Запрет покдлючение по PPP определенному логину и IP

Обсуждение ПО и его настройки
Ответить
djasup
Сообщения: 41
Зарегистрирован: 16 авг 2013, 10:35

Как с определенного IP (лучше даже IP+MAC), разрешить подключаться по PPP только по определенному secrets ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Radius использовать + user manager


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

помоему Caller-ID в Secrets указываете. в PPTP это IP адрес, в PPPOE это MAC


djasup
Сообщения: 41
Зарегистрирован: 16 авг 2013, 10:35

siml3x, вы правы озались
vqd, да придется заюзать radius и user manager, ато гибкости не достаточно


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а радиус (он же юзер манагер) даст вам гибкость? суть в том, что это всего лишь база данных, которая нужна для централизации, т.е. когда у вас много nas'ов и не хочется на каждой вбивать одни и те же "секреты".
просто протоколы pptp и pppoe позволяют передавать (сравнивать) только какой то один параметр. почитайте rfc к протоколам, там должно быть на эту тему.
как дикая идея. если используете подключения без шифрования, то можете попробовать использовать фаервол и его поле Content. попробуйте фильтровать пакеты авторизации от определенного хоста (mac+ip) и содержимого пакета, в котором будет передаваться login + password. я так никогда не делал.

upd:
ради интереса, решил попробовать. создал пользователя user1 и авторизовался по pptp:
1.jpg

правило сработало. дальше навесьте все параметры фильтра.

учтите, что если это какая то высоконагруженная система, то правила с фильтрацие по content дадут большую нагрузку на железку.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну тут однозначного решения то нет. Способов много, главное понять максимально эффективное решение задачи. Я бы допустим решал бы подобную задачу в связке тик + радиус + КД На тик нагрузки нет, а при помощи сетевых политик доступа можно вообще шикарно задачу обыграть.

К стати решение с фаерволом взял на заметку ;-)


Есть интересная задача и бюджет? http://mikrotik.site
Ответить