VPNs L2TP / IPsec separadas com atribuição de VLAN dinâmica

2

Estou trabalhando em um concentrador de VPN Linux (Debian 7) para diferentes tipos de acesso remoto. Um dos protocolos oferecidos é o L2TP / IPsec devido à disponibilidade do cliente. Estou usando o xl2tpd que, por sua vez, usa o pppd e o pppd autentica os usuários através de um servidor RADIUS.

O que gostaríamos de alcançar agora é controlar o acesso à rede com base no usuário que se conecta à VPN. Por exemplo, o usuário A deve ser capaz de acessar apenas a sub-rede X, enquanto o usuário B deve ser capaz de acessar a sub-rede apenas Y. Na verdade, isso é semelhante à atribuição dinâmica de VLAN para WLAN. Infelizmente, não consegui encontrar (corrigir-me se estou errado) uma solução pronta para uso para VPNs L2TP / IPSec no Linux. Eu criei uma idéia que poderia fazer o truque, mas parece uma quantidade razoável de trabalho e, portanto, eu gostaria de saber se ela contém falhas óbvias ou se há uma maneira ainda mais fácil.

A ideia: usar os atributos de atribuição dinâmica de VLAN do RADIUS (especialmente Tunnel-Private-Group-Id) e o plugin radattr.so para o ppp. O xl2tpd atribui a cada cliente conectado uma nova interface virtual pppX e o plug-in cria um arquivo /var/run/radattr.pppX contendo todos os atributos recebidos do servidor RADIUS. Esses atributos podem ser usados por um script ppp-ifup para atribuir a interface virtual recém-criada a uma bridgeport Linux com a VLAN correspondente.

  • Alguém já criou essa configuração?
  • Existe alguma coisa que impeça que isso funcione?
  • Você geralmente desestimula essa configuração por algum motivo?

Obrigado antecipadamente

    
por terminal 31.10.2014 / 19:26

0 respostas