...
Настройка L2TP over IPsec/PPTP-сервера
authentication
...
method
Данной командой устанавливается режим разрешает использование метода аутентификации удаленных пользователей, подключающихся по протоколам PPTP или L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
authentication mode { local | radius }no[no] authentication modemethod <METHOD>
Параметры
...
<METHOD> –
...
метод аутентификации,
...
принимает значения [chap, mschap, mschap-v2, eap, pap].
Значение по умолчанию
Разрешен только chap
Необходимый уровень привилегий
1510
Командный режим
CONFIG-PPTP-SERVER
...
| Блок кода |
|---|
esr(config-pptp-server)# authentication modemethod localmschap |
authentication
...
mode
Данной командой разрешает использование метода устанавливается режим аутентификации удаленных пользователей, подключающихся по протоколам PPTP или L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
[no]authentication mode { local | radius }
no authentication method <METHOD>mode
Параметры
...
- local –
...
- режим аутентификации,
...
Значение по умолчанию
Разрешен только chap
- использующий локальную базу пользователей конфигурируемого профиля.
- radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер.
Необходимый уровень привилегий
1015
Командный режим
CONFIG-PPTP-SERVER
...
| Блок кода |
|---|
esr(config-pptp-server)# authentication methodmode mschaplocal |
dns-servers
Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи, подключающиеся по протоколам PPTP и L2TP over IPsec.
...
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся командой «ipsec authentication pre-shared-key» (см раздел Управление VPN. Настройки удаленного доступа#ipsec ipsec authentication pre-shared-key).
...
| Блок кода |
|---|
esr(config-l2tp-server)# ipsec authentication pre-shared-key ascii-text password |
ipsec ike proposal
Данной командой для L2TP-сервера назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IKE.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IKE.
Синтаксис
[no] ipsec ike proposal <NAME>Параметры
<NAME> – имя ранее созданного профиля протокола IKE, задаётся строкой до 31 символа.
Значение по умолчанию
Ограничение отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-l2tp-server)# ipsec ike proposal IKE_PROPOSAL |
ipsec proposal
Данной командой для L2TP-сервера назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IPsec.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IPsec.
Синтаксис
[no] ipsec proposal <NAME>
Параметры
<NAME> – имя ранее созданного профиля IPsec, задаётся строкой до 31 символа.
Значение по умолчанию
Ограничение отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-l2tp-server)# ipsec proposal IPSEC_PROPOSAL |
local-address
Данной командой указывается IP-адрес, используемый PPTP или L2TP over IPsec сервером в качестве локального IP-адреса туннеля.
Использование отрицательной формы команды (no) удаляет настроенный локальный IP-адрес туннеля.
Синтаксис
local-address { object-group <NAME> | ip-address <ADDR> }no local-address
Параметры
<NAME> – имя профиля IP-адресов, который содержит локальный IP-адрес туннеля, задаётся строкой до 31 символа.
<ADDR> – локальный IP-адрес туннеля задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-pptp-server)# local-address object-group pptp_local |
...
Использование отрицательной формы команды (no) устанавливает значение MTU по умолчанию.
Синтаксис
mtu <MTU>
no mtu
Параметры
<MTU> – значение MTU, принимает значения в диапазоне [1280..1500].
Значение по умолчанию
1500
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-pptp-server)# mtu 1400 |
...
Использование отрицательной формы команды (no) удаляет настроенный адрес для прослушивания.
Синтаксис
outside-address { object-group <NAME> | ip-address <ADDR> | interface { <IF> | <TUN> } }no outside-address
Параметры
<NAME> – имя профиля IP-адресов, содержащий адрес, который будет прослушиваться PPTP или L2TP over IPsec сервером на наличие входящих подключений, задаётся строкой до 31 символа.
...
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-pptp-server)# outside-address object-group pptp_outside |
...
Использование отрицательной формы команды (no) удаляет список IP-адресов удаленных пользователей.
Синтаксис
remote-address { object-group <NAME>| address-range <FROM-ADDR>-<TO-ADDR> }no remote-address
Параметры
<NAME> – имя профиля IP-адресов, который содержит список IP-адресов удаленных пользователей, задаётся строкой до 31 символа.
...
<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-pptp-server)# remote-address object-group pptp_remote |
...
Использование отрицательной формы команды (no) удаляет IP-адрес подсети, доступной через динамический PPTP/L2TP-туннель.
Синтаксис
remote network <ADDR/LEN>
no remote network
Параметры
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPP-USER
Пример
| Блок кода |
|---|
esr(config-ppp-user)# remote network 192.168.54.0/24 |
...
Использование отрицательной формы команды (no) удаляет IP-адрес подсети, доступной через динамический PPTP/L2TP-туннель.
Синтаксис
remote networks <OBJ-GROUP-NETWORK-NAME>
no remote network
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP/IPv6-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPP-USER
Пример
| Блок кода |
|---|
esr(config-ppp-user)# remote network 192.168.54.0/24 |
...
Команда устанавливает режим командной строки PPTP USER или L2TP USER в зависимости от текущего командного режима.
Синтаксис
[no] username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-pptp-server)# username fedor esr(config-pptp-user)# |
...
Использование отрицательной формы команды (no) удаляет настроенные адреса WINS-серверов.
Синтаксис
wins-servers object-group <NAME>
no wins-servers
Параметры
<NAME> – имя профиля IP-адресов, который содержит адреса необходимых WINS-серверов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
| Блок кода |
|---|
esr(config-pptp-server)# wins-servers object-group l2tp_wins |
...
Использование отрицательной формы команды (no) удаляет список IP-адресов удаленных пользователей.
Синтаксис
address-range <FROM-ADDR>-<TO-ADDR>
no address-range
Параметры
<FROM-ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# address-range 192.168.1.10-192.168.1.250 |
...
Использование отрицательной формы команды (no) устанавливает режим аутентификации по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication-algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации:
- 8-128 bits key size: md4, rsa-md4, md5, rsa-md5, mdc2, rsa-mdc2
- 8-160 bits key size: sha, sha1, rsa-sha, rsa-sha1, rsa-sha1-2, dsa, dsa-sha, dsa-sha1, dsa-sha1-old, ripemd160, rsa-ripemd160, ecdsa-with-sha1
- 8-224 bits key size: sha-224, rsa-sha-224
- 8-256 bits key size: sha-256, rsa-sha-256
- 8-384 bits key size: sha-384, rsa-sha-384
- 8-512 bits key size: sha-512, rsa-sha-512, whirlpool
Значение по умолчанию
sha
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# authentication algorithm cleartext |
...
Использование отрицательной формы команды (no) исключает соединения из L2-домена.
Синтаксис
bridge-group <BRIDGE-ID>
no bridge-group
Параметры
<BRIDGE-ID> – идентификационный номер моста. Задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# bridge-group 15 |
...
Использование отрицательной формы команды (no) удаляет из профиля указанный сертификат.
Синтаксис
certificate <CERTIFICATE-TYPE> <NAME>
no certificate <CERTIFICATE-TYPE>
Параметры
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
...
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# certificate ca ca.crt |
...
Использование отрицательной формы команды (no) снимает блокировку.
Синтаксис
[no] client-isolation
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# client-isolation |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
client-max <VALUE>
no client-max
Параметры
<VALUE> – максимальное количество пользователей, принимает значения [1..65535].
Значение по умолчанию
Не ограничено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# clients-max 500 |
...
Использование отрицательной формы команды (no) отключает механизм сжатия передаваемых данных.
Синтаксис
[no] compression
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# compression |
...
Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов.
Синтаксис
dns-server <ADDR>
no dns-server { <ADDR> | all }Параметры
<ADDR> – IP-адрес DNS-серверa, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
all – удалить все сконфигурированные диапазоны IP-адресов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# dns-server 1.1.1.1 |
...
Использование отрицательной команды (no) запрещает использование одного сертификата более чем одному пользователю.
Синтаксис
[no] duplicate-cn
Параметры
Команда не имеет параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# duplicate-cn |
...
Использование отрицательной формы команды (no) отключает шифрование.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, blowfish128, aes128, des-ede, aes192, 3des, desx, aes256.
Значение по умолчанию
Шифрование отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# encryption algorithm aes128 |
...
Данная команда определяет статический IP-адрес для указаного клиенатауказанного клиента. Использование отрицательной формы команды (no) удаляет статический IP-адрес у клиента.
Синтаксис
[no] ip address <ADDR>
Параметры
<ADDR> – IP-адрес, имеет следующий формат:
AAA.BBB.CCC.DDD – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-USER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# username client esr(config-openvpn-user)# ip address 10.10.100.15 |
...
Использование отрицательной формы команды (no) деактивирует список аутентификации.
Синтаксис
login authentication <NAME>
no login authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# login authentication OPENVPN-LIST |
...
Использование отрицательной формы команды (no) удаляет данную подсеть.
Синтаксис
network <ADDR/LEN>
no network
Параметры
<ADDR/LEN> – IP-подсеть подсети, имеет один из следующих форматов:
- AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# network 192.168.25.0/24 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – TCP/UDP порт, принимает значения [1..65535].
Значение по умолчанию
1194
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# port 5000 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<TYPE> – тип инкапсуляции, возможные значения:
- TCP-инкапсуляция в TCP-сегменты;
- UDP-инкапсуляция в UDP-дейтаграммы.
Значение по умолчанию
Отановлено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# protocol udp |
...
Использование отрицательной формы команды (no) отключает анонсирование маршрута по умолчанию.
Синтаксис
[no] redirect-gateway
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# redirect-gateway |
...
Данной командой включается анонсирование указанных подсетей, шлюзом является IP адрес OpenVPN-сервера (первый IP-адрес из подсети, заданной с помощью команды network, описанной в разделе Управление VPN. Настройки удаленного доступа#network network).
Использование отрицательной формы команды (no) отключает анонсирование указанных подсетей.
Синтаксис
route <ADDR/LEN>
no route { <ADDR/LEN> | all }Параметры
<ADDR/LEN> – IP-подсеть, имеет следующий формат:
AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32];
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# route 192.168.25.0/24, 192.168.26.0/24 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timers holdtime <TIME>
no timers holdtime
Параметры
<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию
120
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# timers holdtime 360 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timers keepalive <TIME>
no timers keeaplive
Параметры
<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# timers keepalive 120 |
...
Данная команда определяет подсеть для , которая должна быть доступна через подключение указанного пользователя OpenVPN-сервера. После подключения пользователя к OpenVPN-серверу в таблице маршрутизации появляется маршрут в указанную подсеть через динамически созданный туннель.
Использование отрицательной формы команды (no) удаляет принадлежность к определенной подсетиподсеть, работающую за данным пользователем.
Синтаксис
[no] subnet <ADDRLEN>
Параметры
<ADDR/LEN> – IP-подсеть, имеет следующий формат:
AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-USER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# username client esr(config-openvpn-user)# subnet 192.168.25.128/28 |
...
Использование отрицательной формы команды (no) удаляет текущее значение.
Синтаксис
tunnel <TYPE>
no tunnel
Параметры
<TYPE> – инкапсулирующий протокол, принимает значения:
- ip – соединение точка-точка;
- ethernet – подключение к L2-домену.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# tunnel ip |
...
Использование отрицательной формы команды (no) восстанавливает настройки пользователя по умолчанию.
Синтаксис
[no] username { <NAME> | all }Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
all – ключ, используемый для удаления всех ранее созданных пользователей.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# username client esr(config-openvpn-user)# |
...
Использование отрицательной формы команды (no) удаляет настроенные адреса WINS-серверов.
Синтаксис
wins-server <ADDR>
no wins-server { <ADDR> | all }Параметры
<ADDR> – IP-адрес WINS сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
all – удалить все сконфигурированные IP-адреса DNS серверов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
| Блок кода |
|---|
esr(config-openvpn-server)# wins-servers 1.1.1.1 |
...