Друзья, всем привет.
Есть у меня Windows Server 2016 с NPS (RADIUS) для l2tp клиентов Микротика.
На винде у меня сделано скажем две политики: для админов и для пользователей и добавлено два клиента - микротик с разными secret.
Могу ли я как-то сделать так, чтобы к админам применялся один профиль, а к пользователям другой? В L2TP server я могу указать только один профиль. Мне это нужно, чтобы администраторы и пользователи попадали в разные пулы адресов.
Пока что ничего не смог придумать кроме как заюзать еще один тип сервера? Например pptp...
L2TP с использованием RADIUS, разные пулы, возможно ли?
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Для админов свой профиль создать, для клиентов второй профиль. В каждом профиле указать свой пул.
-
- Сообщения: 125
- Зарегистрирован: 07 май 2013, 10:44
Я именно так и хотел, но для L2TP сервера можно указать только 1 профиль. Вот в чем загвоздка.
И более того, для клиента тоже :(
Я даже пробовал "забиндить" клиента, с помощью L2TP Server Binding, но... там невозможно выбрать профиль.
И более того, для клиента тоже :(
Я даже пробовал "забиндить" клиента, с помощью L2TP Server Binding, но... там невозможно выбрать профиль.
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Путаете с дефолтным в настройках сервера, бинды для другого нужны. Создаем нужные прифили с пулами, далее к секретам првязываете нужные профили.
-
- Сообщения: 125
- Зарегистрирован: 07 май 2013, 10:44
Спасибо!
Действительно в микротах настройка настолько бывает неявная... но спасибо!
Я уже сделал, по другому. Забиндил нужные учетки и объединил их в интерфейс-лист.
Уже от него отталкивался...
Но спасибо большое, я этого не знал.
Действительно в микротах настройка настолько бывает неявная... но спасибо!
Я уже сделал, по другому. Забиндил нужные учетки и объединил их в интерфейс-лист.
Уже от него отталкивался...
Но спасибо большое, я этого не знал.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Не знаю как с RADIUS, но в обычном режиме адреса можно назначить в Secrets или Profiles, у меня есть объект где все пользователи со статическими адресами подключаются, на других объектах частично статикой.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 125
- Зарегистрирован: 07 май 2013, 10:44
Все-таки хотелось иметь единообразную схему подключения.
С биндами интерфейсов в принципе вышло хорошо. Попутно отловил неверную настройку радиуса, простой доменный пользователь (не админ) не хотел коннектиться и я долго ломал голову почему. Нашел, разобрался. Сейчас все пользователи домена могут авторизоваться по L2TP. Но только забинденные в интерфейсы учетки админов, объединенные в интерфейс-лист, могут ходить куда остальным нельзя.
С интерфейс-листами правда чуть менее удобно, чем с адрес-листами (как я хотел изначально, выдавая разные пулы), но решаемо. К примеру src-nat или маскарадинг в административный vlan пришлось реализовать с помощью маркировки пакетов, приходящих с админского интерфейс-листа.
С биндами интерфейсов в принципе вышло хорошо. Попутно отловил неверную настройку радиуса, простой доменный пользователь (не админ) не хотел коннектиться и я долго ломал голову почему. Нашел, разобрался. Сейчас все пользователи домена могут авторизоваться по L2TP. Но только забинденные в интерфейсы учетки админов, объединенные в интерфейс-лист, могут ходить куда остальным нельзя.
С интерфейс-листами правда чуть менее удобно, чем с адрес-листами (как я хотел изначально, выдавая разные пулы), но решаемо. К примеру src-nat или маскарадинг в административный vlan пришлось реализовать с помощью маркировки пакетов, приходящих с админского интерфейс-листа.