Оглавление | ||
---|---|---|
|
Общие команды настройки удаленного доступа
authentication required disable
Данной командой отключается обязательная аутентификация PPP-клиентов для PPTP или L2TP-сервера.
Использование отрицательной формы команды (no) включается обязательная аутентификация PPP для PPTP- или L2TP-сервера.
Синтаксис
[no] authentication required disable
Параметры
Отсутствуют.
Значение по умолчанию
Не задан.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# authentication required disable |
clear remote-access counters
Данной командой осуществляется сброс счетчиков соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Синтаксис
clear remote-access counters [ pptp | l2tp | openvpn ] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля OpenVPN, PPTP или L2TP over IPsec-сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec-пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec-пользователя.
При выполнении команды без параметра будут сброшены все счетчики соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear remote-access counters |
clear remote-access session
Данной командой осуществляется завершение соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Синтаксис
clear remote-access session [ pptp | l2tp | openvpn] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля OpenVPN, PPTP или L2TP over IPsec-сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec-пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec-пользователя. При выполнении команды без параметра будут завершены все OpenVPN, PPTP и L2TP over IPsec-соединения.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear remote-access session |
description
Команда используется для изменения описания профиля OpenVPN, PPTP и L2TP over IPsec-серверов.
Использование отрицательной формы команды (no) удаляет описание профиля.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
Пример
Установить описание для профиля PPTP-сервера:
Блок кода |
---|
esr(config-pptp-server)# description "Our remote workers" |
enable
Данной командой активируется конфигурируемый профиль серверов удаленного доступа.
Использование отрицательной формы команды (no) деактивирует конфигурируемый профиль.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# enable |
encryption mppe
Данная команда включает шифрование MPPE (Microsoft Point-to-Point Encryption) для PPTP-соединений.
Использование отрицательной формы команды (no) отключает шифрование.
Синтаксис
[no] encryption mppe
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# encryption mppe |
remote-access
Данной командой создается профиль сервера удаленного доступа.
Использование отрицательной формы команды (no) удаляет указанный профиль.
Синтаксис
[no] remote-access <SERVER-TYPE> <NAME>
Параметры
<SERVER-TYPE> – тип сервера удаленного доступа. Может принимать значения l2tp, openvpn, pptp.
<NAME> – имя профиля сервера удаленного доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# remote-access l2tp remote-workers esr(config-l2tp-server)# |
show remote-access configuration
Командой выполняется просмотр параметров профилей OpenVPN, PPTP и L2TP over IPsec-серверов.
Синтаксис
show remote-access configuration { pptp | l2tp | openvpn } [ <NAME> ]
Параметры
<NAME> – имя профиля OpenVPN, PPTP или L2TP over IPsec-сервера.
При выполнении команды без параметра будут показаны параметры всех OpenVPN, PPTP или L2TP over IPsec-серверов.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show remote-access configuration pptp pptp1 State: Enabled Description: -- Security zone: trusted Authentication mode: local MTU: 1500 Local address: 192.168.1.1 Remote address: rem_pptp(10.0.10.20-10.0.10.40) Outside address: 115.0.0.1 DNS server: -- WINS server: -- Users ~~~~~ # Name State Encrypted password --- -------------------- -------- ------------------------------ 0 pptp Enabled 8CB5107EA7005AFF 1 petr Enabled CCE5513EE45A1EAC |
show remote-access counters
Командой выполняется просмотр счетчиков соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Синтаксис
show remote-access counters [ pptp | l2tp | openvpn ] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля PPTP или L2TP over IPsec-сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec-пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec-пользователя;
При выполнении команды без параметра будут показаны счетчики всех соединений OpenVPN, PPTP и L2TP over IPsec пользователей.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show remote-access counters User IP-address UC recv Bytes recv Err recv MC recv ------------- --------------- ---------- ---------- ---------- ---------- ivan 10.20.20.5 262 25365 0 0 fedor 20.20.20.160 59 5236 0 0 User IP-address UC sent Bytes sent Err sent ------------- --------------- ---------- ---------- ---------- ivan 10.20.20.5 249 29298 0 fedor 20.20.20.160 16 739 0 esr# show remote-access counters l2tp PPTP Server: remote-workers User: ivan(10.20.20.5) Packets received: 231 Bytes received: 22229 Dropped on receive: 0 Receive errors: 0 Multicasts received: 0 Receive length errors: 0 Receive buffer overflow errors: 0 Receive CRC errors: 0 Receive frame errors: 0 Receive FIFO errors: 0 Receive missed errors: 0 Receive compressed: 0 Packets transmitted: 189 Bytes transmitted: 21858 Dropped on transmit: 0 Transmit errors: 0 Transmit aborted errors: 0 Transmit carrier errors: 0 Transmit FIFO errors: 0 Transmit heartbeat errors: 0 Transmit window errors: 0 Transmit comressed: 0 Collisions: 0 |
show remote-access status
Командой выполняется просмотр состояния соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Синтаксис
show remote-access status [ pptp | l2tp | openvpn ] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля OpenVPN, PPTP или L2TP over IPsec-сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec-пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec-пользователя.
При выполнении команды без параметра будет показано состояние всех соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show remote-access status User IP-address Server ---------------- --------------- -------------------------------------- ivan 10.20.20.5 pptp(remote-workers) fedor 20.20.20.160 l2tp(remote-workers-l2tp) Count sessions: 2 |
Настройка L2TP over IPsec/PPTP-сервера
authentication method
Данной командой разрешает использование метода аутентификации удаленных пользователей, подключающихся по протоколам PPTP или L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
[no] authentication method <METHOD>
Параметры
<METHOD> – метод аутентификации, принимает значения [chap, mschap, mschap-v2, eap, pap].
Значение по умолчанию
Разрешен только chap
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# authentication method mschap |
authentication mode
Данной командой устанавливается режим аутентификации удаленных пользователей, подключающихся по протоколам PPTP или L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
authentication mode { local | radius }
no authentication mode
Параметры
- local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля.
- radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# authentication mode local |
dns-servers
Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи, подключающиеся по протоколам PPTP и L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов.
Синтаксис
dns-servers object-group <NAME>
no dns-servers
Параметры
<NAME> – имя профиля IP-адресов, который содержит адреса необходимых DNS-серверов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# dns-servers object-group pptp_dns |
dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов PPTP и L2TP over IPsec-серверов.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
dscp <DSCP>
no dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
32
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# dscp 40 |
ipsec authentication method
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся командой «ipsec authentication pre-shared-key» (см раздел ipsec authentication pre-shared-key).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ipsec authentication method pre-shared-key
no ipsec authentication method
Параметры
pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-l2tp-server)# ipsec authentication method pre-shared-key |
Якорь | ||||
---|---|---|---|---|
|
ipsec authentication pre-shared-key
Данной командой устанавливается общий секретный ключ для аутентификации, который должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключ.
Синтаксис
ipsec authentication pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }| hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no ipsec authentication pre-shared-key
Параметры
<TEXT> – строка [1..64] ASCII символов.
<HEX> – число размером [1..32] байт задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...).
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов.
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-l2tp-server)# ipsec authentication pre-shared-key ascii-text password |
ipsec ike proposal
Данной командой для L2TP-сервера назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IKE.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IKE.
Синтаксис
[no] ipsec ike proposal <NAME>
Параметры
<NAME> – имя ранее созданного профиля протокола IKE, задаётся строкой до 31 символа.
Значение по умолчанию
Ограничение отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-l2tp-server)# ipsec ike proposal IKE_PROPOSAL |
ipsec proposal
Данной командой для L2TP-сервера назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IPsec.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IPsec.
Синтаксис
[no] ipsec proposal <NAME>
Параметры
<NAME> – имя ранее созданного профиля IPsec, задаётся строкой до 31 символа.
Значение по умолчанию
Ограничение отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-l2tp-server)# ipsec proposal IPSEC_PROPOSAL |
local-address
Данной командой указывается IP-адрес, используемый PPTP или L2TP over IPsec-сервером в качестве локального IP-адреса туннеля.
Использование отрицательной формы команды (no) удаляет настроенный локальный IP-адрес туннеля.
Синтаксис
local-address { object-group <NAME> | ip-address <ADDR> }
no local-address
Параметры
<NAME> – имя профиля IP-адресов, который содержит локальный IP-адрес туннеля, задаётся строкой до 31 символа.
<ADDR> – локальный IP-адрес туннеля задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# local-address object-group pptp_local |
mtu
Данной командой указывается MTU для интерфейсов, которые будут создаваться при подключении удаленных пользователей по протоколам PPTP и L2TP over IPsec.
Использование отрицательной формы команды (no) устанавливает значение MTU по умолчанию.
Синтаксис
mtu <MTU>
no mtu
Параметры
<MTU> – значение MTU, принимает значения в диапазоне [1280..1500].
Значение по умолчанию
1500
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# mtu 1400 |
outside-address
Данной командой указывается IP-адрес, который будет прослушиваться PPTP или L2TP over IPsec-сервером на наличие входящих подключений.
Использование отрицательной формы команды (no) удаляет настроенный адрес для прослушивания.
Синтаксис
outside-address { object-group <NAME> | ip-address <ADDR> | interface { <IF> | <TUN> } }
no outside-address
Параметры
<NAME> – имя профиля IP-адресов, содержащий адрес, который будет прослушиваться PPTP или L2TP over IPsec-сервером на наличие входящих подключений, задаётся строкой до 31 символа.
<ADDR> – IP-адрес, который будет прослушиваться PPTP или L2TP over IPsec-сервером на наличие входящих подключений, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<IF> – интерфейс, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# outside-address object-group pptp_outside |
remote-address
Данной командой указывается список IP-адресов, из которого PPTP или L2TP over IPsec-сервером выдаются динамические IP-адреса удаленным пользователям.
Использование отрицательной формы команды (no) удаляет список IP-адресов удаленных пользователей.
Синтаксис
remote-address { object-group <NAME>| address-range <FROM-ADDR>-<TO-ADDR> }
no remote-address
Параметры
<NAME> – имя профиля IP-адресов, который содержит список IP-адресов удаленных пользователей, задаётся строкой до 31 символа.
<FROM-ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# remote-address object-group pptp_remote |
remote network
Данной командой устанавливается IP-адрес подсети, доступной при установлении динамического PPTP/L2TP-тунеля.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети, доступной через динамический PPTP/L2TP-туннель.
Синтаксис
remote network <ADDR/LEN>
no remote network
Параметры
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPP-USER
Пример
Блок кода |
---|
esr(config-ppp-user)# remote network 192.168.54.0/24 |
remote networks
Данной командой устанавливается список IP-адрес подсетей, доступных при установлении PPTP/L2TP-тунеля.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети, доступной через динамический PPTP/L2TP-туннель.
Синтаксис
remote networks <OBJ-GROUP-NETWORK-NAME>
no remote network
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IPv4/IPv6-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPP-USER
Пример
Блок кода |
---|
esr(config-ppp-user)# remote network 192.168.54.0/24 |
username
Данной командой создается пользователь для подключения к PPTP или L2TP over IPsec-серверам. После выполнения данной команды, маршрутизатор переходит в режим конфигурирования параметров PPP-пользователя.
Использование отрицательной формы команды (no) удаляет указанного пользователя.
Команда устанавливает режим командной строки PPTP USER или L2TP USER в зависимости от текущего командного режима.
Синтаксис
[no] username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# username fedor esr(config-pptp-user)# |
wins-servers
Данной командой указывается список WINS-серверов, которые будут использовать удаленные пользователи, подключающиеся по протоколам PPTP и L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет настроенные адреса WINS-серверов.
Синтаксис
wins-servers object-group <NAME>
no wins-servers
Параметры
<NAME> – имя профиля IP-адресов, который содержит адреса необходимых WINS-серверов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
Блок кода |
---|
esr(config-pptp-server)# wins-servers object-group l2tp_wins |
Настройка OpenVPN-сервера
address-range
Данной командой указывается список IP-адресов, из которого OpenVPN-сервером выдаются динамические IP-адреса удаленным пользователям в режиме L2.
Использование отрицательной формы команды (no) удаляет список IP-адресов удаленных пользователей.
Синтаксис
address-range <FROM-ADDR>-<TO-ADDR>
no address-range
Параметры
<FROM-ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# address-range 192.168.1.10-192.168.1.250 |
authentication algorithm
Данная команда определяет алгоритм аутентификации клиентов OpenVPN.
Использование отрицательной формы команды (no) устанавливает режим аутентификации по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication-algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации:
- 8-128 bits key size: md4, rsa-md4, md5, rsa-md5, mdc2, rsa-mdc2;
- 8-160 bits key size: sha, sha1, rsa-sha, rsa-sha1, rsa-sha1-2, dsa, dsa-sha, dsa-sha1, dsa-sha1-old, ripemd160, rsa-ripemd160, ecdsa-with-sha1;
- 8-224 bits key size: sha-224, rsa-sha-224;
- 8-256 bits key size: sha-256, rsa-sha-256;
- 8-384 bits key size: sha-384, rsa-sha-384;
- 8-512 bits key size: sha-512, rsa-sha-512, whirlpool.
Значение по умолчанию
sha
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# authentication algorithm cleartext |
bridge-group
Данная команда используется для включения клиентских соединений по OpenVPN в L2-домен.
Использование отрицательной формы команды (no) исключает соединения из L2-домена.
Синтаксис
bridge-group <BRIDGE-ID>
no bridge-group
Параметры
<BRIDGE-ID> – идентификационный номер моста. Задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# bridge-group 15 |
certificate
Данной командой указываются сертификаты и ключи. Сертификаты и ключи должны быть предварительно скопированы на маршрутизатор с помощью команды copy, описанной в разделе copy.
Использование отрицательной формы команды (no) удаляет из профиля указанный сертификат.
Синтаксис
certificate <CERTIFICATE-TYPE> <NAME>
no certificate <CERTIFICATE-TYPE>
Параметры
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
- ca – сертификат удостоверяющего сервера;
- crl – список отозванных сертификатов;
- dh – ключ Диффи-Хеллмана;
- server-crt – публичный сертификат сервера;
- server-key – приватный ключ сервера;
- ta – HMAC-ключ
- client-key – приватный ключ OPENVPN-клиента;
- client-crt – сертификат OPENVPN-клиента.
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# certificate ca ca.crt |
client-isolation
Данной командой включается блокировка передачи данных между клиентами.
Использование отрицательной формы команды (no) снимает блокировку.
Синтаксис
[no] client-isolation
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# client-isolation |
client-max
Данной командой устанавливается максимальное количество одновременных пользовательских сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
client-max <VALUE>
no client-max
Параметры
<VALUE> – максимальное количество пользователей, принимает значения [1..65535].
Значение по умолчанию
Не ограничено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# clients-max 500 |
compression
Данной командой включается механизм сжатия передаваемых данных между клиентами и сервером OpenVPN.
Использование отрицательной формы команды (no) отключает механизм сжатия передаваемых данных.
Синтаксис
[no] compression
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# compression |
dns-server
Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи.
Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов.
Синтаксис
dns-server <ADDR>
no dns-server { <ADDR> | all }
Параметры
<ADDR> – IP-адрес DNS-серверa, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
all – удалить все сконфигурированные диапазоны IP-адресов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# dns-server 1.1.1.1 |
duplicate-cn
Данная команда разрешает подключение множества пользователей с одним сертификатом.
Использование отрицательной команды (no) запрещает использование одного сертификата более чем одному пользователю.
Синтаксис
[no] duplicate-cn
Параметры
Команда не имеет параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# duplicate-cn |
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при передачи данных.
Использование отрицательной формы команды (no) отключает шифрование.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, blowfish128, aes128, des-ede, aes192, 3des, desx, aes256.
Значение по умолчанию
Шифрование отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# encryption algorithm aes128 |
ip address
Данная команда определяет статический IP-адрес для указанного клиента. Использование отрицательной формы команды (no) удаляет статический IP-адрес у клиента.
Синтаксис
[no] ip address <ADDR>
Параметры
<ADDR> – IP-адрес, имеет следующий формат:
AAA.BBB.CCC.DDD – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-USER
Пример
Блок кода |
---|
esr(config-openvpn-server)# username client esr(config-openvpn-user)# ip address 10.10.100.15 |
login authentication
Данной командой осуществляется активация списка аутентификации пользователей для их авторизации.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».
Использование отрицательной формы команды (no) деактивирует список аутентификации.
Синтаксис
login authentication <NAME>
no login authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# login authentication OPENVPN-LIST |
Якорь | ||||
---|---|---|---|---|
|
network
Данной командой определяется подсеть, из которой выдаются IP-адреса пользователям. Первый IP-адрес в подсети выступает шлюзом для пользовательских сессий.
Использование отрицательной формы команды (no) удаляет данную подсеть.
Синтаксис
network <ADDR/LEN>
no network
Параметры
<ADDR/LEN> – IP-подсеть подсети, имеет один из следующих форматов:
- AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [16..29].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# network 192.168.25.0/24 |
port
Данной командой устанавливается TCP/UDP-порт, который будет прослушивается OpenVPN-сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Значение по умолчанию
1194
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# port 5000 |
protocol
Данной командой устанавливается инкапсулирующий протокол.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<TYPE> – тип инкапсуляции, возможные значения:
- TCP-инкапсуляция в TCP-сегменты;
- UDP-инкапсуляция в UDP-дейтаграммы.
Значение по умолчанию
Остановлено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# protocol udp |
redirect-gateway
Данная команда включает анонсирование маршрута по умолчанию для OpenVPN-соединений, что приводит к замене маршрута по умолчанию на клиентской стороне. Новым шлюзом по умолчанию станет IP-адрес OpenVPN-сервера.
Использование отрицательной формы команды (no) отключает анонсирование маршрута по умолчанию.
Синтаксис
[no] redirect-gateway
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# redirect-gateway |
route
Данной командой включается анонсирование указанных подсетей, шлюзом является IP-адрес OpenVPN-сервера (первый IP-адрес из подсети, заданной с помощью команды network, описанной в разделе network).
Использование отрицательной формы команды (no) отключает анонсирование указанных подсетей.
Синтаксис
route <ADDR/LEN>
no route { <ADDR/LEN> | all }
Параметры
<ADDR/LEN> – IP-подсеть, имеет следующий формат:
- AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32];
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# route 192.168.25.0/24, 192.168.26.0/24 |
timers holdtime
Данной командой устанавливается временной интервал, по истечении которого встречная сторона считается недоступной. Таймер запускается после установления отношений соседства и начинает отсчёт от 0. Таймер сбрасывается при получении каждого ответа на keepalive сообщение от встречной стороны. Рекомендуется устанавливать значение таймера, не менее 3 * keepalive.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timers holdtime <TIME>
no timers holdtime
Параметры
<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию
120
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# timers holdtime 360 |
timers keepalive
Данной командой устанавливается временной интервал, по истечении которого идет проверка соединения со встречной стороной.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timers keepalive <TIME>
no timers keeaplive
Параметры
<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# timers keepalive 120 |
subnet
Данная команда определяет подсеть, которая должна быть доступна через подключение указанного пользователя OpenVPN-сервера. После подключения пользователя к OpenVPN-серверу в таблице маршрутизации появляется маршрут в указанную подсеть через динамически созданный туннель.
Использование отрицательной формы команды (no) удаляет подсеть, работающую за данным пользователем.
Синтаксис
[no] subnet <ADDRLEN>
Параметры
<ADDR/LEN> – IP-подсеть, имеет следующий формат:
AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [16..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-USER
Пример
Блок кода |
---|
esr(config-openvpn-server)# username client esr(config-openvpn-user)# subnet 192.168.25.128/28 |
tunnel
Данной командой определяется тип соединения с частной сетью через OpenVPN-сервер.
Использование отрицательной формы команды (no) удаляет текущее значение.
Синтаксис
tunnel <TYPE>
no tunnel
Параметры
<TYPE> – инкапсулирующий протокол, принимает значения:
- ip – соединение точка-точка;
- ethernet – подключение к L2-домену.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# tunnel ip |
username
Данная команда позволяет перейти в режим конфигурирования для указанного пользователя OpenVPN-сервера.
Использование отрицательной формы команды (no) восстанавливает настройки пользователя по умолчанию.
Синтаксис
[no] username { <NAME> | all }
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
all – ключ, используемый для удаления всех ранее созданных пользователей.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# username client esr(config-openvpn-user)# |
wins-server
Данной командой указывается список WINS-серверов, которые будут использовать удаленные пользователи.
Использование отрицательной формы команды (no) удаляет настроенные адреса WINS-серверов.
Синтаксис
wins-server <ADDR>
no wins-server { <ADDR> | all }
Параметры
<ADDR> – IP-адрес WINS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
all – удалить все сконфигурированные IP-адреса DNS-серверов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
Блок кода |
---|
esr(config-openvpn-server)# wins-servers 1.1.1.1 |