Дополнительные IP-адреса
- Mike
- Сообщения: 45
- Зарегистрирован: Чт фев 03, 2005 19:14
- Откуда: Московская обл., г. Фрязино
- Контактная информация:
Дополнительные IP-адреса
Кто пробовал это?
Оно работает?
Я прописал пользователю дополнительный ip, но трафик по этому ip к нему не записывается.
Оно работает?
Я прописал пользователю дополнительный ip, но трафик по этому ip к нему не записывается.
-
- Сообщения: 131
- Зарегистрирован: Ср авг 10, 2005 21:32
- Откуда: Москва
-
- Сообщения: 131
- Зарегистрирован: Ср авг 10, 2005 21:32
- Откуда: Москва
Ну, не знаю, кто для чего используется, а у меня из них Radius выдает адреса пользователям, если на одном логине несколько адресов прописано. Через основное поле ip-адреса открывается доступ на firewall'е, а в дополнительных - адреса для радиуса...Mike писал(а):Для чего вообще используется эти Дополнительные IP-адреса в UTM 4 ?
Обрисуй плиз схему, как ты правилом для основного адреса рубишь инет, а пользователю выдаешь другой по RADIUS... что то не могу сообразить.Skylord писал(а):Ну, не знаю, кто для чего используется, а у меня из них Radius выдает адреса пользователям, если на одном логине несколько адресов прописано. Через основное поле ip-адреса открывается доступ на firewall'е, а в дополнительных - адреса для радиуса...Mike писал(а):Для чего вообще используется эти Дополнительные IP-адреса в UTM 4 ?
- Mike
- Сообщения: 45
- Зарегистрирован: Чт фев 03, 2005 19:14
- Откуда: Московская обл., г. Фрязино
- Контактная информация:
Все просто.
Поле ip имеет значение 172.16.32.100 192.168.32.100.
Радиус делает запрос
authorize_check_query = " \
SELECT users.id, users.login, 'Password', users.password, ':=' \
FROM users \
WHERE BINARY users.login='%{SQL-User-Name}' \
AND users.block='0' \
AND users.radius_attr=%{NAS-Identifier}' \
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
AND users.tariff<>'18'"
И все. Пользователю дается ip 172.16.32.100
Поле ip имеет значение 172.16.32.100 192.168.32.100.
Радиус делает запрос
authorize_check_query = " \
SELECT users.id, users.login, 'Password', users.password, ':=' \
FROM users \
WHERE BINARY users.login='%{SQL-User-Name}' \
AND users.block='0' \
AND users.radius_attr=%{NAS-Identifier}' \
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
AND users.tariff<>'18'"
И все. Пользователю дается ip 172.16.32.100
- Mike
- Сообщения: 45
- Зарегистрирован: Чт фев 03, 2005 19:14
- Откуда: Московская обл., г. Фрязино
- Контактная информация:
Нет я изначально стал выдавать пользователям ip.
У меня каждый пользователь в сети имеет ip адреса локальные (192.168.xxx.xxx) и эти ip адреса прописаны в договоре.
В базу храниться ip для выделения VPN и IP локальный.
172.16.xxx1.xxx2 192.168.xxx1.xxx2.
Если пользователю нужен внешний ip адрес то храниться так.
xxx.xxx.xxx.xxx 192.168.xxx1.xxx2 (где xxx.xxx.xxx.xx это внешний, нормальный Интернет ip).
Пользователь устанавливает VPN подключение к серверу VPN.
Сервер VPN отправляет на радиус логин пользователя, пароль, ip адрес с которого подключается.
Радиус проверяет все по базе и выдает, что пользователь может подключиться. Также радиус выдает ip записанный в базе mysql.
У пользователя появляется VPN соединение и в зависимости от того какой ip он использует («Прямой Интернетовский» или локальны) происходит доступ в Интернет через NAT или на прямую.
У меня каждый пользователь в сети имеет ip адреса локальные (192.168.xxx.xxx) и эти ip адреса прописаны в договоре.
В базу храниться ip для выделения VPN и IP локальный.
172.16.xxx1.xxx2 192.168.xxx1.xxx2.
Если пользователю нужен внешний ip адрес то храниться так.
xxx.xxx.xxx.xxx 192.168.xxx1.xxx2 (где xxx.xxx.xxx.xx это внешний, нормальный Интернет ip).
Пользователь устанавливает VPN подключение к серверу VPN.
Сервер VPN отправляет на радиус логин пользователя, пароль, ip адрес с которого подключается.
Радиус проверяет все по базе и выдает, что пользователь может подключиться. Также радиус выдает ip записанный в базе mysql.
У пользователя появляется VPN соединение и в зависимости от того какой ip он использует («Прямой Интернетовский» или локальны) происходит доступ в Интернет через NAT или на прямую.
кстати вот еще... а внутренний ип используешь для чего? для обсчета локального траффика?Mike писал(а):Нет я изначально стал выдавать пользователям ip.
У меня каждый пользователь в сети имеет ip адреса локальные (192.168.xxx.xxx) и эти ip адреса прописаны в договоре.
В базу храниться ip для выделения VPN и IP локальный.
172.16.xxx1.xxx2 192.168.xxx1.xxx2.
Если пользователю нужен внешний ip адрес то храниться так.
xxx.xxx.xxx.xxx 192.168.xxx1.xxx2 (где xxx.xxx.xxx.xx это внешний, нормальный Интернет ip).
и еще вот эти строки у тебя в конфиге sql поясни плиз если не сложно.
AND users.radius_attr=%{NAS-Identifier}' \
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
- Mike
- Сообщения: 45
- Зарегистрирован: Чт фев 03, 2005 19:14
- Откуда: Московская обл., г. Фрязино
- Контактная информация:
Внутренний ip используется больше для работы пользователя внутри локальной сети.
А ip серии 172.16 чтобы не конфликтовали VPN и локальная сеть.
AND users.radius_attr=%{NAS-Identifier}' \
Сервер VPN передает радиусу на какой сервер VPN они подключаются. Если Вы используете несколько серверов VPN то можно управлять пользователями.
Скадем пользователям с A-B разрешить соединяться с сервером VPN1, а пользователя с С-Д разрешить соединяться с сервером VPN2.
Сейчас у меня один серер и в принципе этот параметр не требуется.
К примеру у меня последний раз он применялся когда я тестировал новый сервер VPN. Я работникам прописал, правильный NAS и они полги подключиться только к тестируемому серверу.
Но в то время обычные пользователи не могли подключиться к тестируемому серверу.
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
Это просто запросы mysql.
К примеру:
А ip серии 172.16 чтобы не конфликтовали VPN и локальная сеть.
AND users.radius_attr=%{NAS-Identifier}' \
Сервер VPN передает радиусу на какой сервер VPN они подключаются. Если Вы используете несколько серверов VPN то можно управлять пользователями.
Скадем пользователям с A-B разрешить соединяться с сервером VPN1, а пользователя с С-Д разрешить соединяться с сервером VPN2.
Сейчас у меня один серер и в принципе этот параметр не требуется.
К примеру у меня последний раз он применялся когда я тестировал новый сервер VPN. Я работникам прописал, правильный NAS и они полги подключиться только к тестируемому серверу.
Но в то время обычные пользователи не могли подключиться к тестируемому серверу.
AND SUBSTRING_INDEX(TRIM(users.ip), ' ', -1)='%{NAS-IP-Address}' \
Это просто запросы mysql.
К примеру:
Код: Выделить всё
mysql> select id, ip from users where id='5555';
+------+----------------------------+
| id | ip |
+------+----------------------------+
| 5555 | 172.16.66.85 192.168.66.85 |
+------+----------------------------+
1 row in set (0,00 sec)
mysql>
Код: Выделить всё
mysql> select id, SUBSTRING_INDEX(TRIM(ip), ' ', -1) AS local_ip from users where id='5555';
+------+---------------+
| id | local_ip |
+------+---------------+
| 5555 | 192.168.66.85 |
+------+---------------+
1 row in set (0,00 sec)
mysql> select id, SUBSTRING_INDEX(TRIM(ip), ' ', 1) AS internet_ip from users where id='5555';
+------+--------------+
| id | internet_ip |
+------+--------------+
| 5555 | 172.16.66.85 |
+------+--------------+
1 row in set (0,00 sec)
mysql>