Так а чем принципиально "по юзеру" отличается от "по адрес-листу"? По идее, Mikrotik-Address-List можно указывать несколько раз - пользователя закинет во все списки. Тогда делаем, например, правила для списков "allow-server-1", "allow-server-2" с разрешённым доступом к соответствующим серверам - и соответствующие атрибуты навешиваем нужным пользователям.
З.Ы. Нет, в правилах файрвола нельзя напрямую указать какое-нибудь "имя пользователя".
Фильрация при VPN подключении
-
- Сообщения: 4090
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 52
- Зарегистрирован: 27 ноя 2020, 12:33
Re: Фильрация при VPN подключении
Разница в том, что любому пользователю может быть выдан любой ip адрес. Например юзер3 подключается, ему выдан адрес, этот адрес я в адрес лист пихаю и создаю правило что этому адресу можно ходить куда угодно. Через некоторое время подключается другой юзер, которому должен быть сильно ограничен доступ. Подключается, получает адрес. Как микротику сказать, чтобы этот адрес для этого пользователя не попал в адрес лист, по которому все будет разрешено?
-
- Сообщения: 4090
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Фильрация при VPN подключении
Перечитайте то, что я написал выше. Юзер 3 подключается, RADIUS передаёт микротику для него Mikrotik-Address-List := allow-server-1 - и микротик добавляет выданный пользователю адрес в адрес-лист allow-server-1. Пользователь отключается - адрес из листа автомагически удаляется. Если подключается другой юзер, которому не нужны особые разрешения - RADIUS не передаёт никаких атрибутов Mikrotik-Address-List, микротик никуда адрес не добавляет.
-
- Сообщения: 52
- Зарегистрирован: 27 ноя 2020, 12:33
Re: Фильрация при VPN подключении
я не совсем понимаю, как микротику перехватить от radius имя пользователя
-
- Сообщения: 4090
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Фильрация при VPN подключении
Где вы в моём сообщении увидели имя пользователя? Перечитайте, пожалуйста, моё сообщение и подтвердите, что вы всё в нём понимаете. Если не понимаете какую-то часть - процитируйте её и поясните, почему не понимаете, какие противоречия в ней видите.
-
- Сообщения: 52
- Зарегистрирован: 27 ноя 2020, 12:33
Re: Фильрация при VPN подключении
Добрый день. Мне не совсем понятен вопрос с тем, как Mikrotik "поймет" что для этого юзера нужно внести его адрес в allow list. Ведь mikrotik не знает пользователя, который к нему подключается, а узнает пользователя только после того, как локальный radius вернет mikrotik'у имя пользователя, тогда на основании какого-то правила, или алгоритма mikrotik добавляет или не добавляет ip в свой allow list.
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Фильрация при VPN подключении
Всё просто
При авторизации клиента на Mikrotik, он формирует Radius-запрос к радиуссерверу в котором передаёт User-Name и User-Password в каком-то виде. радиуссервер (при успешной авторизации) поднимает у себя сесию и отправляет Radius-ответ в котором могут быть указаны
IP-Address, который нужно выдать клиенту (если у сервера доступа есть привязка к IP Pool, то IP выдастся из этого пула)
Mikrotik-Address-List для шейпера и маскарада.
Так-же можно передать DNS сервера и прочее, что описано в вики https://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
При авторизации клиента на Mikrotik, он формирует Radius-запрос к радиуссерверу в котором передаёт User-Name и User-Password в каком-то виде. радиуссервер (при успешной авторизации) поднимает у себя сесию и отправляет Radius-ответ в котором могут быть указаны
IP-Address, который нужно выдать клиенту (если у сервера доступа есть привязка к IP Pool, то IP выдастся из этого пула)
Mikrotik-Address-List для шейпера и маскарада.
Так-же можно передать DNS сервера и прочее, что описано в вики https://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 52
- Зарегистрирован: 27 ноя 2020, 12:33
Re: Фильрация при VPN подключении
Как сравнить пользователя? Как мне условия задать чтобы только определенного пользователя адрес записывался?
-
- Сообщения: 4090
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Фильрация при VPN подключении
Вам надо в вашем RADIUS прописать для конкретного пользователя возврат нужных атрибутов Mikrotik-Address-List. Микротик их прочитает из ответа и выполнит. По настройкам вашего радиуса ищите ответы отдельно. Вас даже направить некуда, поскольку вы не сказали, какой именно используете.
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Фильрация при VPN подключении
гуглим по словам "микротик+freeradius+биллинг", читаем, наслаждаемся пониманием
Дома: CCR2004 (7-ISP(GPON)белый IP)