Привет, коллеги-пользователи Mikrotik! Я относительно недавно работаю с Mikrotik и хочу использовать кучу устройств Mikrotik CCR вместо устаревших маршрутизаторов Cisco 7200, которые сейчас обеспечивают LNS-терминацию для клиентских L2TP-сессий. Мне удалось настроить базовый функционал LNS, но мы застряли на том, как смоделировать функциональность, которую в Cisco реализуют с помощью нескольких vpdn-groups и virtual-templates.
Рассмотрим следующую конфигурацию LNS:
/ppp profile add name=virtual-template1 local-address=172.16.96.222 remote-address=pool1
/ppp profile add name=virtual-template2 local-address=172.16.96.226 remote-address=pool1
/ppp l2tp-secret add address=172.16.96.221/32 secret=xxx
/ppp l2tp-secret add address=172.16.96.225/32 secret=xxx
/interface l2tp-server server set caller-id-type=ip-address default-profile=virtual-template1 enabled=yes
Последняя строка конфигурации задаёт default-profile для L2TP-сервера как «virtual-template1», но как нам выбрать альтернативный профиль для другой группы сессий при использовании RADIUS-аутентификации? Эта другая группа сессий может использовать другую область аутентификации или исходить из другой группы адресов LAC.
Есть разные profile/virtual-template, которые хотелось бы менять, но особенно важно для некоторых типов сервисов использовать разный local-address. Если пользователи определены локально в Mikrotik, можно указать профиль для сессии, но, похоже, нет каких-то RADIUS-атрибутов, которые влияют на default-profile или local-address для l2tp-server.
Пример локального пользователя:
/ppp secret add disabled=no name=user@realm.com password=test profile=virtual-template2
В Cisco же есть возможность использовать ‘terminate-from hostname’, чтобы настроить разные service profiles, где каждый vpdn-group может указывать свой virtual-template. Например:
vpdn-group DSL accept-dialin protocol l2tp virtual-template 1 terminate-from hostname DSL-LAC
vpdn-group Wireless accept-dialin protocol l2tp virtual-template 2 terminate-from hostname Wireless-LAC
Как добиться подобного в Mikrotik? Если официальной поддержки выбора профиля через конфигурацию или RADIUS нет, можно ли реализовать это через скрипты? Я заметил, что доступен On-Up скрипт на default-profile, но сможет ли он изменить local-address? Кажется, это будет уже поздно.
Заранее спасибо!
С уважением, Darren
Рассмотрим следующую конфигурацию LNS:
/ppp profile add name=virtual-template1 local-address=172.16.96.222 remote-address=pool1
/ppp profile add name=virtual-template2 local-address=172.16.96.226 remote-address=pool1
/ppp l2tp-secret add address=172.16.96.221/32 secret=xxx
/ppp l2tp-secret add address=172.16.96.225/32 secret=xxx
/interface l2tp-server server set caller-id-type=ip-address default-profile=virtual-template1 enabled=yes
Последняя строка конфигурации задаёт default-profile для L2TP-сервера как «virtual-template1», но как нам выбрать альтернативный профиль для другой группы сессий при использовании RADIUS-аутентификации? Эта другая группа сессий может использовать другую область аутентификации или исходить из другой группы адресов LAC.
Есть разные profile/virtual-template, которые хотелось бы менять, но особенно важно для некоторых типов сервисов использовать разный local-address. Если пользователи определены локально в Mikrotik, можно указать профиль для сессии, но, похоже, нет каких-то RADIUS-атрибутов, которые влияют на default-profile или local-address для l2tp-server.
Пример локального пользователя:
/ppp secret add disabled=no name=user@realm.com password=test profile=virtual-template2
В Cisco же есть возможность использовать ‘terminate-from hostname’, чтобы настроить разные service profiles, где каждый vpdn-group может указывать свой virtual-template. Например:
vpdn-group DSL accept-dialin protocol l2tp virtual-template 1 terminate-from hostname DSL-LAC
vpdn-group Wireless accept-dialin protocol l2tp virtual-template 2 terminate-from hostname Wireless-LAC
Как добиться подобного в Mikrotik? Если официальной поддержки выбора профиля через конфигурацию или RADIUS нет, можно ли реализовать это через скрипты? Я заметил, что доступен On-Up скрипт на default-profile, но сможет ли он изменить local-address? Кажется, это будет уже поздно.
Заранее спасибо!
С уважением, Darren
