L2TP/IPsec с авторизацией в самбе — как можно назначить пользователю конкретный IP-адрес?

Question

[Максим Гришин]

Имеется сервер на CentOS7, на нем поднят strongswan+xl2tpd+samba-winbind, pppd настроен проверять MSCHAPv2 в плагине от самбы. Всё работает, но только с тем диапазоном IP-адресов, которые указаны в xl2tpd. Если я хочу кому-нибудь выдать IP-адрес, отличный от этого диапазона, то мне негде его указать! xl2tpd выделяет из своего пула адрес до аутентификации по MSCHAPv2, а pppd, похоже, при такой схеме просто не лезет в свой chap-secrets, чтобы прочесть оттуда айпишник для пользователя. Или, как вариант, не получает корректного имени пользователя от плагина после завершения аутентификации.

Соответственно вопрос, есть ли возможность привязать IP-адрес к клиенту L2TP/IPsec при авторизации не через файл?

Answer 1

[mikes]

Проблема имеет решение, но использовать для связки vpn с active directory нужно radius (freeradius видимо в вашем случае) и тогда в атрибутах пользователя AD можно указать статический ip который он должен получать.

Comments

[Максим Гришин]

В итоге именно через радиус и сделал, хотя и слегка неправильно по итогам ;) Спасибо.

[mikes]

а что именно не так? возможно ваш опыт будет полезен тем кто найдет эту страницу по поиску.

[Максим Гришин]

Я использовал не атрибуты, а хардкод в конфиге. Правда, у меня были ещё пользователи, которые не-доменные, которым тоже нужен был статический адрес, его, кроме как в конфиг, никуда не пихнешь - городить БД ради пары строк очень нелогично.