Я участвую в настройке демонстрационной / пользовательской лабораторной среды, состоящей из нескольких стоек серверного комплекта. Идея состоит в том, что потенциальным клиентам аппаратного / программного обеспечения может быть предоставлена учетная запись VPN, которая позволит им использовать только определенный комплект. Основная проблема заключается в том, что пользователи могут делать с серверами все, что они хотят, с точки зрения ОС (Windows, Linux, ESXi, Xen ...), поэтому я считаю, что изолировать их от конкретной VLAN с их комплектом на соответствующих портах коммутатора. , это возможное решение.
Я предполагаю использовать сервер-бастион для управления учетными записями VPN и смотрел на ClearOS, потому что его графический интерфейс упрощает настройку / контроль доступа для лабораторных специалистов, но я не вижу способа настроить управление VLAN так, чтобы для Например, пользователь VPN 1 находится в VLAN 10, а пользователь VPN 2 находится в VLAN 15 и т. д.
Я надеюсь, что получу настройку на основе графического интерфейса, в которой работа распространяется на настройку пользовательской учетной записи VPN, указание их целевой VLAN и обеспечение того, чтобы их целевые системы были подключены к соответствующему банку портов коммутатора. По сути, я надеюсь избежать необходимости регулярного редактирования множества файлов iptables и т. Д.
Из-за некоторой работы, которую я проделал несколько лет назад, я также подумал, что коробка Mikrotik с RouterOS может делать такие вещи, но мне сейчас не с чем поиграть.
Я задавал этот вопрос на форумах ClearOS, но ("сверчки") есть ли у кого-нибудь здесь опыт работы с таким типом установки - любые рекомендации или мысли приветствуются.
Спасибо.
Я не знаком с ClearOS, но с Mikrotik вы определенно можете делать то, что вам нужно.
Либо с помощью графического интерфейса (Winbox), либо веб-интерфейса (webfig), либо стандартного терминала (SSH / Telnet).
Поскольку то, что вы описываете (каждая VPN в своей собственной VLAN) требует нескольких (повторяющихся) шагов для каждого нового пользователя в системе, вы также можете использовать API Mikrotik для управления тем, что вам нужно, используя собственный рабочий процесс.
Таким образом, вы можете написать свой собственный графический интерфейс (например, на PHP) и сделать его настолько простым, насколько захотите, в то время как в фоновом режиме он может запускать 5-10 команд на Mikrotik, о которых конечные пользователи не нуждаются или не заботятся о них :)