Зарезервировать IP для VPN пользователя на Cisco ASA5520
Модераторы: Trinity admin`s, Free-lance moderator`s
-
- Power member
- Сообщения: 47
- Зарегистрирован: 12 окт 2006, 19:32
- Откуда: Boston
- Контактная информация:
Зарезервировать IP для VPN пользователя на Cisco ASA5520
Для удаленного доступа используется VPN Cisco ASA5520 и Microsoft RADIUS сервер.
Возможно-ли зарезервировать получение клиентом постоянного IP при подсоединении к VPN? Заранее благодарен.
Возможно-ли зарезервировать получение клиентом постоянного IP при подсоединении к VPN? Заранее благодарен.
-
- Power member
- Сообщения: 47
- Зарегистрирован: 12 окт 2006, 19:32
- Откуда: Boston
- Контактная информация:
Re: Зарезервировать IP для VPN пользователя на Cisco ASA5520
Ну честно говоря это не много не то, вернее совсем не то. Для авторизауии пользователей используется Microsoft Radius server. Соответственно и IP должны раздаваться для пользователей из AD
Re: Зарезервировать IP для VPN пользователя на Cisco ASA5520
По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD
Re: Зарезервировать IP для VPN пользователя на Cisco ASA5520
Я продукцию МС плохо знаю, ACS ковыряется для таких вещей и если надо интегрируется с eDir, AD и т.п.
Смотрите AAA и DHCP адреса.
http://www.cisco.com/en/US/docs/securit ... vpnadd.pdf
Смотрите AAA и DHCP адреса.
http://www.cisco.com/en/US/docs/securit ... vpnadd.pdf
-
- Power member
- Сообщения: 47
- Зарегистрирован: 12 окт 2006, 19:32
- Откуда: Boston
- Контактная информация:
Re: Зарезервировать IP для VPN пользователя на Cisco ASA5520
Огромное спасибо, можно-ли немного по подробнее?Kot-II писал(а):По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD
Re: Зарезервировать IP для VPN пользователя на Cisco ASA5520
Вариант 2:skf писал(а):Огромное спасибо, можно-ли немного по подробнее?Kot-II писал(а):По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD
Открыть Active Directory Users and Computers, найти нужного пользователя, Propertires, закладка Dial-In, поставить галочку Assign a Static IP Address, вписать адрес
Вариант 1:
Тут я немного ввел в заблуждние, IAS не дает назначить policy на индивидуального юзера, только на группу. Впрочем, никто не мешает создать группу и поместить в нее одного юзера.
Соответсвенно: в оснастке IAS создаем новую Remote Access Policy, указываем, что она для VPN, для группы, выбираем группу. Потом в свойствах новой policy убеждаемся, что выбрано Grant remote access permissions, нажимаем Edit profile, на закладке IP выбираем Assign a Static IP Address, вписываем IP
Прверяем: в консоли ASA debug radius all, делаем test aaa-server authorization (или из ASDM Test на страничке конфигурации AAA), смотрим трейс пакетов, убеждаемся, что IAS отдал атррибут с правильным адресом.
-
- Power member
- Сообщения: 47
- Зарегистрирован: 12 окт 2006, 19:32
- Откуда: Boston
- Контактная информация:
Re: Зарезервировать IP для VPN пользователя на Cisco ASA5520
Огромное спасибо, буду разбиратьсяKot-II писал(а):Вариант 2:skf писал(а):Огромное спасибо, можно-ли немного по подробнее?Kot-II писал(а):По моему, штатные средства вполне работают (по быстому попробовал на 5505 и IAS от Server 2003):
Вариант 1:
Создать для пользователя на IAS отдельную политику, в профиль вписать фиксированный IP
Вариант 2:
Вписать фиксированный IP в профиль пользователя в AD
Открыть Active Directory Users and Computers, найти нужного пользователя, Propertires, закладка Dial-In, поставить галочку Assign a Static IP Address, вписать адрес
Вариант 1:
Тут я немного ввел в заблуждние, IAS не дает назначить policy на индивидуального юзера, только на группу. Впрочем, никто не мешает создать группу и поместить в нее одного юзера.
Соответсвенно: в оснастке IAS создаем новую Remote Access Policy, указываем, что она для VPN, для группы, выбираем группу. Потом в свойствах новой policy убеждаемся, что выбрано Grant remote access permissions, нажимаем Edit profile, на закладке IP выбираем Assign a Static IP Address, вписываем IP
Прверяем: в консоли ASA debug radius all, делаем test aaa-server authorization (или из ASDM Test на страничке конфигурации AAA), смотрим трейс пакетов, убеждаемся, что IAS отдал атррибут с правильным адресом.
Кто сейчас на конференции
Сейчас этот форум просматривают: Google [Bot] и 14 гостей