Страница 1 из 1
L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 04 фев 2022, 14:32
gard
Друзья, всем привет.
Есть у меня Windows Server 2016 с NPS (RADIUS) для l2tp клиентов Микротика.
На винде у меня сделано скажем две политики: для админов и для пользователей и добавлено два клиента - микротик с разными secret.
Могу ли я как-то сделать так, чтобы к админам применялся один профиль, а к пользователям другой? В L2TP server я могу указать только один профиль. Мне это нужно, чтобы администраторы и пользователи попадали в разные пулы адресов.
Пока что ничего не смог придумать кроме как заюзать еще один тип сервера? Например pptp...
Re: L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 04 фев 2022, 15:27
KaNelam
Для админов свой профиль создать, для клиентов второй профиль. В каждом профиле указать свой пул.
Re: L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 04 фев 2022, 17:13
gard
Я именно так и хотел, но для L2TP сервера можно указать только 1 профиль. Вот в чем загвоздка.
И более того, для клиента тоже :(
Я даже пробовал "забиндить" клиента, с помощью L2TP Server Binding, но... там невозможно выбрать профиль.
Re: L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 04 фев 2022, 18:42
KaNelam
gard писал(а): ↑04 фев 2022, 17:13
Я именно так и хотел, но для L2TP сервера можно указать только 1 профиль. Вот в чем загвоздка.
И более того, для клиента тоже :(
Я даже пробовал "забиндить" клиента, с помощью L2TP Server Binding, но... там невозможно выбрать профиль.
Путаете с дефолтным в настройках сервера, бинды для другого нужны. Создаем нужные прифили с пулами, далее к секретам првязываете нужные профили.
Re: L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 04 фев 2022, 21:17
gard
Спасибо!
Действительно в микротах настройка настолько бывает неявная... но спасибо!
Я уже сделал, по другому. Забиндил нужные учетки и объединил их в интерфейс-лист.
Уже от него отталкивался...
Но спасибо большое, я этого не знал.
Re: L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 04 фев 2022, 21:25
Ca6ko
Не знаю как с RADIUS, но в обычном режиме адреса можно назначить в Secrets или Profiles, у меня есть объект где все пользователи со статическими адресами подключаются, на других объектах частично статикой.
Re: L2TP с использованием RADIUS, разные пулы, возможно ли?
Добавлено: 05 фев 2022, 12:01
gard
Все-таки хотелось иметь единообразную схему подключения.
С биндами интерфейсов в принципе вышло хорошо. Попутно отловил неверную настройку радиуса, простой доменный пользователь (не админ) не хотел коннектиться и я долго ломал голову почему. Нашел, разобрался. Сейчас все пользователи домена могут авторизоваться по L2TP. Но только забинденные в интерфейсы учетки админов, объединенные в интерфейс-лист, могут ходить куда остальным нельзя.
С интерфейс-листами правда чуть менее удобно, чем с адрес-листами (как я хотел изначально, выдавая разные пулы), но решаемо. К примеру src-nat или маскарадинг в административный vlan пришлось реализовать с помощью маркировки пакетов, приходящих с админского интерфейс-листа.