Различить на NPS разные RADIUS-запросы от одного pfsense



  • Коллеги,
    помогите разобраться, плиз

    Ситуация такая (условно). Есть AD-домен, есть пользователи. Небольшой части этих пользователей запрещен веб-доступ в Интернет, другой части разрешено подключение извне по PPTP. Естественно, эти части могут пересекаться. Вроде бы очевидным решением проблемы является:
    0. На pfsense наладить авторизацию по Радиусу для SQUID-а и для PPTP-сервера
    1. Создать группы "лишенцев" и "внешников" в AD
    2. Поднять на домен-контроллере NPS и настроить политики - одну для запрета, если юзер входит в группу "лишенцев", вторую - для разрешения, если юзер входит в группу "внешников". Ну и третью - разрешить все для запросов с pfsense (чтобы могли выйти в Интернет те, кто ни в одну из групп не входит).

    Все это работает. До того момента, как юзер должен быть "лишенцем" и "внешником" одновременно.

    Если первой поставить политику "запрета веба", то она сработает при подключении извне. Почему-то pfsense, точнее, SQUID не передает на Радиус IP-адрес клиента, лезущего в Интернет, поэтому уточнить участие в группе внутренним адресом клиента не выходит.

    Если первой поставить политику разрешения доступа извне, то она же сработает при попытке веб-серфа. pfsense не передает запрошенный клиентом протокол, который может быть опознан NPS-ом. Поэтому уточнить эту политику протоколом тоже не получается. Адрес клиента при этом передается, но в правилах NPS-а нельзя задать "непопадание" адреса в диапазон локальной сети, чтобы политика работала только при не-локальных запросах.

    Что посоветуете? Как различить в правилах NPS запросы от SQUID-а и от PPTP-сервера, приходящие с одной железки, с одного IP-адреса?



  • Доброе время суток
    Версия pf и squid - последние ?

    P.s. Рекомендую продублировать свой вопрос в англоветку.



  • pf самый свежий, x86. Сквид - 4.3.10, не 3-й. А есть какая-то разница?

    Ну, в общем-то проблема может быть решена именно по признаку наличия адреса клиента. Есть адрес - значит это запрос доступа по PPTP. Получается четыре правила. Только что проверил - все работает. Однако решение это выглядит каким-то кривым.


Log in to reply