none
Ограничение количества VPN сессий для одного пользователя RRS feed

  • Вопрос

  • День добрый коллеги!

    Server 2008R2 SP1. Поднята роль Network Policy and Access Services. 

    Там же стоит TMG. И он соответственно подгружает свою Admindll в RRAS.

    Задача стоит жестко привязать VPN сессию пользователя к определенному IP.

    Вопрос решаем как через NPS политики, так и через настройки пользователя домена. НО проблема в том, что данный IP он дает лишь первой сессии пользователя. Когда открываешь параллельно вторую, он дает уже IP адрес следующий из свободного пула. 

    Отсюда вопрос - как можно ограничить пользователя лишь одной VPN сессией. 

    З.Ы. В гугле нашел лишь статью http://blogs.technet.com/b/rrasblog/archive/2008/07/17/limit-one-connection-to-the-vpn-server-per-user.aspx, где нужно в Visual Studio сделать свою собственную dll. Боюсь, что она может вызвать конфликт с работой TMG. Да и 4 года прошло, неужели нет более красивых вариантов?



    • Изменено Naumishe 12 сентября 2012 г. 10:13
    12 сентября 2012 г. 10:03

Ответы

  • Продолжаем. 

    На счет подключения AdminDLL был не прав. Только 2000 сервер работал с одной dll, во всех поздних версиях их можно указывать через точку с запятой. В любом случае после подключения у меня ограничение все равно не заработало.

    В итоге результат добился так:

    1) на TMG для того пула айпи, который выдает RRAS стоит запрет на всё.

    2) в AD выставил каждому пользователю свой IP и соответственно в TMG раздал права под каждый IP.

    3) в NPS выставил получение IP из AD.

    В итоге - пользователь никогда не будет открывать параллельно 2 сессии, потому что в случае второй он получает обычный ip и не имеет доступов. Пользователь не сможет вручную указать в настройках подключения чужой IP адрес и получить выше доступ, потому что VPN сервер назначает его сам (в обратном случае - подключение не происходит).

    • Помечено в качестве ответа Naumishe 25 сентября 2012 г. 14:18
    13 сентября 2012 г. 14:49

Все ответы

  • Обсуждаю проблему дальше.

    Предложенный в статье вариант (указанной в конце поста) не подходит, поскольку к RRAS серверу подключить можно лишь одну AdminDll. Туда сейчас подключена TMG.

    Поскольку VPN сервер является RADIUS клиентом, а RADIUS сервера стоят на домен контроллерах и авторизация идем именно через них, возможно есть какие то настройки Connection Request Policy  или Network Policy где я могу таки жестко ограничить количество сессий?

    Неужели ни у кого никогда не стояло задачи ограничить VPN подключение пользователя конкретным IP адресом и соответственной фильтрацией в сети?


    • Изменено Naumishe 13 сентября 2012 г. 9:03
    13 сентября 2012 г. 7:08
  • Продолжаем. 

    На счет подключения AdminDLL был не прав. Только 2000 сервер работал с одной dll, во всех поздних версиях их можно указывать через точку с запятой. В любом случае после подключения у меня ограничение все равно не заработало.

    В итоге результат добился так:

    1) на TMG для того пула айпи, который выдает RRAS стоит запрет на всё.

    2) в AD выставил каждому пользователю свой IP и соответственно в TMG раздал права под каждый IP.

    3) в NPS выставил получение IP из AD.

    В итоге - пользователь никогда не будет открывать параллельно 2 сессии, потому что в случае второй он получает обычный ip и не имеет доступов. Пользователь не сможет вручную указать в настройках подключения чужой IP адрес и получить выше доступ, потому что VPN сервер назначает его сам (в обратном случае - подключение не происходит).

    • Помечено в качестве ответа Naumishe 25 сентября 2012 г. 14:18
    13 сентября 2012 г. 14:49