The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"pptpd_сервер+AD+routing_для_виндовых_клиентов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от zxprsl (??) on 07-Апр-09, 15:06 
Всем привет.

Есть задача поднять VPN-server.

VPN-server поднял на базе pptpd v1.3.4, Виндовые клиенты цепляются, получают IP.

Но после подключения ВПН сессии пропадает доступ к локальой сети, приходится прописывать маршрут в ручную после каждого такого соединения.
Хотелось бы узнать как настроить pptpd, чтобы при создании ВПН сесии, pptpd - сервер передавал нужные маршруты в таблицу маршрутизации клиента?

И ещё один вопрос, как сделать так, чтоб pptpd - сервер при подключении к нему клиента спрашивал права у ACTIVE DIRECTORY в определённой группе?

Сам сервер UDUNTU заведён в домен, осталось дело за настройкой pptpd, но не нашел такой инфы нигде.

Подскажите куда капать?

uname -a
Linux serv 2.6.27-7-generic #1 SMP Fri Oct 24 06:42:44 UTC 2008 i686 GNU/Linux

======

Вощем нарыл вот это:

для авторизации ВПН пользователей в актив диретори нужно в /etc/ppp/pptpd-options добавить следующее

plugin winbind.so
ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"

Конечно и самба должна быть настроена и заведена в домен.

Но при такий схеме пускает пользователя независимо от участия его в какой либо группе, нужно просто чтоб пользователь существовал в АД, но это совсем не подходящий вариант, с тем же результаттом можно вообще не српашивать пароль Smiley

Однако есть такой параметр дополнительный к /usr/bin/ntlm_auth

--require-membership-of=<domin-group>

но почему-то при его указании вообще не проходит аутентификация, в логе ругается на невозможность создать PAP авторизацию, ну правильно, она же запрещена.

Как заставить авторизироваться пользователей по mschap-v2 при такой схеме?

Ну и вопрос про роутинг остаётся в силе, вообще нигде нинамёка на это нет, только на примере ЦИСКО.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от tiv (ok) on 07-Апр-09, 16:26 
Про маршрутизацию кажется никак не решить, только если скриптом на клиенте запускать и менять маршруты после подключения
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от mr_gfd on 07-Апр-09, 18:30 
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN --require-membership-of="DOMAIN\\InetUsers"
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\InetUsers"

так работает в сквиде. хотя я б использовал радиус авторизацию средствами виндового радиус сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от zxprsl (??) on 07-Апр-09, 19:21 
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN --require-membership-of="DOMAIN\\InetUsers"
>auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\InetUsers"
>
>так работает в сквиде. хотя я б использовал радиус авторизацию средствами виндового
>радиус сервера.

Спасибо, но как работает сквид я в курсе, уже настроено.

кстати и PPTPD настроил тож.. нужно так:

в опции --require-membership-of=<domin-group>
где <domin-group> - нужно указывать SID группы.

Узнать её можно так.

wbinfo -n <domin-group>

Вот и всё :)


Теперь бы роутинг настроить, если конечно это реализуемо вообще при такой схеме..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от mr_gfd on 07-Апр-09, 21:15 
а что с роутингом не так? подробнее можно?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от zxprsl (??) on 07-Апр-09, 21:32 
>а что с роутингом не так? подробнее можно?

В постановке вопроса в первом посте написано:

Хотелось бы узнать как настроить pptpd, чтобы при создании ВПН сесии, pptpd - сервер передавал нужные маршруты в таблицу маршрутизации клиента?

Т.е. я где-та в как-то гонфиге, пока мне неизвестном, указываю нужный маршрут, и когда пользователь создаёт ВПН сесиию, то ему этот маршрут передавался бы в его таблицу маршрутизации.

Такой механизм существует на маршрутизаторах ЦИСКО при соединение к нему COSCO SYSTEM VPN CLIENT`ом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от tiv (ok) on 07-Апр-09, 21:46 
такой механизм есть и в openvpn
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от mr_gfd on 07-Апр-09, 22:08 
>такой механизм есть и в openvpn

+1

для pppd мне такой функционал не известен

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от zxprsl (??) on 10-Апр-09, 14:32 
Всем спасибо, буду тагда прописывать статические маршруты :)


Возник ещё вопрос, можно ли при такой схеме, указанном в первом посте, организовать ограничение скорости для клиентов ВПН ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "pptpd_сервер+AD+routing_для_виндовых_клиентов"  
Сообщение от zxprsl (??) on 10-Апр-09, 15:26 
>Всем спасибо, буду тагда прописывать статические маршруты :)
>
>
>Возник ещё вопрос, можно ли при такой схеме, указанном в первом посте,
>организовать ограничение скорости для клиентов ВПН ?

Нашол :) , буду пробывать..


http://ylsoftware.com/?action=news&na=viewfull&news=433&from...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру