Фильрация при VPN подключении

Базовая функциональность RouterOS
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Все нормально. Вроде бы. В общем правило по умолчанию у меня тоже создавалось нормально для jump на Test. Проблема была в правиле forward. Я вбивал туда in.interface = l2tp-in1, поэтому работало. Но если подключается второй пользователь, то ниче не работало :) А нужно было просто убрать интерфейс и вбить src.addr подсетку, которую я давал в pool для remote address. Иначе по этому правилу отрабатывался весь трафик и микротик вешался. Вроде как все заработало. Правильно ли я все сделал?
1.JPG
И еще вопрос. Есть ли возможность в микротике сделать так, чтобы пользователь впн каким-то образом мог взаимодействовать с Active Directory чтобы можно было настраивать правила доступа к шаре?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

drongo писал(а): 05 авг 2021, 15:23 Я вбивал туда in.interface = l2tp-in1, поэтому работало. Но если подключается второй пользователь, то ниче не работало :) А нужно было просто убрать интерфейс и вбить src.addr подсетку, которую я давал в pool для remote address. Иначе по этому правилу отрабатывался весь трафик и микротик вешался. Вроде как все заработало. Правильно ли я все сделал?
Непонятно, почему всё вешалось. Непонятно, почему и у кого ничё не работало при подключении второго пользователя.
drongo писал(а): 05 авг 2021, 15:23 Есть ли возможность в микротике сделать так, чтобы пользователь впн каким-то образом мог взаимодействовать с Active Directory чтобы можно было настраивать правила доступа к шаре?
К какой шаре и при чём тут роутер? Права доступа к шаре вы настраиваете на сервере, там же авторизуется клиент - ВПН тут не при делах.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Вешалось не знаю почему. Видимо с правилами намудрил и весь трафик валил на ррр. Не работало при подключении второго пользователя, т.к. ему тоже надо было при моей настройке забиндить интерфейс. когда указал ip адреса удаленные все заработало. Про пользователя я имею в виду может ли микротик сопоставить пользователя, под которым подключается юзер к сети по впну, с юзером в домене?
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

drongo писал(а): 05 авг 2021, 16:41 Вешалось не знаю почему. Видимо с правилами намудрил и весь трафик валил на ррр.
Так и задумано: весь трафик валит в ppp, потом там отсеивается для нужных интерфейсов.
drongo писал(а): 05 авг 2021, 16:41 Не работало при подключении второго пользователя, т.к. ему тоже надо было при моей настройке забиндить интерфейс.
Ну, ваши настройки - это без профиля, автоматически создающего нужные правила, поэтому пропускаем :)
drongo писал(а): 05 авг 2021, 16:41 Про пользователя я имею в виду может ли микротик сопоставить пользователя, под которым подключается юзер к сети по впну, с юзером в домене?
Допустим, может (через RADIUS-авторизацию в домене). Но ведь он никакому серверу не может сказать "да это точно этот юзер, зуб даю!" - так что в любом случае задачу надо решать не с этой стороны
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Спасибо большое за помощь. Было бы неплохо, если бы мог серверу напрямую про юзера сказать :)

Подскажите, может есть какая-то литература по микротику на русском языке?
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Про литературу я, увы, не подскажу - предпочитаю мануалы в оригинале :)
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Добрый день. Чтобы не создавать новую тему спрошу в этой.
Вопрос с пользователями, которые подключаются по vpn.
Удаленные пользователи получают Ip адреса из пула адресов при подключении по vpn. Создано правило, что пользователям из диапазона адресов доступ только к определенному сервису в локалке. Так все работает, все хорошо. Но, есть необходимость дать больше свободы определенным пользователям, которые подключаются по vpn. Т.е. как на микротике можно рулить не диапазоном адресов, а самими пользователями?
Для пользователей, которых я руками вбиваю на вкладка Secrets я указываю руками ip вдрес и потом уже создаю правило, что всем адресам доступ к одному ресурсу, а определенному адресу что руками прописал доступ к примеру во всю локалку. Но так работает только если пользователь руками вбит в микротике.
Также пользователи подключаются по vpn с использование radius сервера, здесь я уже не могу рулить ни адресом, ни пользователем (во всяком случае я не умею и не знаю как это сделать :)). Radius нужен для доступа к общим ресурсам в сети, и без radius здесь не обойтись.
Прошу попмощи. Можно ли на файерволе создать правило, чтобы фильтр был по пользователю? Или может есть какая другая методика?
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

И снова здравствуйте :)

С RADIUS можно вернуть атрибут Mikrotik-Address-List (https://wiki.mikrotik.com/wiki/Manual:R ... dictionary), это сработает как указание Address List в профиле данного юзера, т.е. адрес клиента на время подключения будет добавлен в этот Address List - и уже на основании этого можно создавать правила файрвола.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Не совсем понял. Как микротик сопоставит этот адрес с конкретным пользвоателем? Юзеры на radius сервере запрашиваются, на микротике пользователей нет.
Допустим, имеет пул адресов 192.168.60.10-192.168.60.30. На микротике настроен radius. В сети есть radius сервер. Пользователь подключается, микротик обращается к серверу, там проходит проверка пользователя, ему выдается ip адрес. Все хорошо. Но как микротик может понять, что адрес 192.168.60.15 принадлежит именно этому пользователю. Можно как-то из radius вернуть еще и имя пользователя? или такое микротик не умеет?
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Вы из RADIUS для нужного пользователя возвращаете, например, "Mikrotik-Address-List := allow-lan". После подключения роутер добавит адрес этого пользователя в Address List с именем allow-lan, и вы в фильтре файрвола можете этот список использовать как-нибудь так:

/ip firewall filter add chain=forward src-address-list=allow-lan dst-address=192.168.0.0/16 action=accept

Вернёте для двух пользователей этот параметр - оба эти адреса будут занесены в Address List при их подключении.