Серверные правила настраиваются на уровне vpn server-rules. Подробнее о структуре команд настройки серверных правил читайте в разделе Настройка правил с использованием UPL.
При настройке необходимо указать:
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL. |
|
enabled |
Включение/отключение правила:
Если при создании правила не указывать, то правило будет включено после создания. |
|
name |
Название серверного правила VPN. Например: name("VPN server rule example"). |
|
desc |
Описание правила. Например: desc("VPN server rule example configured in CLI"). |
|
profile |
Профиль безопасности VPN, определяющий общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Например, profile("Client VPN profile"). Подробнее о добавлении и настройке профилей безопасности читайте в разделе Настройка профилей безопасности VPN. |
|
vpn_network |
Сеть VPN. Для указания сети: vpn_network("VPN network example"). О настройках сети VPN с использованием интерфейса командной строки читайте в разделе Настройка сетей VPN. |
|
auth_profile |
Профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP. Чтобы указать профиль авторизации: auth_profile("Example user auth profile"). Подробнее о создании и настройке профилей авторизации с использованием интерфейса командной строки читайте в разделе Настройка профилей авторизации. |
|
interface |
VPN-интерфейс, который будет использоваться для подключения клиентов VPN. Чтобы указать интерфейс, например, tunnel1: interface(tunnel1). О добавлении и настройке интерфейсов VPN читайте в разделе Настройка VPN-адаптера. |
|
src.zone |
Зона, с которой разрешено принимать подключения к VPN. Для указания зоны источника, например, Untrusted: src.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов или доменов, с которых разрешено принимать подключения к VPN. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. |
|
user |
Пользователи и группы пользователей, которым разрешено подключение по VPN. Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). В следующей строке описано добавление локальных пользователя (local_user) и группы (Local Group), пользователя (example.local\AD_user) и группы LDAP (AD group): user = (local_user, "CN=Local Group, DC=LOCAL", "example.loc\\AD_user", "CN=AD group, OU=Example, DC= example, DC=loc") Заранее был настроен домен Active Directory example.loc. При добавлении пользователей и групп LDAP можно указать список путей на сервере, начиная с которых система будет осуществлять поиск пользователей и групп. |
|
dst.ip |
Добавление списков IP-адресов интерфейса, на который будет происходить подключение клиентов. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. |