Regla de bloqueo para usuario en subredes
-
Buen dia
Actualmente tengo la siguiente configuracion:
LAN1
ISP Modem –-- PFSENSE---- ----Clientes WIFI con 8 Mbps / 768 Kbps (1 WAN / 2 LANs)
LAN2La autenticacion la realizo mediante radius (freeradius2). Las ips son asignadas a cada interface por DCHP (LAN1 192.168.1.1/24 y LAN2 192.168.2.1/24), la WAN tiene ip publica.
Mi consulta es la siguiente:
Como puedo impedir a un usuario por ejemplo (user1 /configurado en freeradius) que se conecte por cualquiera de las subredes y salga a internet. Escribiendo de otra manera, como obligo a user1 a salir a internet solo por la LAN1.
Agredecido de antemano por su ayuda
Saludos desde Barquisimeto-Venezuela
-
No le entiendo a tu diagrama… :o
-
Seria algo como lo adjunto.
Si requieres mas informacion las aporto.
Es una configuracion con 1 Wan y 2 Lan. En cada Lan tengo Aps TPlink para que los clientes se conecten via inalambrica.
La autenticacion la hago mediante freeradius.
-
Es posible decirle al radius que un dispositivo o usuario solo se conecte por una interface ?
LO que tal vez se podria hacer es asignar la ip de forma permanente via DHCP y solo darla de alta en una interface y en la otra no hacerlo. De esta forma el usuario solo podria conectarse por una interfaz. es algo no muy tecnico pero no se si se pueda hacer mejor con radius
-
Existe un apartado en freeradius para asignar la ip al usuario pero no me funciona. Adjunto la imagen
Como podria realizarse lo segundo que me comentas?
LO que tal vez se podria hacer es asignar la ip de forma permanente via DHCP y solo darla de alta en una interface y en la otra no hacerlo. De esta forma el usuario solo podria conectarse por una interfaz. es algo no muy tecnico pero no se si se pueda hacer mejor con radius
Gracias de antemano
-
Si cada interface tiene un servidor de DHCP corriendo , entonces solo da de alta una IP de manera "estatica" en el servidor de DHCP del cual quieres que se conecte tu cliente. Solo agrega la mac y la IP que le quieres asignar y con eso bastara. ahora es necesario que no tengas un pool de direcciones para los clientes que no tienen una asignacion estatica.
Saludos