# VPN ## Conceptos básicos 1. Para crear una regla de VPN, agrega un **elemento** en la **colección de reglas** rama y seleccione **Regla de VPN.** 2. Dale a la regla un **Nombre** que explique para qué se utiliza la regla. Además, un nombre descriptivo te ayudará a identificar fácilmente más adelante en tus registros las solicitudes de autenticación procesadas por esta regla. 3. No olvides **habilitar** ¡la regla!

## **Autenticación** En la **Autenticación** rama, tu primera opción es si quieres permitir o denegar **basada en certificado** o **basada en nombre de usuario/contraseña** la autenticación para esta regla.

### **Autenticación basada en certificado** Para la autenticación basada en certificado tienes las siguientes opciones para restringir aún más las solicitudes de autenticación entrantes. #### Permitir solo CA específicas (CA de confianza) Esto te permite limitar las solicitudes de autenticación entrantes a raíces de confianza específicas o a CA emisoras. Esas CA pueden ser un subconjunto de todas las raíces de confianza que has configurado en la plataforma RADIUSaaS.

#### Filtrar por ID de Intune Esta es una configuración histórica. Si tus clientes se autentican con certificados que recibieron durante el AAD-Join, quieres filtrar por tu ID de inquilino de Intune. En caso de que hayas introducido tus ID de inquilino como se describe [aquí](https://docs.radiusaas.com/es/portal-de-administracion/trusted-roots#intune-id), el comportamiento predeterminado de RADIUSaaS es que solo las máquinas que presenten un certificado con la extensión OID **1.2.840.113556.5.14** y un valor incluido en la lista de permitidos para el ID de inquilino obtendrán acceso a la red. Con el motor de reglas, ahora tienes la opción de restringir aún más el acceso a ID de Intune específicos para una regla concreta o de ignorar la extensión del certificado. Esto te permite tener una configuración de varias implementaciones, en la que algunos clientes vienen con certificados que proporcionan el OID correspondiente y otros no.

### Autenticación basada en nombre de usuario/contraseña Después de habilitar **basada en nombre de usuario/contraseña** la autenticación, puedes aplicar un filtrado adicional configurando una expresión regular en el **Nombre de usuario**. El valor predeterminado es todos los nombres de usuario.

Mostrando autenticación basada en nombre de usuario/contraseña

## Configuración En la **Configuración** rama, puedes configurar criterios de filtrado adicionales basados en el origen de las solicitudes de autenticación, así como devolver atributos RADIUS adicionales, por ejemplo, Filter-Id. ### Filtro de identificador NAS {% hint style="info" %} En caso de que no estés seguro de qué identificador usa tu NAS, puedes revisar los registros (tipo de registro = detail). RADIUSaaS busca una propiedad llamada *NAS-Identifier* para compararla con los identificadores NAS de confianza. {% endhint %} Para establecer un filtro de identificador NAS, selecciona **identificadores** o **grupos**. * Si seleccionas **identificadores**, puedes especificar varios **identificadores.** * Si seleccionas **Grupos,** puedes hacer referencia a uno o más de tus **grupos de identificadores NAS**.

### Filtro de dirección IP del NAS Para establecer un filtro de dirección IP del NAS, selecciona **IPs** o **grupos**. * Si seleccionas **IPs**, puedes especificar varios **IPs.** * Si seleccionas **Grupos,** puedes hacer referencia a uno o más de tus **Grupos de direcciones IP del NAS**.

Mostrando filtro de dirección IP del NAS

### Devolución de atributos RADIUS {% hint style="info" %} En caso de que necesites atributos de devolución que no estén disponibles de forma predeterminada, añádelos [aquí](https://docs.radiusaas.com/es/portal-de-administracion/settings/general-structure#radius-attributes). {% endhint %} El motor de reglas de RADIUSaaS ofrece varias formas de devolver atributos RADIUS adicionales. Están disponibles las siguientes opciones: #### Estático Especifica de forma estática el o los atributos de devolución y sus valores, que deben asignarse en función de la regla relacionada. #### Por extensión de certificado {% hint style="info" %} Actualmente no se admite añadir extensiones personalizadas de certificado a perfiles SCEP en muchos sistemas MDM, incluidos Microsoft Intune y JAMF. Por ello, recomendamos usar el [nombre del asunto del certificado](#by-certificate-subject) del certificado en su lugar para añadir una asignación de VLAN. {% endhint %} * Selecciona una de las extensiones de certificado que has creado * El filtro se establece para que el valor del atributo de devolución especificado coincida con tu extensión (OID) especificada * Los comodines se traducirán a .\* Regex #### Por propiedad del nombre del asunto del certificado * También puedes devolver atributos RADIUS adicionales basados en propiedades del nombre del asunto de tu certificado * Para ello, especifica en qué propiedad se almacena el valor del atributo de devolución * Luego, configura con qué cadena debe tener como prefijo el valor del atributo de devolución * El valor proporcionado en la propiedad del nombre del asunto no necesita tener un prefijo. Sin embargo, puede ser necesario usar un prefijo en caso de que tu nombre del asunto contenga el mismo atributo más de una vez (por ejemplo, varios CN son bastante comunes).