Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Различить на NPS разные RADIUS-запросы от одного pfsense

    Russian
    2
    3
    599
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      IB last edited by

      Коллеги,
      помогите разобраться, плиз

      Ситуация такая (условно). Есть AD-домен, есть пользователи. Небольшой части этих пользователей запрещен веб-доступ в Интернет, другой части разрешено подключение извне по PPTP. Естественно, эти части могут пересекаться. Вроде бы очевидным решением проблемы является:
      0. На pfsense наладить авторизацию по Радиусу для SQUID-а и для PPTP-сервера
      1. Создать группы "лишенцев" и "внешников" в AD
      2. Поднять на домен-контроллере NPS и настроить политики - одну для запрета, если юзер входит в группу "лишенцев", вторую - для разрешения, если юзер входит в группу "внешников". Ну и третью - разрешить все для запросов с pfsense (чтобы могли выйти в Интернет те, кто ни в одну из групп не входит).

      Все это работает. До того момента, как юзер должен быть "лишенцем" и "внешником" одновременно.

      Если первой поставить политику "запрета веба", то она сработает при подключении извне. Почему-то pfsense, точнее, SQUID не передает на Радиус IP-адрес клиента, лезущего в Интернет, поэтому уточнить участие в группе внутренним адресом клиента не выходит.

      Если первой поставить политику разрешения доступа извне, то она же сработает при попытке веб-серфа. pfsense не передает запрошенный клиентом протокол, который может быть опознан NPS-ом. Поэтому уточнить эту политику протоколом тоже не получается. Адрес клиента при этом передается, но в правилах NPS-а нельзя задать "непопадание" адреса в диапазон локальной сети, чтобы политика работала только при не-локальных запросах.

      Что посоветуете? Как различить в правилах NPS запросы от SQUID-а и от PPTP-сервера, приходящие с одной железки, с одного IP-адреса?

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Доброе время суток
        Версия pf и squid - последние ?

        P.s. Рекомендую продублировать свой вопрос в англоветку.

        1 Reply Last reply Reply Quote 0
        • I
          IB last edited by

          pf самый свежий, x86. Сквид - 4.3.10, не 3-й. А есть какая-то разница?

          Ну, в общем-то проблема может быть решена именно по признаку наличия адреса клиента. Есть адрес - значит это запрос доступа по PPTP. Получается четыре правила. Только что проверил - все работает. Однако решение это выглядит каким-то кривым.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post