Фильрация при VPN подключении

Базовая функциональность RouterOS
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

А как из radius получить пользователя?
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Что значит "получить пользователя"? Вы же его получаете, пользователь - это логин, с которым происходит подключение.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Микротик об этом пользователе ничего не знает. Он пересылает запрос к radius серверу, и тот уже отвечает что пользователь верный
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Да, всё так и есть. А в чём вопрос-то? :)
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Будет примерно 15-20 пользователей, которые будут удаленно подключаться по vpn к микротику и иметь доступ к общим ресурсам в локальной сети. Например подключилось 3 юзера, в сети к примеру 3 сервера. Юзер1 должен иметь доступ к серверу1 на котором расположены документы и больше ничего не видеть. Юзер2 должен видеть сервер1 и сервер2, а юзер3 должен иметь доступ ко всей сети.
На микротике же по пулу адресов я могу разрешить доступ к определенному серверу, либо ко всей сети. А мне надо в идеале сделать так, чтобы правило в микротике было по юзеру
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Так а чем принципиально "по юзеру" отличается от "по адрес-листу"? По идее, Mikrotik-Address-List можно указывать несколько раз - пользователя закинет во все списки. Тогда делаем, например, правила для списков "allow-server-1", "allow-server-2" с разрешённым доступом к соответствующим серверам - и соответствующие атрибуты навешиваем нужным пользователям.

З.Ы. Нет, в правилах файрвола нельзя напрямую указать какое-нибудь "имя пользователя".
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Разница в том, что любому пользователю может быть выдан любой ip адрес. Например юзер3 подключается, ему выдан адрес, этот адрес я в адрес лист пихаю и создаю правило что этому адресу можно ходить куда угодно. Через некоторое время подключается другой юзер, которому должен быть сильно ограничен доступ. Подключается, получает адрес. Как микротику сказать, чтобы этот адрес для этого пользователя не попал в адрес лист, по которому все будет разрешено?
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Перечитайте то, что я написал выше. Юзер 3 подключается, RADIUS передаёт микротику для него Mikrotik-Address-List := allow-server-1 - и микротик добавляет выданный пользователю адрес в адрес-лист allow-server-1. Пользователь отключается - адрес из листа автомагически удаляется. Если подключается другой юзер, которому не нужны особые разрешения - RADIUS не передаёт никаких атрибутов Mikrotik-Address-List, микротик никуда адрес не добавляет.
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

я не совсем понимаю, как микротику перехватить от radius имя пользователя
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Где вы в моём сообщении увидели имя пользователя? Перечитайте, пожалуйста, моё сообщение и подтвердите, что вы всё в нём понимаете. Если не понимаете какую-то часть - процитируйте её и поясните, почему не понимаете, какие противоречия в ней видите.