Ich habe auf meinem NAS (Cisco 2921-Router) einen Adresspool (172.16.0.0/24) für meine IPsec-Clients konfiguriert.
Ich habe Subnetze mit unterschiedlichen Subnetzmaskenlängen für verschiedene Benutzergruppen. Beispielsweise habe ich 172.16.0.64/27 für eine Abteilung, 172.16.0.96/28 für eine andere Abteilung und so weiter. Ich verwende Framed-IP-AddressAttribute in der Benutzerkonfiguration, z. B.:
vpnclient01 ClearText-Password := "cisco"
Service-Type = Outbound-User,
Framed-IP-Address = 172.16.0.68,
Framed-IP-Netmask = 255.255.255.255,
Cisco-AVPair += "ipsec:inacl=IPSEC_ACL_FOR_SPECIFIC_DEPT",
<other Cisco-AVPair params.>
Ich muss manuell nachverfolgen, ob die IP-Adresse nicht verwendet wird (ich habe sogar ein Skript dafür geschrieben) und jedem neuen Benutzer manuell eine IP-Adresse zuweisen. Das ist ganz schön mühsam.
Meine Frage lautet: Kann ich die IP-Adresspools irgendwie auf dem RADIUS-Server selbst statt auf dem Cisco-Router verwalten, zum Beispiel mithilfe eines Webverwaltungstools wie DaloRADIUS(oder durch manuelle Konfiguration), sodass ich den Adresspool einfach allen Benutzern zuweisen kann und der RADIUS-Server die dynamische Zuweisung für jede Gruppe selbst vornimmt?
Wenn Sie genauere Informationen benötigen, hinterlassen Sie bitte einen Kommentar. Vielen Dank!
PS.Ja, ich verwende ein MySQL-Backend.
Antwort1
Ja, siehe das Modul rlm_sqlippool.