D-Link • Просмотр темы - теоретика: спаривание RADIUS и DFL аля Cisco-AVPair

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

теоретика: спаривание RADIUS и DFL аля Cisco-AVPair

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

terrible

Заголовок сообщения: теоретика: спаривание RADIUS и DFL аля Cisco-AVPair

Добавлено: Чт апр 02, 2009 20:48

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Можно ли с радиуса сунуть в DFL-ку что-то похожее на Cisco-AV Pair, чтобы при авторизации VPN клиента DFL-ка бы рулила правилами/политиками?

Ведь поднимается тоннель, значит, чисто теоретически, на него можно применить политику, или я ошибаюсь?

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Чт апр 02, 2009 21:19

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Вообще говоря, DFL все-таки устройство преимущественно 3 уровня. Как вариант (наверное, простенький) можно попробовать назначать IP на основании юзера и потом по этим IP рулить правилами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Чт апр 02, 2009 21:42

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Я понимаю, что это устройства 3-го уровня. IP на основании юзера назначать не хочется, т.к. их тысячи. К тому-же радиус у меня слегонца дибильный, и нормально работать с ним можно только на основе групповых политик.

Изменю вопрос на более простой:

Что может проглотить DFL-ка от радиус сервера?
Какие параметры можно кинуть в неё, чтобы она соответствующим образом на них среагировала?

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 09:26

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

я не знаю что есть Cisco AV pair, но исходя из манула по радиус протоколу ничего акромя Accept or Reject получить нельзя, не потому что длинк не может, а потому что сам радиус тока для этого и предзначен - т.е проверить в базе и авторизовать или нет.

Цитата:

The RADIUS protocol is based on a client/server architecture. The D-Link Firewall acts as the client
of the RADIUS server, creating and sending requests to a dedicated server(s). In RADIUS
terminology the firewall acts as the Network Access Server (NAS). For user authentication, the
RADIUS server receives the requests, verifies the user's information by consulting its database, and
returns either an "ACCEPT" or "REJECT" decision to the requested client.

тока по IP видимо , если говорить на уровне DFL.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 12:01

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

вышеописанное - тупо порядок работы радиус клиента и сервера.
Я хочу добиться следующего: при авторизации на радиусе, радиус отправляет на радиус-клиент ответ, типа всё ок, пропускай + дополнительные параметры, которые может обработать DFL

Мне нужны параметры, чтобы согласно ответам радиуса определённый клиент работал бы по определённым политикам/правилам.

Тупо забивать IP адреса на клиентов нереально.

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 12:18

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

terrible писал(а):

Я сомневаюсь что он поймет что-то кроме Accepr\Reject., иначе это было бы описано в manual.
А какие именно доп. параметры вы хотите передавать? аля динамические роуты или динамические правила доступа для разных пользователей?
Это ведь в любом случае "гдето" надо описывать\задвать, т.е тоже самое что делать по IP на самом DFL, ну не тоже самое НО в любом случае работа.

из идей тока запускать (с радиусака или гдето там)койнить скрипт который по SSH будет как-то править настройки DFL )))..вообщем наглухо имхо )))

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 12:59

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

кстати про радиус..., вы мне как-то пытались помочь в этой теме:
viewtopic.php?t=69933&highlight=RADIUS
дык вот у меня до сих пор нули считает DFL, последний совет Васильева Сергея про логирование правил ни к чему не привел, точнее "включать все" я не пробовла т.к 99% процентов к L2tp отношения не имеют. Собственно вопрос!, логировать надо те правила которые разрешают трафик с PPTP(L2TP)_интерфейса в локальную сеть и назад - т.е именно по ним трафф ссчитается?, или я чего-то не понимаю?

У меня на логе стоят 2 эти правила:

Код:

4  L2TP_Over_IPSec_IN  Allow  L2TP_Over_IPSec  Roaming_IP_POOL  lan3  lan3net  my_services 
5  L2TP_Over_IPSec_OUT  Allow  lan3  lan3net  L2TP_Over_IPSec  Roaming_IP_POOL  my_services 

заранее спасибо.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 13:21

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

я бы попробовал логировать все правила, авось результат будет.

Боюсь брать эту железку, пока такие вопросы не будут окончательно разрешены и опубликованы. Придётся копить на кошку....

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 13:26

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

terrible писал(а):

ээээ..дык у вас нет DFLки? ...

а про логи..., там сейчас стока правил...да и я пробовал на голом новом дфл тока чисто сервер подымать и ничего больше, там аналогично было по нулям, деволтовые 4 правила логировалиьс полностью.... попробую конечно ещё разок, но видимо чёто нето у меня =(

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пн апр 06, 2009 18:05

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Ну как, получилось что-нибудь сделать?

Вернуться наверх

MTRX

Заголовок сообщения:

Добавлено: Пн апр 06, 2009 18:27

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Cranium писал(а):

ээээ..дык у вас нет DFLки? ...

2 terrible:
Можно воспользоваться возможностью временно (притом бесплатно) поюзать железку: http://www.dlink.ru/ru/arts/9.html
Впрочем, ты наверняка про это знаешь.
Именно так мы сделали прежде чем взять на работу DFL-1600.
Отдельное спасибо Станиславу Козлову (ДЛинк) за технические консультации.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Вт апр 07, 2009 08:26

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

terrible писал(а):

Ну как, получилось что-нибудь сделать?

без шансов =(
на тестовом DFL поднял правило :
any all-net | any all-net all-seriveces , включил логирование.
теперь всё проходит по нему , подключаюсь к L2Tp или PPTP, заливаю 200метров, отключаюсь, заглядываю в лог:

Код:

2009-04-07
9:19:04 Notice USERAUTH
3700008   
 172.23.1.6
 
 accounting_stop
 
bytessent=0 bytesrecv=0 packetssent=0 packetsrecv=0 gigawrapsent=0 gigawraprecv=0 sestime=108 authrule=L2TP_Over_IPSec authagent=PPP authevent=accounting username="test"  

=\ я уже хз, мож чего не так с Radius'ом..., хотя он то тут причем, он тока данные получать должен а ему нули отдают...

причем самая жопа это то что мне кровь из носу надо VPN трафф в этом месяце посчитать...задница начинает дымится imo ))))))))

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Вт апр 07, 2009 13:50

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

Cranium писал(а):

terrible писал(а):

Ну как, получилось что-нибудь сделать?

Код:

2009-04-07
9:19:04 Notice USERAUTH
3700008   
 172.23.1.6
 
 accounting_stop
 
bytessent=0 bytesrecv=0 packetssent=0 packetsrecv=0 gigawrapsent=0 gigawraprecv=0 sestime=108 authrule=L2TP_Over_IPSec authagent=PPP authevent=accounting username="test"  

Незабываем включить логирование правила. тогда DFL будет возращать корректную информацию.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Вт апр 07, 2009 14:20

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

Sergey Vasiliev писал(а):

Cranium писал(а):

terrible писал(а):

Ну как, получилось что-нибудь сделать?

Код:

2009-04-07
9:19:04 Notice USERAUTH
3700008   
 172.23.1.6
 
 accounting_stop
 
bytessent=0 bytesrecv=0 packetssent=0 packetsrecv=0 gigawrapsent=0 gigawraprecv=0 sestime=108 authrule=L2TP_Over_IPSec authagent=PPP authevent=accounting username="test"  

Незабываем включить логирование правила. тогда DFL будет возращать корректную информацию.

Cranium писал(а):

на тестовом DFL поднял правило :
any all-net | any all-net all-seriveces , включил логирование.

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Вт апр 07, 2009 14:38

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Cranium писал(а):

any all-net | any all-net all-seriveces , включил логирование.
теперь всё проходит по нему , подключаюсь к L2Tp или PPTP, заливаю 200метров, отключаюсь, заглядываю в лог:

Код:

2009-04-07
9:19:04 Notice USERAUTH
3700008   
 172.23.1.6
 
 accounting_stop
 
bytessent=0 bytesrecv=0 packetssent=0 packetsrecv=0 gigawrapsent=0 gigawraprecv=0 sestime=108 authrule=L2TP_Over_IPSec authagent=PPP authevent=accounting username="test"  

Что конкретноза правило? Какое действие? Вы не думаете что им вы все завалили вообще на устройстве?
Логгировать надо конкретные разрешающие NAT/Allow правила
А вообще - лог, который вы привели - радиусный. Логгирование порождает CONN логи

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 359

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения