Фильрация при VPN подключении

Базовая функциональность RouterOS
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Все нормально. Вроде бы. В общем правило по умолчанию у меня тоже создавалось нормально для jump на Test. Проблема была в правиле forward. Я вбивал туда in.interface = l2tp-in1, поэтому работало. Но если подключается второй пользователь, то ниче не работало :) А нужно было просто убрать интерфейс и вбить src.addr подсетку, которую я давал в pool для remote address. Иначе по этому правилу отрабатывался весь трафик и микротик вешался. Вроде как все заработало. Правильно ли я все сделал?
1.JPG
И еще вопрос. Есть ли возможность в микротике сделать так, чтобы пользователь впн каким-то образом мог взаимодействовать с Active Directory чтобы можно было настраивать правила доступа к шаре?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

drongo писал(а): 05 авг 2021, 15:23 Я вбивал туда in.interface = l2tp-in1, поэтому работало. Но если подключается второй пользователь, то ниче не работало :) А нужно было просто убрать интерфейс и вбить src.addr подсетку, которую я давал в pool для remote address. Иначе по этому правилу отрабатывался весь трафик и микротик вешался. Вроде как все заработало. Правильно ли я все сделал?
Непонятно, почему всё вешалось. Непонятно, почему и у кого ничё не работало при подключении второго пользователя.
drongo писал(а): 05 авг 2021, 15:23 Есть ли возможность в микротике сделать так, чтобы пользователь впн каким-то образом мог взаимодействовать с Active Directory чтобы можно было настраивать правила доступа к шаре?
К какой шаре и при чём тут роутер? Права доступа к шаре вы настраиваете на сервере, там же авторизуется клиент - ВПН тут не при делах.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Вешалось не знаю почему. Видимо с правилами намудрил и весь трафик валил на ррр. Не работало при подключении второго пользователя, т.к. ему тоже надо было при моей настройке забиндить интерфейс. когда указал ip адреса удаленные все заработало. Про пользователя я имею в виду может ли микротик сопоставить пользователя, под которым подключается юзер к сети по впну, с юзером в домене?
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

drongo писал(а): 05 авг 2021, 16:41 Вешалось не знаю почему. Видимо с правилами намудрил и весь трафик валил на ррр.
Так и задумано: весь трафик валит в ppp, потом там отсеивается для нужных интерфейсов.
drongo писал(а): 05 авг 2021, 16:41 Не работало при подключении второго пользователя, т.к. ему тоже надо было при моей настройке забиндить интерфейс.
Ну, ваши настройки - это без профиля, автоматически создающего нужные правила, поэтому пропускаем :)
drongo писал(а): 05 авг 2021, 16:41 Про пользователя я имею в виду может ли микротик сопоставить пользователя, под которым подключается юзер к сети по впну, с юзером в домене?
Допустим, может (через RADIUS-авторизацию в домене). Но ведь он никакому серверу не может сказать "да это точно этот юзер, зуб даю!" - так что в любом случае задачу надо решать не с этой стороны
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Спасибо большое за помощь. Было бы неплохо, если бы мог серверу напрямую про юзера сказать :)

Подскажите, может есть какая-то литература по микротику на русском языке?
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Про литературу я, увы, не подскажу - предпочитаю мануалы в оригинале :)
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Добрый день. Чтобы не создавать новую тему спрошу в этой.
Вопрос с пользователями, которые подключаются по vpn.
Удаленные пользователи получают Ip адреса из пула адресов при подключении по vpn. Создано правило, что пользователям из диапазона адресов доступ только к определенному сервису в локалке. Так все работает, все хорошо. Но, есть необходимость дать больше свободы определенным пользователям, которые подключаются по vpn. Т.е. как на микротике можно рулить не диапазоном адресов, а самими пользователями?
Для пользователей, которых я руками вбиваю на вкладка Secrets я указываю руками ip вдрес и потом уже создаю правило, что всем адресам доступ к одному ресурсу, а определенному адресу что руками прописал доступ к примеру во всю локалку. Но так работает только если пользователь руками вбит в микротике.
Также пользователи подключаются по vpn с использование radius сервера, здесь я уже не могу рулить ни адресом, ни пользователем (во всяком случае я не умею и не знаю как это сделать :)). Radius нужен для доступа к общим ресурсам в сети, и без radius здесь не обойтись.
Прошу попмощи. Можно ли на файерволе создать правило, чтобы фильтр был по пользователю? Или может есть какая другая методика?
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

И снова здравствуйте :)

С RADIUS можно вернуть атрибут Mikrotik-Address-List (https://wiki.mikrotik.com/wiki/Manual:R ... dictionary), это сработает как указание Address List в профиле данного юзера, т.е. адрес клиента на время подключения будет добавлен в этот Address List - и уже на основании этого можно создавать правила файрвола.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Не совсем понял. Как микротик сопоставит этот адрес с конкретным пользвоателем? Юзеры на radius сервере запрашиваются, на микротике пользователей нет.
Допустим, имеет пул адресов 192.168.60.10-192.168.60.30. На микротике настроен radius. В сети есть radius сервер. Пользователь подключается, микротик обращается к серверу, там проходит проверка пользователя, ему выдается ip адрес. Все хорошо. Но как микротик может понять, что адрес 192.168.60.15 принадлежит именно этому пользователю. Можно как-то из radius вернуть еще и имя пользователя? или такое микротик не умеет?
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Вы из RADIUS для нужного пользователя возвращаете, например, "Mikrotik-Address-List := allow-lan". После подключения роутер добавит адрес этого пользователя в Address List с именем allow-lan, и вы в фильтре файрвола можете этот список использовать как-нибудь так:

/ip firewall filter add chain=forward src-address-list=allow-lan dst-address=192.168.0.0/16 action=accept

Вернёте для двух пользователей этот параметр - оба эти адреса будут занесены в Address List при их подключении.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

А как из radius получить пользователя?
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Что значит "получить пользователя"? Вы же его получаете, пользователь - это логин, с которым происходит подключение.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Микротик об этом пользователе ничего не знает. Он пересылает запрос к radius серверу, и тот уже отвечает что пользователь верный
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Да, всё так и есть. А в чём вопрос-то? :)
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Будет примерно 15-20 пользователей, которые будут удаленно подключаться по vpn к микротику и иметь доступ к общим ресурсам в локальной сети. Например подключилось 3 юзера, в сети к примеру 3 сервера. Юзер1 должен иметь доступ к серверу1 на котором расположены документы и больше ничего не видеть. Юзер2 должен видеть сервер1 и сервер2, а юзер3 должен иметь доступ ко всей сети.
На микротике же по пулу адресов я могу разрешить доступ к определенному серверу, либо ко всей сети. А мне надо в идеале сделать так, чтобы правило в микротике было по юзеру
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Так а чем принципиально "по юзеру" отличается от "по адрес-листу"? По идее, Mikrotik-Address-List можно указывать несколько раз - пользователя закинет во все списки. Тогда делаем, например, правила для списков "allow-server-1", "allow-server-2" с разрешённым доступом к соответствующим серверам - и соответствующие атрибуты навешиваем нужным пользователям.

З.Ы. Нет, в правилах файрвола нельзя напрямую указать какое-нибудь "имя пользователя".
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Разница в том, что любому пользователю может быть выдан любой ip адрес. Например юзер3 подключается, ему выдан адрес, этот адрес я в адрес лист пихаю и создаю правило что этому адресу можно ходить куда угодно. Через некоторое время подключается другой юзер, которому должен быть сильно ограничен доступ. Подключается, получает адрес. Как микротику сказать, чтобы этот адрес для этого пользователя не попал в адрес лист, по которому все будет разрешено?
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Перечитайте то, что я написал выше. Юзер 3 подключается, RADIUS передаёт микротику для него Mikrotik-Address-List := allow-server-1 - и микротик добавляет выданный пользователю адрес в адрес-лист allow-server-1. Пользователь отключается - адрес из листа автомагически удаляется. Если подключается другой юзер, которому не нужны особые разрешения - RADIUS не передаёт никаких атрибутов Mikrotik-Address-List, микротик никуда адрес не добавляет.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

я не совсем понимаю, как микротику перехватить от radius имя пользователя
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Где вы в моём сообщении увидели имя пользователя? Перечитайте, пожалуйста, моё сообщение и подтвердите, что вы всё в нём понимаете. Если не понимаете какую-то часть - процитируйте её и поясните, почему не понимаете, какие противоречия в ней видите.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Добрый день. Мне не совсем понятен вопрос с тем, как Mikrotik "поймет" что для этого юзера нужно внести его адрес в allow list. Ведь mikrotik не знает пользователя, который к нему подключается, а узнает пользователя только после того, как локальный radius вернет mikrotik'у имя пользователя, тогда на основании какого-то правила, или алгоритма mikrotik добавляет или не добавляет ip в свой allow list.
Аватара пользователя
Sir_Prikol
Сообщения: 544
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Фильрация при VPN подключении

Сообщение Sir_Prikol »

Всё просто
При авторизации клиента на Mikrotik, он формирует Radius-запрос к радиуссерверу в котором передаёт User-Name и User-Password в каком-то виде. радиуссервер (при успешной авторизации) поднимает у себя сесию и отправляет Radius-ответ в котором могут быть указаны
IP-Address, который нужно выдать клиенту (если у сервера доступа есть привязка к IP Pool, то IP выдастся из этого пула)
Mikrotik-Address-List для шейпера и маскарада.

Так-же можно передать DNS сервера и прочее, что описано в вики https://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
Дома: CCR2004 (7-ISP(GPON)белый IP)
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Как сравнить пользователя? Как мне условия задать чтобы только определенного пользователя адрес записывался?
Аватара пользователя
Chupaka
Сообщения: 3501
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Вам надо в вашем RADIUS прописать для конкретного пользователя возврат нужных атрибутов Mikrotik-Address-List. Микротик их прочитает из ответа и выполнит. По настройкам вашего радиуса ищите ответы отдельно. Вас даже направить некуда, поскольку вы не сказали, какой именно используете.
Аватара пользователя
Sir_Prikol
Сообщения: 544
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Фильрация при VPN подключении

Сообщение Sir_Prikol »

гуглим по словам "микротик+freeradius+биллинг", читаем, наслаждаемся пониманием
Дома: CCR2004 (7-ISP(GPON)белый IP)