Серверные правила настраиваются на уровне vpn server-rules. Подробнее о структуре команд настройки серверных правил читайте в разделе Настройка правил с использованием UPL.
При настройке необходимо указать:
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL.
enabled
Включение/отключение правила:
enabled(yes) или enabled(true).
enabled(no) или enabled(false).
Если при создании правила не указывать, то правило будет включено после создания.
name
Название серверного правила VPN.
Например: name("VPN server rule example").
desc
Описание правила.
Например: desc("VPN server rule example configured in CLI").
profile
Профиль безопасности VPN, определяющий общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Например, profile("Client VPN profile").
Сеть VPN. Для указания сети: vpn_network("VPN network example").
О настройках сети VPN с использованием интерфейса командной строки читайте в разделе Настройка сетей VPN.
auth_profile
Профиль аутентификации для пользователей VPN. Допускается использовать тот же профиль аутентификации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной аутентификации, такие как Kerberos, NTLM, SAML IDP.
Чтобы указать профиль аутентификации: auth_profile("Example user auth profile").
Подробнее о создании и настройке профилей аутентификации с использованием интерфейса командной строки читайте в разделе Настройка профилей аутентификации.
interface
VPN-интерфейс, который будет использоваться для подключения клиентов VPN. Чтобы указать интерфейс, например, tunnel1: interface(tunnel1).
Зона, с которой разрешено принимать подключения к VPN.
Для указания зоны источника, например, Untrusted: src.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip
Добавление списков IP-адресов или доменов, с которых разрешено принимать подключения к VPN.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
user
Пользователи и группы пользователей, которым разрешено подключение по VPN.
Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора).
В следующей строке описано добавление локальных пользователя (local_user) и группы (Local Group), пользователя (example.local\AD_user) и группы LDAP (AD group):
user = (local_user, "CN=Local Group, DC=LOCAL", "example.loc\\AD_user", "CN=AD group, OU=Example, DC= example, DC=loc")
Заранее был настроен домен Active Directory example.loc. При добавлении пользователей и групп LDAP можно указать список путей на сервере, начиная с которых система будет осуществлять поиск пользователей и групп.
dst.ip
Добавление списков IP-адресов интерфейса, на который будет происходить подключение клиентов.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
