# VPN

## Grundlagen

1. Um eine VPN-Regel zu erstellen, fügen Sie ein **Element** unter dem **Regelsammlungs** Bereich und wählen Sie **VPN-Regel hinzu.** 
2. Geben Sie der Regel einen **Namen** Namen, der erklärt, wofür die Regel verwendet wird. Außerdem hilft ein aussagekräftiger Name Ihnen später dabei, Authentifizierungsanforderungen, die von dieser Regel verarbeitet werden, in Ihren Protokollen leicht zu identifizieren.
3. Vergessen Sie nicht, **die Regel zu aktivieren!** show VPN-Regel

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F1mDm5qPMxBfR2JSTJilR%2Fimage.png?alt=media&#x26;token=762460e6-4681-4a73-a56c-89b451e92502" alt=""><figcaption><p>VPN-Regel anzeigen</p></figcaption></figure>

## **Authentifizierung**&#x20;

Unter dem **Authentifizierung** Bereich ist Ihre erste Wahl, ob Sie **zertifikatsbasierte** oder **benutzername-/passwortbasierte** Authentifizierung für diese Regel zulassen oder ablehnen möchten.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FL27ShA3DyBy8Xk1mcTS6%2Fimage.png?alt=media&#x26;token=3af29c0b-2d3a-4ce7-a168-605f31834f57" alt=""><figcaption><p>VPN-Authentifizierung anzeigen</p></figcaption></figure>

### **Zertifikatsbasierte Authentifizierung**

Für die zertifikatsbasierte Authentifizierung haben Sie die folgenden Möglichkeiten, eingehende Authentifizierungsanforderungen weiter einzuschränken.

#### Nur bestimmte CAs zulassen (vertrauenswürdige CAs)

Damit können Sie eingehende Authentifizierungsanforderungen auf bestimmte vertrauenswürdige Root- oder ausstellende CAs eingrenzen. Diese CAs können eine Teilmenge aller vertrauenswürdigen Roots sein, die Sie auf der RADIUSaaS-Plattform konfiguriert haben.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FwTTeU5yiS9IIWuOH1TzD%2Fimage.png?alt=media&#x26;token=3dd60827-e693-4d56-800e-4531bd89beaa" alt=""><figcaption><p>Zertifikatsfilterung anzeigen</p></figcaption></figure>

#### Nach Intune-IDs filtern&#x20;

Dies ist eine historische Einstellung. Wenn sich Ihre Clients mit Zertifikaten authentifizieren, die Ihre Clients während des AAD-Join erhalten haben, möchten Sie nach Ihrer Intune-Mandanten-ID filtern.&#x20;

Falls Sie Ihre Mandanten-IDs wie beschrieben eingegeben haben [hier](https://docs.radiusaas.com/de/admin-portal/trusted-roots#intune-id), ist das Standardverhalten von RADIUSaaS, dass nur Maschinen Zugriff auf das Netzwerk erhalten, die ein Zertifikat mit der Erweiterung OID **1.2.840.113556.5.14** und einem auf der Whitelist stehenden Wert für die Mandanten-ID vorlegen. Mit der Regel-Engine haben Sie nun die Möglichkeit, den Zugriff für eine bestimmte Regel weiter auf bestimmte Intune-IDs einzuschränken oder die Zertifikatserweiterung zu ignorieren. Dadurch können Sie ein Multi-Deployment-Setup haben, bei dem einige Clients mit Zertifikaten kommen, die die entsprechende OID enthalten, und andere nicht.&#x20;

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FS9j7IPx75GcWX5Mf5vIJ%2Fimage.png?alt=media&#x26;token=95674b05-9bc7-42dd-bd85-67e1c516ed6f" alt=""><figcaption><p>Intune-ID-Filterung anzeigen</p></figcaption></figure>

### Benutzername-/Passwortbasierte Authentifizierung

Nach dem Aktivieren **benutzername-/passwortbasierte** der Authentifizierung können Sie zusätzliche Filterung anwenden, indem Sie einen Regex auf dem **Benutzername**konfigurieren. Standard ist alle Benutzernamen.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FWXCuKgwusQZoEOoqH7AG%2Fimage.png?alt=media&#x26;token=b693bc2b-d6bd-4c7e-b46a-93ac314a4df8" alt=""><figcaption><p>Benutzername-/passwortbasierte Authentifizierung anzeigen</p></figcaption></figure>

## Konfiguration

Unter dem **Konfiguration** Bereich können Sie zusätzliche Filterkriterien basierend auf dem Ursprung der Authentifizierungsanforderungen konfigurieren sowie zusätzliche RADIUS-Attribute zurückgeben, z. B. Filter-Id.

### NAS-Identifikator-Filter

{% hint style="info" %}
Falls Sie sich nicht sicher sind, welchen Identifikator Ihr NAS verwendet, können Sie die Protokolle prüfen (Logtyp = detail). RADIUSaaS sucht nach einer Eigenschaft namens *NAS-Identifier* um mit den vertrauenswürdigen NAS-Identifikatoren abzugleichen.&#x20;
{% endhint %}

Um einen NAS-Identifikator-Filter festzulegen, wählen Sie entweder **Identifikatoren** oder **Gruppen**.&#x20;

* Wenn Sie **Identifikatoren**auswählen, können Sie mehrere **Identifikatoren angeben.**
* Wenn Sie **Gruppen,** können Sie auf eine oder mehrere Ihrer vordefinierten **NAS-Identifikator-Gruppen**.&#x20;

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FYRbROA5Is4ZBGHGucJ0y%2Fimage.png?alt=media&#x26;token=2692b122-c23c-4560-8b34-b07aafbbb3b7" alt=""><figcaption><p>NAS-Identifikator anzeigen</p></figcaption></figure>

### NAS-IP-Adressfilter

Um einen NAS-IP-Adressfilter festzulegen, wählen Sie entweder **IPs** oder **Gruppen**.&#x20;

* Wenn Sie **IPs**auswählen, können Sie mehrere **IPs.**
* Wenn Sie **Gruppen,** können Sie auf eine oder mehrere Ihrer vordefinierten **NAS-IP-Adressgruppen**.

<figure><img src="https://3933237825-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F34DcxYs1Uj4ZEULE81e6%2Fimage.png?alt=media&#x26;token=d11c9f16-8c01-496b-8ab7-ab7ac4126a22" alt="" width="401"><figcaption><p>NAS-IP-Adressfilter anzeigen</p></figcaption></figure>

### RADIUS-Attribut-Rückgabe

{% hint style="info" %}
Falls Sie Rückgabeattribute benötigen, die standardmäßig nicht verfügbar sind, fügen Sie diese bitte hinzu [hier](https://docs.radiusaas.com/de/admin-portal/settings/general-structure#radius-attributes).
{% endhint %}

Die RADIUSaaS-Regel-Engine bietet mehrere Möglichkeiten, zusätzliche RADIUS-Attribute zurückzugeben. Die folgenden Optionen sind verfügbar:

#### Statisch

Geben Sie das/die zurückzugebende(n) Attribut(e) und deren Wert(e) statisch an, die basierend auf der zugehörigen Regel zugewiesen werden sollen.

#### Über Zertifikatserweiterung

{% hint style="info" %}
Derzeit wird es von vielen MDM-Systemen, einschließlich Microsoft Intune und JAMF, nicht unterstützt, benutzerdefinierte Zertifikatserweiterungen zu SCEP-Profilen hinzuzufügen.

Wir empfehlen daher, stattdessen den [Subject Name des Zertifikats](#by-certificate-subject) zu verwenden, um eine VLAN-Zuweisung hinzuzufügen.
{% endhint %}

* Wählen Sie eine Ihrer erstellten Zertifikatserweiterungen aus
* Der Filter ist so eingestellt, dass der Wert des angegebenen Rückgabeattributs mit Ihrer angegebenen Erweiterung (OID) übereinstimmt
* Platzhalter werden in .\* Regex übersetzt

#### Über Zertifikats-Subject-Name-Eigenschaft

* Sie können zusätzliche RADIUS-Attribute auch basierend auf Eigenschaften im Subject Name Ihres Zertifikats zurückgeben
* Geben Sie daher an, in welcher Eigenschaft der Wert des Rückgabeattributs gespeichert ist
* Konfigurieren Sie dann, mit welchem String der Wert des Rückgabeattributs vorangestellt wird
* Der im Subject Name-Eigenschaft bereitgestellte Wert muss kein Präfix haben. Es kann jedoch erforderlich sein, ein Präfix zu verwenden, falls Ihr Subject Name dasselbe Attribut mehr als einmal enthält (z. B. sind mehrere CNs recht üblich).