VPN

Grundlagen

Um eine VPN-Regel zu erstellen, fügen Sie ein Element unter dem Regelsatz Bereich hinzu und wählen VPN-Regel.
Geben Sie der Regel einen Namen der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein beschreibender Name später dabei, Authentifizierungsanfragen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.
Vergessen Sie nicht, die Regel zu aktivieren!

Authentifizierung

Unter dem Authentifizierung Bereich ist Ihre erste Wahl, ob Sie zertifikatbasierte oder benutzername-/passwortbasierte Authentifizierung für diese Regel zulassen oder ablehnen möchten.

Zertifikatbasierte Authentifizierung

Für die zertifikatbasierte Authentifizierung haben Sie die folgenden Möglichkeiten, um eingehende Authentifizierungsanfragen weiter einzuschränken.

Nur bestimmte CAs zulassen (Vertrauenswürdige CAs)

Dies ermöglicht es Ihnen, eingehende Authentifizierungsanfragen auf bestimmte vertrauenswürdige Stamm- oder ausstellende CAs zu beschränken. Diese CAs können eine Teilmenge aller vertrauenswürdigen Stammzertifikate sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.

Filter für Intune-IDs

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die sie während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune-Mandanten-ID filtern.

Falls Sie Ihre Mandanten-IDs wie hierbeschrieben eingegeben haben, ist das Standardverhalten von RADIUSaaS, dass nur Maschinen, die ein Zertifikat mit der Erweiterung OID 1.2.840.113556.5.14 und einem auf die Whitelist gesetzten Mandanten-ID-Wert präsentieren, Zugriff auf das Netzwerk erhalten. Mit der Regel-Engine haben Sie nun die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikaterweiterung zu ignorieren. Dadurch können Sie eine Multi-Deployment-Konfiguration haben, in der einige Clients Zertifikate mit der jeweiligen OID mitbringen und einige nicht.

Benutzername-/Passwortbasierte Authentifizierung

Nach dem Aktivieren der benutzername-/passwortbasierte Authentifizierung können Sie zusätzliche Filter anwenden, indem Sie einen Regex auf den Benutzernamenkonfigurieren. Standard ist alle Benutzernamen.

Konfiguration

Unter dem Konfiguration Im Bereich können Sie zusätzliche Filterkriterien basierend auf der Herkunft der Authentifizierungsanfragen konfigurieren sowie zusätzliche RADIUS-Attribute zurückgeben, z. B. Filter-Id.

NAS-Identifier-Filter

Falls Sie unsicher sind, welchen Identifier Ihr NAS verwendet, können Sie die Protokolle prüfen (Logtyp = detail). RADIUSaaS sucht nach einer Eigenschaft namens NAS-Identifier um sie mit den vertrauenswürdigen NAS-Identifiers abzugleichen.

Um einen NAS-Identifier-Filter zu setzen, wählen Sie entweder Identifiers oder Gruppen.

Wenn Sie Identifiersauswählen, können Sie mehrere Identifiers
Wenn Sie angeben. Gruppen, können Sie eine oder mehrere Ihrer vordefinierten.

NAS-Identifier anzeigen

NAS-IP-Adressfilter Um einen NAS-IP-Adressfilter zu setzen, wählen Sie entweder oder Gruppen.

Wenn Sie Um einen NAS-IP-Adressfilter zu setzen, wählen Sie entwederauswählen, können Sie mehrere IPs
Wenn Sie angeben. Gruppen, IPs..

NAS-IP-Adressfilter anzeigen

RADIUS-Attribut-Rückgabe hier.

Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, fügen Sie diese bitte hinzu

Die Regel-Engine von RADIUSaaS bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben. Die folgenden Optionen stehen zur Verfügung:

Statisch

Geben Sie statisch das/die Rückgabeattribut(e) und deren Wert/Werte an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

Über Zertifikatserweiterung

Derzeit wird in vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikaterweiterungen zu SCEP-Profilen hinzuzufügen. Wir empfehlen daher, stattdessen den Zertifikat-Subject-Namen

des Zertifikats zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.
Wählen Sie eine Ihrer erstellten Zertifikaterweiterungen aus
Der Filter ist so gesetzt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt

Platzhalter werden in .* Regex übersetzt

Über Eigenschaft des Zertifikat-Subject-Namens
Sie können zusätzliche RADIUS-Attribute auch basierend auf Eigenschaften im Subject-Namen Ihres Zertifikats zurückgeben
Geben Sie dazu an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist
Konfigurieren Sie dann, mit welcher Zeichenfolge der Wert des Rückgabeattributs vorangestellt wird Der im Subject-Name-Attribut angegebene Wert muss nicht zwingend ein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht häufig).

Zuletzt aktualisiert vor 9 Tagen

War das hilfreich?

Guten Tag

hashtagGrundlagen

hashtagAuthentifizierung

hashtagZertifikatbasierte Authentifizierung

hashtagNur bestimmte CAs zulassen (Vertrauenswürdige CAs)

hashtagFilter für Intune-IDs

hashtagBenutzername-/Passwortbasierte Authentifizierung

hashtagKonfiguration

hashtagNAS-Identifier-Filter

hashtagNAS-Identifier anzeigen

hashtagNAS-IP-Adressfilter anzeigen

hashtagDie Regel-Engine von RADIUSaaS bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben. Die folgenden Optionen stehen zur Verfügung:

hashtagGeben Sie statisch das/die Rückgabeattribut(e) und deren Wert/Werte an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

hashtagPlatzhalter werden in .* Regex übersetzt