URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2411
[ Назад ]

Исходное сообщение
"cisco L2TP server + IPSec + radius"
Отправлено Roger , 29-Янв-19 17:50

Добрый день.
Настраиваю связку cisco L2TP + IPSec + radius + AD.
Соединение устанавливается, пользователь авторизуется через AD.
Чтобы не гонять весь трафик от клиентов через офис, хочу отдать маршруты до внутренних сетей и повесить ACL на пользователей.
Машруты отдаю через DHCP на циске:
ip dhcp pool L2TP_USERS
network 192.168.92.0 255.255.255.0
option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
маршруты прописываются, трафик ходит.
Завожу в радиусе атрибут Cisco-AV-Pair:
ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
Пните в нужную сторону.

Содержание

cisco L2TP server + IPSec + radius,Ann none, 20:41 , 29-Янв-19
- cisco L2TP server + IPSec + radius,Roger, 17:31 , 30-Янв-19
  - cisco L2TP server + IPSec + radius,Ann none, 18:37 , 30-Янв-19

Сообщения в этом обсуждении

"cisco L2TP server + IPSec + radius"
Отправлено Ann none , 29-Янв-19 20:41

>[оверквотинг удален]
> Машруты отдаю через DHCP на циске:
> ip dhcp pool L2TP_USERS
> network 192.168.92.0 255.255.255.0
> option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
> маршруты прописываются, трафик ходит.
> Завожу в радиусе атрибут Cisco-AV-Pair:
> ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
> Пните в нужную сторону.
dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)

"cisco L2TP server + IPSec + radius"
Отправлено Roger , 30-Янв-19 17:31

>[оверквотинг удален]
>> ip dhcp pool L2TP_USERS
>> network 192.168.92.0 255.255.255.0
>> option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
>> маршруты прописываются, трафик ходит.
>> Завожу в радиусе атрибут Cisco-AV-Pair:
>> ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
>> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
>> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
>> Пните в нужную сторону.
> dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)
Да, добавление правил:
ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67
ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68
решило проблему.
Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище конечно.

"cisco L2TP server + IPSec + radius"
Отправлено Ann none , 30-Янв-19 18:37

>[оверквотинг удален]
>>> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
>>> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
>>> Пните в нужную сторону.
>> dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)
> Да, добавление правил:
> ip:inacl#1=permit udp 192.168.92.0 0.0.0.255 any eq 67
> ip:inacl#2=permit udp 192.168.92.0 0.0.0.255 any eq 68
> решило проблему.
> Я чет подумал, раз айпишник выдается значит с dhcp проблем нет. Позорище
> конечно.
ip клиент получает во время установки ppp соединения. а вот dhcp-запрос за остальными опциями уже потом поверху по широковещательному адресу.