VPN и Локалка

0

0

Поможите, сисадминиы добрые ибо знаю, что торможу не подетски. Дано: Локальная сеть. В ней сервант, который одним концом смотрит в инет другим соответсвенно в локалку. Задача: Тривиальная, пустить юзеров в Инет, но по паролю с учетем трафика. Дык вопрос: Ставим MPD+FreeRadius. Юзер авторизуется, получает IP и блуждает по простором интернета. Просто все замечательно. Но что ему мешает ввести этот IP в параметры сетевого подключения, ввести DNS, шлюз и лазить себе по инету без всякой там Авторизации. IP то в ipfw то прописаны (ipfw add divert natd блах и.т.д). Где заблуждаюсь.

Ссылка

←	GRE - tunnel ХЕЛП!!

для чего нужен интерфейс dummy?

→

Ввести где? В настройках соединения? Так пароль же стоит... В локалке адреса одни, а в туннеле vpn другие?

drd ★★
(20.09.04 10:16:42 MSD)

Ответ на: комментарий от drd 20.09.04 10:16:42 MSD

Плюс к всему этому vpn соединение это соединение точка-точка, даже если ктото пропишет vpn сеть то ничего у него не выйдет

anonymous
(20.09.04 11:10:25 MSD)

Ссылка

Тут замечательно впишется pppoe.

qwe ★★★
(20.09.04 11:22:19 MSD)

Ответ на: комментарий от qwe 20.09.04 11:22:19 MSD

нет - VPN лучше. У меня так. Юзер ВСЕГДА получит только те ИПы которые прописаны на сервере VPN. заменит - облом ему.

anonymous
(20.09.04 11:37:04 MSD)

Ответ на: комментарий от anonymous 20.09.04 11:37:04 MSD

Ну если на серваке скажем адрес 192.168.1.1 а у клентов 192.168.1.10,11,12,и.т.д. 192.168.1.1 является и шлюзом и днс и VPN там стоит. В параметрах TCP IP сетевой карты прописываем этот шлюз и DNS, то что мешает юзеру выйти в инет. Каким образом VPN ,блокирует это соединение.???

anonymous
(20.09.04 12:17:57 MSD)

Ответ на: комментарий от anonymous 20.09.04 12:17:57 MSD

>Ну если на серваке скажем адрес 192.168.1.1 а у клентов 192.168.1.10,11,12,и.т.д.

а ты сделай на сервере адрес 192.168.1.1 а у клентов 192.168.0.10, 192.168.0.12 и т.д и не мучайся больше.

fagot ★★★★★
(20.09.04 12:42:51 MSD)

Ответ на: комментарий от fagot 20.09.04 12:42:51 MSD

>192.168.0.10, 192.168.0.12

это в смысле те, что RADIUS выдает

fagot ★★★★★
(20.09.04 12:43:29 MSD)

Ответ на: комментарий от fagot 20.09.04 12:43:29 MSD

Неважно кто у тебя в vpn выдает адреса - просто выдавай другие адреса. В чем проблема-то?

drd ★★
(20.09.04 13:37:07 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.04 12:17:57 MSD

Хороший вопрос - тоже об этом долго думал. Документация по vpn как-то не очень.

Я даю правила после логина (в ip-up.local). И после окончания их убираю. Правила на каждый ip-адрес свои. Этот ip, как я понимаю, приходит по туннелю. И по нему же уходит. Поэтому у меня на вход из локалки только 1723, 1812 и 1813 (если я все правильно помню - сейчас не могу посмотреть). Прокся разрешена только с сервера на выход (так отсекается внутренняя и внешняя сети). Форвардинг включается после логина (за исключением мусора). И рарешен протокол тунелирования (иначе никак), который работает только с vpn.

Думаю, что теоретически возможно подключиться через локалку, зная уже адрес залогинившегося. Но у меня не выходило (ну я особо и не пытался - в организации стоял АД и пользователи не имели прав на смену ip).

jackill ★★★★★
(20.09.04 13:58:37 MSD)

Ответ на: комментарий от jackill 20.09.04 13:58:37 MSD

>Думаю, что теоретически возможно подключиться через локалку, зная уже адрес залогинившегося. Но у меня не выходило (ну я особо и не пытался - в организации стоял АД и пользователи не имели прав на смену ip). 

неа - у меня не получилось.
раб. станция - Линух. менял свой (eth0) ИП на подключенного/свой VPN-IP ---> пофиг. Соединение при VPN точка-в-точку netmask:255.255.255.255, и поэтому раутинг не проходит.

сервер: (Линух) VPN+Inet_Router
юзеры NATом ходят в Сеть.

мож я че не так делал. не знаю

anonymous
(20.09.04 16:27:08 MSD)