IAS.
Вход
Регистрация
FAQ
Поиск
С IAS не сталкивался.