Здравствуйте уважаемые! Всех с прошедшим праздником сисадмина!Разбираюсь я тут с Радиус-сервером и авторизацией. И вот не могу сообразить правильно ли я все понял. Значит так: у меня локалка с внутренними адресами (много клиентов > 200). Для выхода в инет использую NAT на циске. Локалка состоит из нескольких сегментов и все рулится на роутере.
Хочу поставить радиус сервер для авторизации выхода в инет на роутер.
Тогда у меня получится судя по всему следующая картина. Пользователь под своим локальным ip лазит по локалке. Для выхода в инет авторизуется. Ему присваивают еще один внутренний ip. И вот этот ip уже будет натиться на циске.
Я правильно думаю или нет?
>>Ему присваивают ещё один внутренний ip
Зачем ? У него уже есть один, от которого и считайте трафик на инет
Но ведь радиус присваивает ip-шник. Или я все-таки чего-то не понимаю?
Правильно понимаешь
Это делается через VPN клиента на виндах
Радиус будет отдавать IP.
все что не в твоей сети пойдет IP, все что по локалке будет как и прежде использовать ранее присвоенный IP
>Правильно понимаешь
>Это делается через VPN клиента на виндах
>Радиус будет отдавать IP.
>все что не в твоей сети пойдет IP, все что по локалке
>будет как и прежде использовать ранее присвоенный IPНу то есть у машины будет 2 ip-шника. А теперь упрощаем схему. Убираем роутер. Т.е. авторизация на циске. И что тогда? Переписывать NAT?
Что значит убераем роутер? для меня это убрать машину(Cisco), которая стоит между LAN и WAN то есть остается один Switch
о каком Nat будет идти тогда речь
Посмотри как работают VPN клинты.
>Что значит убераем роутер? для меня это убрать машину(Cisco), которая стоит между
>LAN и WAN то есть остается один Switch
>о каком Nat будет идти тогда речь
>Посмотри как работают VPN клинты.
Наверное я неправильно в самом начале объяснил. У меня есть отдельно циска между ЛАН и ВАН. На ней и делается НАТ. А есть еще отдельно роутер - комп с 4-мя сетевухами. Рулит между сегментами и циской. Вот про него то я и говорю. Что если его убрать и авторизацию сделать на циске. Что тогда будет с адресами? Может подскажешь документацию по радиусу, где бы объяснялись проблемы с адресацией.
Чего ты хочешь вообще от RADIUS?
RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может быть по "подсказке" RADIUS-сервера).
без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?
>Чего ты хочешь вообще от RADIUS?
>RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может
>быть по "подсказке" RADIUS-сервера).
>без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?Хочу что бы была авторизация для выхода в инет. С сохранением существующих настроек локалки.
>>Чего ты хочешь вообще от RADIUS?
>>RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может
>>быть по "подсказке" RADIUS-сервера).
>>без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?
>
>Хочу что бы была авторизация для выхода в инет. С сохранением существующих
>настроек локалки.тогда реши сначала: кто будет сервером доступа, кто будет сервером аутентификации, какая будет опорная IP-сеть, какая будет для выхода наружу...
когда решишь, можно думать дальше
Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно понял?
>Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия
>фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно
>понял?ты вообще о чём? :)))
>>Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия
>>фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно
>>понял?
>
>ты вообще о чём? :)))Да все о том же... Есть локальная сеть. Есть роутер - разруливает разные сегменты локалки. Есть пограничный маршрутизатор с НАТ. Хочу реализовать авторизацию доступа к внешней сети. Помыслил и решил что проще это сделать на роутере на радиусе. Или я чего то не врубаюсь?
Похоже что ты что-то не допонимаешь? хотя пишешь о том что тебе тут и отвечаю
К примеру у тебя локальная сеть имеет IP 10.0.0.0/24
с этими адресами нельзя выходить в инет (ну хочу я так сделать и не кто мне не помешает, согласен? )
Далее на Виндовых машинах (или что там у тебя стоит) настраиваешь VPN
Если в инет не надо у тебя клеенты будут спокойну бегать по сетке без выхода на ружу.
Как только кому бы то небыло понадобится инет они запускают VPN соединение
Cisco в свою очерь выдаст IP (192.168.0.1 и тд), а они (IP) в свою очередь могут ходить в инет по средством NAT.
В этом случае человек пройдет авторизацию и бужет работать с инетом (и с локальной сетью тоже)
Radius будет вести Акаунтинг (то есть вермя и трафик)
Как ты будешь выдавать IP ни кого не интересую, хоть пусть радиус это делает, хоть сама Cisco
Чего тут не понятного совершенно не вижу
Перестраивать ни чего не надо (разве что мелочи)
>Чего тут не понятного совершенно не вижу
>Перестраивать ни чего не надо (разве что мелочи)У меня статистика настроена на локальные адреса и их у меня около 500.
То есть мне надо статистику править под те адреса которые будут выдаваться после авторизации? Меня вот что мучает то по большому счету.
>>Чего тут не понятного совершенно не вижу
>>Перестраивать ни чего не надо (разве что мелочи)
>
>У меня статистика настроена на локальные адреса и их у меня около
>500.
>То есть мне надо статистику править под те адреса которые будут выдаваться
>после авторизации? Меня вот что мучает то по большому счету.у тебя вся статистика будет храниться (к примеру) в sql-ной базе, в которой будет "жить" RADIUS-сервер :)
>у тебя вся статистика будет храниться (к примеру) в sql-ной базе, в
>которой будет "жить" RADIUS-сервер :)
Так она у меня и так храниться в майскул. Я хочу понять какие адреса будет брать статистика. Локальные или уже после радиуса?
Только те, которые вывел Радис сервер
имя узера, Время входа, время выходя, количесчтво пакетов, количество байт
Надо более детально посмотреть какие данные ведутся
status | user_name | event_date_time | nas_ip_address | nas_port_id | acct_session_id | acct_session_time | acct_input_octets | acct_output_octets | connect_term_reason | framed_ip_address | called_station_id |calling_station_id
Это из моего сервера Radius Hаботает совместно с Postgres
>>Чего тут не понятного совершенно не вижу
>>Перестраивать ни чего не надо (разве что мелочи)
>
>У меня статистика настроена на локальные адреса и их у меня около
>500.
>То есть мне надо статистику править под те адреса которые будут выдаваться
>после авторизации? Меня вот что мучает то по большому счету.... причём не по адресам будет храниться а по именам юзеров....
один раз старые данные "подтянешь" в базу и дальше забудешь вообще про свои адреса... и рулить всей статистикой сможешь через веб-интерфейс....
Смотря как ведется
Radius это может вести DB (MySQL, Postgres)
Но имеет смысл переделать тогда именно для радис
Управлять будет легче (превышение трафик и прочие вкусности)
И не надо настраивать дикую таблицу в Firewall и NAT
Тебе ее надо только упарядочить и вывести окончательный результат
Если знаешь как работать на Postgres ( к примеру), то тогда сделай там тригеры, которые будут складывать все автоматом.
Или ты считаешь трафик даже к своим серверам (почты или SQUID) ?
Понятно. Беру таймаут. Надо подумать.