Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 00:05



Ответить на тему  [ Сообщений: 4 ] 
CISCO как PPTP Server для двух сетей 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 95
Всем привет!

Товарищи, интересует след. вопрос. Маршрутизатор CISCO 2811 имеет три (саб) интерфейса. Один - смотрит в интернет, два других - в две разные пользовательские сети. Возможно ли сделать так, что бы пользователь подключался к маршрутизатору используя PPTP и в зависимости от логина попадал в ту или другую внутреннюю сеть.

Есть возможность создать на маршрутизаторе доп. сабинтерфейс и повесить на него другой белый адрес с другой подсети. Это я к тому, что была такая идея: подключаюсь на один реальный адрес - попадаю в сеть №1, на второй - попадаю в сеть №2.

Это в принцыпи решаемо?


11 янв 2012, 23:26
Профиль

Зарегистрирован: 16 дек 2008, 08:44
Сообщения: 604
Я так чувствую, что тему про привязывание логина к конкретному пулу адресов надо уже выводить в FAQ и вешать сверху отдельной темой.


13 янв 2012, 00:49
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 95
Проверка логина и пароля - процесс аутентификации, выдача адреса - авторизация.

Привожу рабочий пример для след. случая:
1) пользователь user1 подключаясь получает адрес из пула VPN-POOL-1;
1) пользователь user2 подключаясь получает адрес из пула VPN-POOL-2;
1) пользователь user3 подключаясь получает статический адрес.

В данном примере аутентификация и авторизация происходит непосредственно на маршрутизаторе (в данном примере 2811). Сейчас у самих это реализовано с помощью ACS TACACS+. В помощью ACS очень удобно управлять пользователями, выдавать адреса и т.д.

Итак, часть конфига:
Код:
!
!
aaa authentication ppp VPN local
aaa authorization network VPN local
!
aaa attribute list ATTR-LIST-1
 attribute type addr-pool "VPN-POOL-1" service ppp protocol ip
!
aaa attribute list ATTR-LIST-2
 attribute type addr-pool "VPN-POOL-2" service ppp protocol ip
!
aaa attribute list ATTR-LIST-2
 attribute type addr 1.1.1.1 service ppp protocol ip
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
username user1 password user1
username user1 aaa attribute list ATTR-LIST-1
username user2 password user2
username user2 aaa attribute list ATTR-LIST-2
username user3 password user3
username user3 aaa attribute list ATTR-LIST-3
!
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 no peer default ip address
 no keepalive
 ppp encrypt mppe auto
 ppp authentication chap ms-chap ms-chap-v2 VPN
 ppp authorization VPN
!
!
ip local pool VPN-POOL-1 10.20.4.100 10.20.4.110
ip local pool VPN-POOL-2 10.11.11.21 10.11.11.25
!


Пользователям выдаем разные адреса для разграничения доступа к тем или иным ресурсам. Реализуем с помощью ACL.


13 янв 2012, 10:56
Профиль

Зарегистрирован: 01 апр 2014, 20:46
Сообщения: 45
сорян за некропост. сейчас все настроил по данной инструкции. единственное что пришлось заменить

aaa attribute list ATTR-LIST-2
attribute type addr 1.1.1.1 service ppp protocol ip

на

aaa attribute list ATTR-LIST-3
attribute type addr 1.1.1.1 service ppp protocol ip


ну чтобы соотвтествовало тому что в остальном примере.


04 май 2020, 22:43
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB