URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32794
[ Назад ]

Исходное сообщение
"Радиус и IP адреса."

Отправлено Andrew , 28-Июл-03 14:10 
Здравствуйте уважаемые! Всех с прошедшим праздником сисадмина!

Разбираюсь я тут с Радиус-сервером и авторизацией. И вот не могу сообразить правильно ли я все понял. Значит так: у меня локалка с внутренними адресами (много клиентов > 200). Для выхода в инет использую NAT на циске. Локалка состоит из нескольких сегментов и все рулится на роутере.
Хочу поставить радиус сервер для авторизации выхода в инет на роутер.
Тогда у меня получится судя по всему следующая картина. Пользователь под своим локальным ip лазит по локалке. Для выхода в инет авторизуется. Ему присваивают еще один внутренний ip. И вот этот ip уже будет натиться на циске.
Я правильно думаю или нет?


Содержание

Сообщения в этом обсуждении
"Радиус и IP адреса."
Отправлено syslog , 28-Июл-03 14:50 
>>Ему присваивают ещё один внутренний ip
Зачем ? У него уже есть один, от которого и считайте трафик на инет

"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 15:24 
Но ведь радиус присваивает ip-шник. Или я все-таки чего-то не понимаю?

"Радиус и IP адреса."
Отправлено Dima , 28-Июл-03 15:32 
Правильно понимаешь
Это делается через VPN клиента на виндах
Радиус будет отдавать IP.
все что не в твоей сети пойдет IP, все что по локалке будет как и прежде использовать ранее присвоенный IP

"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 15:40 
>Правильно понимаешь
>Это делается через VPN клиента на виндах
>Радиус будет отдавать IP.
>все что не в твоей сети пойдет IP, все что по локалке
>будет как и прежде использовать ранее присвоенный IP

Ну то есть у машины будет 2 ip-шника. А теперь упрощаем схему. Убираем роутер. Т.е. авторизация на циске. И что тогда? Переписывать NAT?


"Радиус и IP адреса."
Отправлено Dima , 28-Июл-03 16:06 
Что значит убераем роутер? для меня это убрать машину(Cisco), которая стоит между LAN и WAN то есть остается один Switch
о каком Nat будет идти тогда речь
Посмотри как работают VPN клинты.

"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 16:14 
>Что значит убераем роутер? для меня это убрать машину(Cisco), которая стоит между
>LAN и WAN то есть остается один Switch
>о каком Nat будет идти тогда речь
>Посмотри как работают VPN клинты.
Наверное я неправильно в самом начале объяснил. У меня есть отдельно циска между ЛАН и ВАН. На ней и делается НАТ. А есть еще отдельно роутер - комп с 4-мя сетевухами. Рулит между сегментами и циской. Вот про него то я и говорю. Что если его убрать и авторизацию сделать на циске. Что тогда будет с адресами? Может подскажешь документацию по радиусу, где бы объяснялись проблемы с адресацией.

"Радиус и IP адреса."
Отправлено Grey , 28-Июл-03 16:20 
Чего ты хочешь вообще от RADIUS?
RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может быть по "подсказке" RADIUS-сервера).
без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?

"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 16:29 
>Чего ты хочешь вообще от RADIUS?
>RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может
>быть по "подсказке" RADIUS-сервера).
>без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?

Хочу что бы была авторизация для выхода в инет. С сохранением существующих настроек локалки.


"Радиус и IP адреса."
Отправлено Grey , 28-Июл-03 16:32 
>>Чего ты хочешь вообще от RADIUS?
>>RADIUS-сервер служит ТОЛЬКО для аутентификации и аккаунтинга. Адреса раздаёт сервер доступа (может
>>быть по "подсказке" RADIUS-сервера).
>>без сервера доступа (дайлап, VPN) что хочется поиметь из под RADIUS-сервера?
>
>Хочу что бы была авторизация для выхода в инет. С сохранением существующих
>настроек локалки.

тогда реши сначала: кто будет сервером доступа, кто будет сервером аутентификации, какая будет опорная IP-сеть, какая будет для выхода наружу...
когда решишь, можно думать дальше


"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 16:33 
Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно понял?

"Радиус и IP адреса."
Отправлено Grey , 28-Июл-03 16:34 
>Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия
>фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно
>понял?

ты вообще о чём? :)))


"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 16:40 
>>Ха... Помоему понял... Надо прописать, что бы при логине выполнялась командочка открытия
>>фаервола для данного пользователя. А ip-шник выделять не надо. Я правильно
>>понял?
>
>ты вообще о чём? :)))

Да все о том же... Есть локальная сеть. Есть роутер - разруливает разные сегменты локалки. Есть пограничный маршрутизатор с НАТ. Хочу реализовать авторизацию доступа к внешней сети. Помыслил и решил что проще это сделать на роутере на радиусе. Или я чего то не врубаюсь?


"Радиус и IP адреса."
Отправлено Dima , 28-Июл-03 17:03 
Похоже что ты что-то не допонимаешь? хотя пишешь о том что тебе тут и отвечаю
К примеру у тебя локальная сеть имеет IP 10.0.0.0/24
с этими адресами нельзя выходить в инет (ну хочу я так сделать и не кто мне не помешает, согласен? )
Далее на Виндовых машинах (или что там у тебя стоит) настраиваешь VPN
Если в инет не надо у тебя клеенты будут спокойну бегать по сетке без выхода на ружу.
Как только кому бы то небыло понадобится инет они запускают VPN соединение
Cisco в свою очерь выдаст IP (192.168.0.1 и тд), а они (IP) в свою очередь могут ходить в инет по средством NAT.
В этом случае человек пройдет авторизацию и бужет работать с инетом (и с локальной сетью тоже)
Radius будет вести Акаунтинг (то есть вермя и трафик)
Как ты будешь выдавать IP ни кого не интересую, хоть пусть радиус это делает, хоть сама Cisco
Чего тут не понятного совершенно не вижу
Перестраивать ни чего не надо (разве что мелочи)

"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 17:18 
>Чего тут не понятного совершенно не вижу
>Перестраивать ни чего не надо (разве что мелочи)

У меня статистика настроена на локальные адреса и их у меня около 500.
То есть мне надо статистику править под те адреса которые будут выдаваться после авторизации? Меня вот что мучает то по большому счету.


"Радиус и IP адреса."
Отправлено Grey , 28-Июл-03 17:24 
>>Чего тут не понятного совершенно не вижу
>>Перестраивать ни чего не надо (разве что мелочи)
>
>У меня статистика настроена на локальные адреса и их у меня около
>500.
>То есть мне надо статистику править под те адреса которые будут выдаваться
>после авторизации? Меня вот что мучает то по большому счету.

у тебя вся статистика будет храниться (к примеру) в sql-ной базе, в которой будет "жить" RADIUS-сервер :)


"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 17:30 
>у тебя вся статистика будет храниться (к примеру) в sql-ной базе, в
>которой будет "жить" RADIUS-сервер :)
Так она у меня и так храниться в майскул. Я хочу понять какие адреса будет брать статистика. Локальные или уже после радиуса?

"Радиус и IP адреса."
Отправлено Dima , 28-Июл-03 17:37 
Только те, которые вывел Радис сервер
имя узера, Время входа, время выходя, количесчтво пакетов, количество байт
Надо более детально посмотреть какие данные ведутся
status | user_name  | event_date_time |  nas_ip_address | nas_port_id | acct_session_id  | acct_session_time | acct_input_octets | acct_output_octets |  connect_term_reason | framed_ip_address |        called_station_id |calling_station_id
Это из моего сервера Radius Hаботает совместно с Postgres

"Радиус и IP адреса."
Отправлено Grey , 28-Июл-03 17:27 
>>Чего тут не понятного совершенно не вижу
>>Перестраивать ни чего не надо (разве что мелочи)
>
>У меня статистика настроена на локальные адреса и их у меня около
>500.
>То есть мне надо статистику править под те адреса которые будут выдаваться
>после авторизации? Меня вот что мучает то по большому счету.

... причём не по адресам будет храниться а по именам юзеров....
один раз старые данные "подтянешь" в базу и дальше забудешь вообще про свои адреса... и рулить всей статистикой сможешь через веб-интерфейс....


"Радиус и IP адреса."
Отправлено Dima , 28-Июл-03 17:28 
Смотря как ведется
Radius это может вести DB (MySQL, Postgres)
Но имеет смысл переделать тогда именно для радис
Управлять будет легче (превышение трафик и прочие вкусности)
И не надо настраивать дикую таблицу в Firewall и NAT
Тебе ее надо только упарядочить и вывести окончательный результат
Если знаешь как работать на Postgres ( к примеру), то тогда сделай там тригеры, которые будут складывать все автоматом.
Или ты считаешь трафик даже к своим серверам (почты или SQUID) ?

"Радиус и IP адреса."
Отправлено Andrew , 28-Июл-03 18:00 
Понятно. Беру таймаут. Надо подумать.