Дополнительные IP-адреса

Вопросы по UTM 3.0 и UTM 4.0 (поддержка прекращена)
Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Дополнительные IP-адреса

Сообщение Mike »

Кто пробовал это?
Оно работает?

Я прописал пользователю дополнительный ip, но трафик по этому ip к нему не записывается.

Instruktor
Сообщения: 131
Зарегистрирован: Ср авг 10, 2005 21:32
Откуда: Москва

Сообщение Instruktor »

Доп адрес ставь в том же поле, где и основной адрес, через пробел.

Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Сообщение Mike »

А как быть если мне нужно пользователю выделить целую подсеть. Скажем с маской 192 (62 ip адреса.)

Instruktor
Сообщения: 131
Зарегистрирован: Ср авг 10, 2005 21:32
Откуда: Москва

Сообщение Instruktor »

А вот х.з. :)
Не помню умеет ли такое четвёрка.

Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Сообщение Mike »

Я попробовал добавить пользователю дополнительный ip.
В traffic_netflow эти ip классифицируются как надо.
Но в тоже таблице uid стоит 0.

Получается, что netup_netflow не определяет какому пользователю принадлежать эти ip.

Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Сообщение Mike »

Для чего вообще используется эти Дополнительные IP-адреса в UTM 4 ?

Skylord
Сообщения: 263
Зарегистрирован: Пт фев 04, 2005 11:33

Сообщение Skylord »

Mike писал(а):Для чего вообще используется эти Дополнительные IP-адреса в UTM 4 ?
Ну, не знаю, кто для чего используется, а у меня из них Radius выдает адреса пользователям, если на одном логине несколько адресов прописано. Через основное поле ip-адреса открывается доступ на firewall'е, а в дополнительных - адреса для радиуса...

slaxor
Сообщения: 11
Зарегистрирован: Ср сен 19, 2007 13:07

Сообщение slaxor »

Skylord писал(а):
Mike писал(а):Для чего вообще используется эти Дополнительные IP-адреса в UTM 4 ?
Ну, не знаю, кто для чего используется, а у меня из них Radius выдает адреса пользователям, если на одном логине несколько адресов прописано. Через основное поле ip-адреса открывается доступ на firewall'е, а в дополнительных - адреса для радиуса...
Обрисуй плиз схему, как ты правилом для основного адреса рубишь инет, а пользователю выдаешь другой по RADIUS... что то не могу сообразить.

Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Сообщение Mike »

Все просто.
Поле ip имеет значение 172.16.32.100 192.168.32.100.
Радиус делает запрос
authorize_check_query = " \
SELECT users.id, users.login, 'Password', users.password, ':=' \
FROM users \
WHERE BINARY users.login='%{SQL-User-Name}' \
AND users.block='0' \
AND users.radius_attr=%{NAS-Identifier}' \
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
AND users.tariff<>'18'"

И все. Пользователю дается ip 172.16.32.100

slaxor
Сообщения: 11
Зарегистрирован: Ср сен 19, 2007 13:07

Сообщение slaxor »

спасибо.. но я немного не это спрашивал.. не про выборку из базы а про правила на фаэрволе.. т.е. получается что мы каждому клиенту дожны назначить конкретный ип адрес как в впн сети так и во внешней? ...а что с динамическими адресами никак нельзя работать? т.е без привязки логина к ип адресу.

Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Сообщение Mike »

Нет я изначально стал выдавать пользователям ip.
У меня каждый пользователь в сети имеет ip адреса локальные (192.168.xxx.xxx) и эти ip адреса прописаны в договоре.
В базу храниться ip для выделения VPN и IP локальный.
172.16.xxx1.xxx2 192.168.xxx1.xxx2.
Если пользователю нужен внешний ip адрес то храниться так.
xxx.xxx.xxx.xxx 192.168.xxx1.xxx2 (где xxx.xxx.xxx.xx это внешний, нормальный Интернет ip).

Пользователь устанавливает VPN подключение к серверу VPN.
Сервер VPN отправляет на радиус логин пользователя, пароль, ip адрес с которого подключается.
Радиус проверяет все по базе и выдает, что пользователь может подключиться. Также радиус выдает ip записанный в базе mysql.
У пользователя появляется VPN соединение и в зависимости от того какой ip он использует («Прямой Интернетовский» или локальны) происходит доступ в Интернет через NAT или на прямую.

slaxor
Сообщения: 11
Зарегистрирован: Ср сен 19, 2007 13:07

Сообщение slaxor »

все понял... значит такого функционала (без связки ип-логин) в утм 4 получается что нет. :) ...нигде не мог найти ответа на этот вопрос - теперь все стало понятно.

slaxor
Сообщения: 11
Зарегистрирован: Ср сен 19, 2007 13:07

Сообщение slaxor »

Mike писал(а):Нет я изначально стал выдавать пользователям ip.
У меня каждый пользователь в сети имеет ip адреса локальные (192.168.xxx.xxx) и эти ip адреса прописаны в договоре.
В базу храниться ip для выделения VPN и IP локальный.
172.16.xxx1.xxx2 192.168.xxx1.xxx2.
Если пользователю нужен внешний ip адрес то храниться так.
xxx.xxx.xxx.xxx 192.168.xxx1.xxx2 (где xxx.xxx.xxx.xx это внешний, нормальный Интернет ip).
кстати вот еще... а внутренний ип используешь для чего? для обсчета локального траффика?

и еще вот эти строки у тебя в конфиге sql поясни плиз если не сложно.

AND users.radius_attr=%{NAS-Identifier}' \
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \

Аватара пользователя
Mike
Сообщения: 45
Зарегистрирован: Чт фев 03, 2005 19:14
Откуда: Московская обл., г. Фрязино
Контактная информация:

Сообщение Mike »

Внутренний ip используется больше для работы пользователя внутри локальной сети.
А ip серии 172.16 чтобы не конфликтовали VPN и локальная сеть.


AND users.radius_attr=%{NAS-Identifier}' \
Сервер VPN передает радиусу на какой сервер VPN они подключаются. Если Вы используете несколько серверов VPN то можно управлять пользователями.
Скадем пользователям с A-B разрешить соединяться с сервером VPN1, а пользователя с С-Д разрешить соединяться с сервером VPN2.
Сейчас у меня один серер и в принципе этот параметр не требуется.

К примеру у меня последний раз он применялся когда я тестировал новый сервер VPN. Я работникам прописал, правильный NAS и они полги подключиться только к тестируемому серверу.
Но в то время обычные пользователи не могли подключиться к тестируемому серверу.

AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
Это просто запросы mysql.
К примеру:

Код: Выделить всё

mysql>  select id, ip from users where id='5555';
+------+----------------------------+
| id   | ip                         |
+------+----------------------------+
| 5555 | 172.16.66.85 192.168.66.85 |
+------+----------------------------+
1 row in set &#40;0,00 sec&#41;
mysql>

Код: Выделить всё

mysql> select id, SUBSTRING_INDEX&#40;TRIM&#40;ip&#41;, ' ', -1&#41; AS local_ip from users where id='5555';
+------+---------------+
| id   | local_ip      |
+------+---------------+
| 5555 | 192.168.66.85 |
+------+---------------+
1 row in set &#40;0,00 sec&#41;

mysql> select id, SUBSTRING_INDEX&#40;TRIM&#40;ip&#41;, ' ', 1&#41; AS internet_ip from users where id='5555';
+------+--------------+
| id   | internet_ip  |
+------+--------------+
| 5555 | 172.16.66.85 |
+------+--------------+
1 row in set &#40;0,00 sec&#41;

mysql>

slaxor
Сообщения: 11
Зарегистрирован: Ср сен 19, 2007 13:07

Сообщение slaxor »

все понятно.. пасиб :wink: для меня это пока новое поэтому страюсь вобрать себя как можно больше инфы...

Закрыто