Momentálně mám nastavené VPN a vše fungovalo podle očekávání. Teď potřebuji, aby určitá notebooky měla přiřazenu stejnou IP pokaždé. Můj aktuální rozsah VPN je poměrně malý a NATuje do mého hlavního rozsahu. Jakýkoli nápad nebo způsob, jak by se to dalo dosáhnout, by byl oceněn.
Moje první myšlenka je, že to děláš špatně. Obvykle chceš sledovat uživatele, který se přihlašuje do sítě, ne notebook, ale i tak to můžeš udělat. Máme zde podobnou požadavek, kde určitým VPN jsou uživatelům přiděleny statické IP. RADIUS server předává IP jako atribut Framed-IP. Vyzkoušel jsem to pouze na FortiGate, ale fungovalo to. Je potřeba specificky povolit přiřazení IP z RADIUS serveru v CLI (alespoň jsem to tak dělal před pár lety).
Toto je nějaký příklad dokumentace, ale je to flexibilní a existuje několik způsobů, jak to udělat. Na googlu jsem našel několik dalších příkladů.
Jakýkoli RADIUS server by měl fungovat. Používáme ClearPass. Nejsem si jistý s TACACS nebo přímo AD.
Neměj to za tohle, ale myslím, že je to možné, když deaktivujete split tunneling.
Myslím, že byste mohl mít pravidlo firewallu, které filtruje podle zařízení a provádí NAT na zařízení na požadovanou IP. To platí za předpokladu, že používáte plný FortiClient, ne jen VPN. To by fungovalo pro notebooky přistupující do jiné sítě. Nemyslím si, že byste mohl mít jinou síť připojenou k notebookům. To je kvůli tomu, že destination NAT neví, jaká VPN IP bude přiřazena.
Pokud uvedete důvod, proč to potřebujete, může nám to poskytnout kontext a další možnosti.
Souhlasím, že je to špatně. Mám zvláštní potřebu, aby každý počítač měl stejnou IP, a je to opravdu zdlouhavé.
To nemá nic společného s plným/split tunnel. Stačí, aby přiřazení IP bylo prováděno přes RADIUS, protože to je jediný současný rozumný způsob. (šílený způsob jsou vlastní portály pro uživatele s jediným IP, IP pooly) DHCP je na cestě, takže pravděpodobně bude možné používat DHCP pro statická přiřazení, až to bude dostupné.
Dříve jsem to podobně dělal s Radius, ale teď na této stránce nemám RADIUS k přiřazení IP. Přemýšlím o jednotlivých portálech pro každý počítač a definovaném rozsahu IP pro každý VPN portál. Ještě to neověřoval, ale je to jediný nápad, který mám.
Je to kvůli malé agentuře 911 sítě. Vyžadují to a nedokážu přijít na lepší způsob.
DHCP je na cestě
Držte palce. Chybí mi tato funkce z AnyConnect.
Bez RADIUS je to jediná možnost.
Pokud máte jen pár uživatelů, kteří to potřebují, je to realizovatelné, ale naprosto to nemá škálovatelnost.
Nevidím SSL VPN jako volbu pro toto. Možná by šlo toto s konfigurací DHCP serveru v koordinaci s IPsec připojením VPN.
Mám stejný problém kvůli omezením portálu hardwarem.