LINUX.ORG.RU
ФорумAdmin

Распределение внених IP адресов по пользователям

 , ,


0

1

Всем доброго времени суток!

Имеем debian с несколькими внешними IP адресами. Задача пускать пользователей в инет под разными ip адресам, т.е. каждого под своим. Вижу решение через ssh тунели, только не знаю как «назначит» исходящий ip адрес на пользователя. Пользователи в одной подсети.

Если тебе нужно, чтобы одна группа пользователей выходила в мир с определенного внешнего ip, а другая - с другого, то пропиши для каждого ip адреса свое правило snat.

Пользователи должны получить постоянно один и тот же ИП.

Это в случае, если они постоянно работают за одним ПК. В случае если они могут работать за разными ПК, то тогда используй VPN, например openvpn.

Т.е. для выхода в интернет им нужно будет подключаться к openvpn.

И тогда в SNAT будешь указывать ip адрес клиента из VPN сети и назначать ему свой внешний IP.

Для простоты назначения внешнего IP группе пользователей каждой группе выделяй ip адреса в своей VPN подсети.

Допустим сеть ВПН 192.168.5.0/24

Можно разбить ее на подсети с маской /28 в каждой будет по 14 ip адресов.

При чем клиенты будут получать ip адреса с маской /24.

Но сделай диапазоны

192.168.5.1-14 - подсеть 192.168.5.0/28 192.168.5.17-30 - подсеть 192.168.5.16/28 192.168.5.33-46 - подсеть 192.168.5.32/28

Теперь на шлюзе можешь делать snat для подсети 192.168.5.0/28 на один ip

192.168.5.16/28 на другой.

Заместо openvpn можешь использовать wireguard, он производительнее будет.

infomeh ★★ ()
Последнее исправление: infomeh (всего исправлений: 3)
Ответ на: комментарий от infomeh

Я сильно прошу прощенья! Я не корректно указал вводные. Debian - это vps. Т.е. это не шлюз.

П.С. А так да, Вы вполне правильный алгоритм написали. Благодарю!

BadSimon ()
Последнее исправление: BadSimon (всего исправлений: 1)
Ответ на: комментарий от BadSimon

Тогда я не знаю чего ты хочешь, рисуй схему подключения клиентов и ещё раз описывай что ты хочешь.

infomeh ★★ ()
Ответ на: комментарий от BadSimon

Если у тебя VPS с несколькими ИП адресами и ты хочешь чтобы к нему подключались клиенты и выходили с разных его ИП адресов, то тебе как раз и нужен ВПН и схема описанная выше.

infomeh ★★ ()
Ответ на: комментарий от infomeh

Верно, но клиенты подключаться будут с одного РДП сервера. Поэтому опенвпн не подходит. Есть ли какие-нибудь варианты с разруливанием локальных пользователей на дебиане, а подключаться через ssh туннель.

BadSimon ()
Ответ на: комментарий от BadSimon

но клиенты подключаться будут с одного РДП сервера

RDP-сервер на Windows?

Если да, то можно каждому клиенту насовать разные IP. Смотреть сюда. Но если у тебя последний Windows Server, то там тебя ждет боль

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Есть сервер в организации, на нем винда и рдп. Есть выкупленный впс с дебианом, на нем 29 подсеть адресов. Думал как-то выпускать всех через ssh тенели через этот впс в инет клиентов с рдп. Требуется веб онли. Как только разрулить это не знаю. Думал про сквид, но есть требование браузер хром, а он использует системные настройки браузера. Т.е. все клиенты на этом РДП полетят через один IPшник. Как в огнелисе нельзя назначить каждому браузеру свой прокси.

BadSimon ()
Ответ на: комментарий от BadSimon

на нем винда и рдп

домен есть? kerberos-аутентификацию на сквиде - будет прозрачно авторизовывать доменных пользователей, пароли им вводить не придется

Дальше, назначать по логинам пользователей в squid каждому свой tcp_outgoing_address

Если домена нет, то тогда на ум приходят всякие костыли вида по проксику на разных портах на каждый внешний адрес и заворачивать туда пользователей, запуская браузеры и нужное ПО через всякие софтины а-ля proxifier. Но это уже не костыли, это мегакостыли.

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.