1 vpn логин - 1 сессия. Несколько NAS. Возможно?

_J_ · Сообщение **_J_** » Чт дек 25, 2008 00:14

Доброго времени суток.
Долго листал форум, но не нашел ответа на вопрос -
Возможно ли ограничить количество одновременных vpn-сессий для одного логина в схеме с двумя и более NASами?
Возможно ли сделать так, если сессия поднята для логина на первом NASе, то чтоб юзер с такими же логином и паролем не смог авторизоваться (именно авторизоваться - отказ соединения vpn 691 ошибка в виндовс) на любом другом NASе. Тоесть необходимо настроить сам utm-радиус на запрет одновременных заходов с одинаковым логином.
Во freeradius для этого есть параметр Simultaneous-Use, которому присваивается значение равное количеству одновременных сессий для логина, в моем случае она равна единичке.
Фильтрация по CID не вариант.
Спасибо.

Pulse · Сообщение **Pulse** » Чт дек 25, 2008 00:19

дык он вроде проверяет количество сессий.

Код: Выделить всё

?Debug &#58; Dec 24 23&#58;46&#58;20 AuthServer&#58; Dialup session limit&#58;1 session count&#58;0 for user&#58;user0331

AndrewE

## radius_auth_vap
## Description: If the value is set, authorization of blocked users, whose
## logins are set in IP traffic service link, is disallowed.
## Possible values: 1
## Default value: authorization is allowed
radius_auth_vap=1

Но вот что делать когда хочется поставить NN RADIUS серверов (один не справляется), то 1 знает что логин к нему законнектился, а остальные нет (т.е. фактически не смотрят таблицу биллинга на предмет открытых vpn сессий)

dwemer · Сообщение **dwemer** » Чт дек 25, 2008 09:13

AndrewE писал(а):## radius_auth_vap
## Description: If the value is set, authorization of blocked users, whose
## logins are set in IP traffic service link, is disallowed.
## Possible values: 1
## Default value: authorization is allowed
radius_auth_vap=1

Но вот что делать когда хочется поставить NN RADIUS серверов (один не справляется), то 1 знает что логин к нему законнектился, а остальные нет (т.е. фактически не смотрят таблицу биллинга на предмет открытых vpn сессий)

вроде как тут написано "если установлено значение, авторизация заблокированных пользователей запрещена"

в любом случае, у меня в конфиге "radius_auth_vap=1" , но авторизует под одним логином на разных NAS одновременно

пока allowed_cid спасает, но это не дело ..

_J_ · Сообщение **_J_** » Чт дек 25, 2008 10:02

Так есть ли аналог параметра Simultaneous-Use в радиусе от нетапа?
Пока вижу только 2 варианта решения ситуации:
1. Использование CID,
2. Выдавать статикой адрес, чтобы второй зашедший просто оказался с таким же адресом и работать не смог.

mikkey finn

если адрес оказался серым и натится NAS-ом, то видится только вариант - на насах вести таблицу чужих подключений.