# VPN ## Noções básicas 1. Para criar uma regra VPN, adicione um **item** na **coleção de regras** seção e selecione **Regra VPN.** 2. Dê à regra um **Nome** que explique para que a regra é usada. Além disso, um nome descritivo ajudará você a identificar facilmente, mais tarde, as solicitações de autenticação processadas por esta regra nos seus logs. 3. Não se esqueça de **ativar** a regra!

## **Autenticação** Na **Autenticação** seção, a sua primeira escolha é se pretende permitir ou recusar **baseada em certificado** ou **baseada em nome de utilizador/palavra-passe** a autenticação para esta regra.

### **Autenticação baseada em certificado** Para a autenticação baseada em certificado, tem as seguintes opções para restringir ainda mais as solicitações de autenticação recebidas. #### Permitir apenas CAs específicas (CAs confiáveis) Isto permite-lhe restringir as solicitações de autenticação recebidas a CAs raiz ou emissoras confiáveis específicas. Essas CAs podem ser um subconjunto de todas as Raízes Confiáveis que configurou na plataforma RADIUSaaS.

#### Filtrar por IDs do Intune Esta é uma definição histórica. Se os seus clientes estiverem a autenticar-se com certificados que receberam durante a AAD-Join, deverá filtrar pelo ID do seu inquilino do Intune. Caso tenha introduzido os IDs do seu inquilino conforme descrito [aqui](/pt/portal-de-administracao/settings/trusted-roots.md#intune-id), o comportamento padrão do RADIUSaaS é que apenas máquinas que apresentem um certificado com a extensão OID **1.2.840.113556.5.14** e um valor na lista de permitidos para o ID do inquilino terão acesso à rede. Com o motor de regras, agora tem a opção de restringir ainda mais o acesso a IDs específicos do Intune para uma regra específica ou de ignorar a extensão do certificado. Isto permite-lhe ter uma configuração de várias implementações, em que alguns clientes vêm com certificados que fornecem o respetivo OID e outros não.

### Autenticação baseada em nome de utilizador/palavra-passe Depois de ativar **baseada em nome de utilizador/palavra-passe** a autenticação, pode aplicar filtragem adicional configurando uma Regex no **Nome de utilizador**. O padrão é todos os nomes de utilizador.

Exibindo autenticação baseada em nome de utilizador/palavra-passe

## Configuração Na **Configuração** seção, é possível configurar critérios adicionais de filtragem com base na origem das solicitações de autenticação, bem como devolver atributos RADIUS adicionais, por exemplo, Filter-Id. ### Filtro de Identificador NAS {% hint style="info" %} Caso não tenha certeza de que identificador o seu NAS usa, pode verificar os logs (tipo de log = detalhe). O RADIUSaaS procura uma propriedade chamada *NAS-Identifier* para corresponder aos Identificadores NAS confiáveis. {% endhint %} Para definir um filtro de Identificador NAS, selecione **Identificadores** ou **Grupos**. * Se selecionar **Identificadores**, pode especificar vários **Identificadores.** * Se selecionar **Grupos,** pode referenciar um ou mais dos seus **Grupos de Identificadores NAS**.

### Filtro de Endereço IP NAS Para definir um filtro de endereço IP NAS, selecione **IPs** ou **Grupos**. * Se selecionar **IPs**, pode especificar vários **IPs.** * Se selecionar **Grupos,** pode referenciar um ou mais dos seus **Grupos de Endereços IP NAS**.

### Retorno de atributo RADIUS {% hint style="info" %} Caso necessite de atributos de retorno que não estejam disponíveis por padrão, adicione-os [aqui](/pt/portal-de-administracao/settings/rules/general-structure.md#radius-attributes). {% endhint %} O motor de regras do RADIUSaaS oferece várias formas de devolver atributos RADIUS adicionais. As seguintes opções estão disponíveis: #### Estático Especifique estaticamente o(s) atributo(s) de retorno e o(s) seu(s) valor(es) que devem ser atribuídos com base na regra relacionada. #### Por Extensão de Certificado {% hint style="info" %} Atualmente, não é suportado adicionar extensões de certificado personalizadas a perfis SCEP em muitos sistemas MDM, incluindo Microsoft Intune e JAMF. Por isso, recomendamos utilizar o [Nome do Assunto do Certificado](#by-certificate-subject) do certificado em vez disso, para adicionar uma atribuição de VLAN. {% endhint %} * Selecione uma das Extensões de Certificado que criou * O filtro é definido para corresponder o Valor do atributo de retorno especificado à extensão (OID) que especificou * Os wildcards serão traduzidos para .\* Regex #### Por Propriedade do Nome do Assunto do Certificado * Também pode devolver atributos RADIUS adicionais com base em propriedades no Nome do Assunto do seu certificado * Para isso, especifique em que propriedade o valor do atributo de retorno está armazenado * Depois, configure com que string o valor do atributo de retorno deve ser precedido * O valor fornecido na propriedade Nome do Assunto não precisa de ter um prefixo. No entanto, pode ser necessário usar um prefixo caso o seu Nome do Assunto contenha o mesmo atributo mais do que uma vez (por exemplo, vários CNs são bastante comuns). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/pt/portal-de-administracao/settings/rules/vpn.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.