Regla de bloqueo para usuario en subredes



  • Buen dia

    Actualmente tengo la siguiente configuracion:
                                                LAN1
    ISP Modem –-- PFSENSE----        ----Clientes WIFI  con 8 Mbps / 768 Kbps  (1 WAN / 2 LANs)
                                                LAN2

    La autenticacion la realizo mediante radius (freeradius2). Las ips son asignadas a cada interface por DCHP (LAN1 192.168.1.1/24 y LAN2 192.168.2.1/24), la WAN tiene ip publica.

    Mi consulta es la siguiente:

    Como puedo impedir a un usuario por ejemplo (user1 /configurado en freeradius) que se conecte por cualquiera de las subredes y salga a internet. Escribiendo de otra manera, como obligo a user1 a salir a internet solo por la LAN1.

    Agredecido de antemano por su ayuda

    Saludos desde Barquisimeto-Venezuela



  • No le entiendo a tu diagrama… :o



  • Seria algo como lo adjunto.

    Si requieres mas informacion las aporto.

    Es una configuracion con 1 Wan y 2 Lan. En cada Lan tengo Aps TPlink para que los clientes se conecten via inalambrica.

    La autenticacion la hago mediante freeradius.




  • Es posible decirle al radius que un dispositivo o usuario solo se conecte por una interface ?

    LO que tal vez se podria hacer es asignar la ip de forma permanente via DHCP y solo darla de alta en una interface y en la otra no hacerlo. De esta forma el usuario solo podria conectarse por una interfaz. es algo no muy tecnico pero no se si se pueda hacer mejor con radius



  • Existe un apartado en freeradius para asignar la ip al usuario pero no me funciona. Adjunto la imagen

    Como podria realizarse lo segundo que me comentas?

    LO que tal vez se podria hacer es asignar la ip de forma permanente via DHCP y solo darla de alta en una interface y en la otra no hacerlo. De esta forma el usuario solo podria conectarse por una interfaz. es algo no muy tecnico pero no se si se pueda hacer mejor con radius

    Gracias de antemano




  • Si cada interface tiene un servidor de DHCP corriendo , entonces solo da de alta una IP de manera "estatica" en el servidor de DHCP del cual quieres que se conecte tu cliente.  Solo agrega la mac y la IP que le quieres asignar y con eso bastara.  ahora es necesario que no tengas un pool de direcciones para los clientes que no tienen una asignacion estatica.

    Saludos