The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"cisco L2TP server + IPSec + radius"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"cisco L2TP server + IPSec + radius"  +/
Сообщение от Rogeremail (??), 29-Янв-19, 17:50 
Добрый день.

Настраиваю связку cisco L2TP + IPSec + radius + AD.
Соединение устанавливается, пользователь авторизуется через AD.
Чтобы не гонять весь трафик от клиентов через офис, хочу отдать маршруты до внутренних сетей и повесить ACL на пользователей.
Машруты отдаю через DHCP на циске:

ip dhcp pool L2TP_USERS
network 192.168.92.0 255.255.255.0
option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1

маршруты прописываются, трафик ходит.

Завожу в радиусе атрибут Cisco-AV-Pair:
ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1

Подключаюсь, acl применяется, а вот маршруты больше не прилетают.

Пните в нужную сторону.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "cisco L2TP server + IPSec + radius"  +1 +/
Сообщение от Ann none (?), 29-Янв-19, 20:41 
>[оверквотинг удален]
> Машруты отдаю через DHCP на циске:
> ip dhcp pool L2TP_USERS
>  network 192.168.92.0 255.255.255.0
>  option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
> маршруты прописываются, трафик ходит.
> Завожу в радиусе атрибут Cisco-AV-Pair:
> ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
> Пните в нужную сторону.

dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco L2TP server + IPSec + radius"  +/
Сообщение от Rogeremail (??), 30-Янв-19, 17:31 
>[оверквотинг удален]
>> ip dhcp pool L2TP_USERS
>>  network 192.168.92.0 255.255.255.0
>>  option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
>> маршруты прописываются, трафик ходит.
>> Завожу в радиусе атрибут Cisco-AV-Pair:
>> ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
>> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
>> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
>> Пните в нужную сторону.
> dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)

Да, добавление правил:

ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67
ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68

решило проблему.

Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище конечно.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "cisco L2TP server + IPSec + radius"  +/
Сообщение от Ann none (?), 30-Янв-19, 18:37 
>[оверквотинг удален]
>>> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
>>> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
>>> Пните в нужную сторону.
>> dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)
> Да, добавление правил:
> ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67
> ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68
> решило проблему.
> Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище
> конечно.

ip клиент получает во время установки ppp соединения. а вот dhcp-запрос за остальными опциями уже потом поверху по широковещательному адресу.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру