Настроен Split Tunneling Strongswan + debian + ikev2. Встал вопрос разграничения доступа пул ip по пользаку. Возможно?

Question

[bassoon48]

В общем поднят Debian. На нём strongswan + ikev2 + dnsmasq.

Сертификат у всех пользаков один, разные лишь имена и пароли в EAP конфиге.

На текущий момент всё работает автоматом и маршруты тоже (даже на ВИНДЕ!). Полный Split-Tunneling хоть завтра в продакшн.
У пользаков доступ лишь в локалку, а торренты и дик пики через свой шлюз интернет.

Дак вот в чём вопрос. Щас всё у всех есть все равны. Все молодцы.

А можно ли как-то сделать так что user1 EAP "qwerty" имел доступ лишь к 192.168.30.1, 192.168.30.5, 192.168.20.50.....

Ну вы поняли. Прописывать или по одному через запятую или диапазон.

Чтобы у него не было доступа сразу во все сети. Читал что можно как-то через RADIUS но ещё можно через настройки самого Strongswan.

Для меня это тёмный лес плюс инфы кот наплакал. Может кто помочь примерами конфигов (своих) и тд реализации сего действа?

П. С. Есть конечно и топорный вариант, сделать 2 штуки VPN но блин зачем городить и тратить ресурсы когда можно всё на одном сделать...))

Comments

[AlexVWill]

А ты уверен, что в сети у всех клиентов будет статический IP, и переподключении он останется в точности таким же?

[bassoon48]

AlexVWill, а зачем клиентам статический ip?

Вопрос то соверешенно в другом. Вот ты уже второй раз невнимательно читаешь.

Вопрос в правах доступа к удалённой подсети! Не ко всем ip а к определённому пулу или вообще 2-3 адреса

[AlexVWill]

bassoon48, как ты вопрос сформулировал, так тебе и отвечают.

Встал вопрос разграничения доступа пул ip по пользаку.

Х.з. что у тебя в этом диапазоне IP, толи другие пользователи VPN сети, к которым надо разграничение сделать, толи просто клиенты LAN.

[bassoon48]

AlexVWill, ну и что я не так задал? А если не понял то можно переспросить.

А так можно и самому было бы догадаться. Да и зачем каждому пользаку давать ip когда это работает автоматически))

[rrambo]

может если у каждого пользователя будет выделенный айпи, то ограничивать(и давать доступ куда надо) правилами фаерволла?..

[bassoon48]

rrambo, А зачем нагружать шлюз лишними правилами когда можно 1 раз прописать на радиусе группу: Админы и Пользаки

И радиус уже сам будет отдавать доступные ip адреса?

[bassoon48]

rrambo, плюс ты зае....масштабировать свою петрушку в будущем. А группа намного проще.

Answer 1

[bassoon48]

потом может статью на хабре запилю.

В принципе это уже коробочное решение которое легко (с мозгами если ты) собирается руками.

Но в идеале для масштарбируемости нужно приделывать RADIUS.

.......
Нашёл способ.

1) Вот всё то же самое что у меня в том конфиге в предыдущем посте.
2) Но, мы добавляем в основную надстройку auto=ignore
3) Далее создаём псевдогруппы и там уже прописываем leftsubnet=...
4)ОБЯЗАТЕЛЬНО везде по дефолту прописываем сам dnsmasq сервак (DHCP сервак не авторитарный) у меня это 30.157 (сам впн сервак debian и dnsmasq), далее адрес бродкаста 255.255.255.255/32.
5) Потом по желанию прописываем 1 или 2 днс сервера 192.168.30.12/32
6) А уже далее прописываем сети или отдельные адреса
7) В результате каждому пользаку можно назначать ДОСТУПЫ!!! свои адреса или подсети)))

Сейчас хочу сделать в связку с радиусом чтобы вписывать в конфиг не пользователей а группы и не перегружать.

Мысль ясна?)
Прикольно?)))

Ваще огонь.

Answer 2

[CityCat4]

У меня у каждого юзера свой сертификат (и на той стороне микротик), я раздаю разные IP пулы через настройки микротика. Возможно в шване что-то такое можно замутить, это надо читать его документацию. Мне кажется здесь ключевой момент - у каждого юзера свой сертификат.

Comments

[bassoon48]

Нашёл способ.

1) Вот всё то же самое что у меня в том конфиге в предыдущем посте.
2) Но, мы добавляем в основную надстройку auto=ignore
3) Далее создаём псевдогруппы и там уже прописываем leftsubnet=...
4)ОБЯЗАТЕЛЬНО везде по дефолту прописываем сам dnsmasq сервак (DHCP сервак не авторитарный) у меня это 30.157 (сам впн сервак debian и dnsmasq), далее адрес бродкаста 255.255.255.255/32.
5) Потом по желанию прописываем 1 или 2 днс сервера 192.168.30.12/32
6) А уже далее прописываем сети или отдельные адреса
7) В результате каждому пользаку можно назначать свои адреса или подсети)))

Сейчас хочу сделать в связку с радиусом чтобы вписывать в конфиг не пользователей а группы и не перегружать.

Мысль ясна?)
Прикольно?)))

Ваще огонь.