Общие команды настройки удаленного доступа
authentication required disable
Данной командой отключается обязательная аутентификация PPP-клиентов для PPTP или L2TP-сервера.
Использование отрицательной формы команды (no) включается обязательная аутентификация PPP для PPTP- или L2TP-сервера.
Синтаксис
[no] authentication required disable
Параметры
Отсутствуют.
Значение по умолчанию
Не задан.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
Пример
esr(config-pptp-server)# authentication required disable
clear remote-access counters
Данной командой осуществляется сброс счетчиков соединений OpenVPN, PPTP, Wireguard, L2TP over IPsec-пользователей.
Синтаксис
clear remote-access counters [ pptp | l2tp | openvpn | wireguard ] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля OpenVPN, PPTP, Wireguard или L2TP over IPsec-сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec-пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec-пользователя.
При выполнении команды без параметра будут сброшены все счетчики соединений OpenVPN, PPTP, Wireguard и L2TP over IPsec-пользователей.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear remote-access counters
clear remote-access session
Данной командой осуществляется завершение соединений OpenVPN, PPTP и L2TP over IPsec-пользователей.
Синтаксис
clear remote-access session [ pptp | l2tp | openvpn] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля OpenVPN, PPTP или L2TP over IPsec-сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec-пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec-пользователя. При выполнении команды без параметра будут завершены все OpenVPN, PPTP и L2TP over IPsec-соединения.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear remote-access session
description
Команда используется для изменения описания профиля OpenVPN, PPTP и L2TP over IPsec-серверов.
Использование отрицательной формы команды (no) удаляет описание профиля.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-SERVER-PEER
Пример
Установить описание для профиля PPTP-сервера:
esr(config-pptp-server)# description "Our remote workers"
enable
Данной командой активируется конфигурируемый профиль серверов удаленного доступа.
Использование отрицательной формы команды (no) деактивирует конфигурируемый профиль.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-SERVER-PEER
Пример
esr(config-pptp-server)# enable
encryption mppe
Данная команда включает шифрование MPPE (Microsoft Point-to-Point Encryption) для PPTP-соединений.
Использование отрицательной формы команды (no) отключает шифрование.
Синтаксис
[no] encryption mppe
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
Пример
esr(config-pptp-server)# encryption mppe
remote-access
Данной командой создается профиль сервера удаленного доступа.
Использование отрицательной формы команды (no) удаляет указанный профиль.
Синтаксис
[no] remote-access <SERVER-TYPE> <NAME>
Параметры
<SERVER-TYPE> – тип сервера удаленного доступа. Может принимать значения l2tp, openvpn, pptp, wireguard.
<NAME> – имя профиля сервера удаленного доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# remote-access l2tp remote-workers esr(config-l2tp-server)#
show remote-access configuration
Командой выполняется просмотр параметров профилей OpenVPN, WireGuard PPTP и L2TP over IPsec-серверов.
Синтаксис
show remote-access configuration { pptp | l2tp | openvpn | wireguard} [ <NAME> ]
Параметры
<NAME> – имя профиля OpenVPN, WireGuard, PPTP или L2TP over IPsec сервера.
При выполнении команды без параметра будут показаны параметры всех OpenVPN, WireGuard, PPTP или L2TP over IPsec серверов.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show remote-access configuration pptp pptp1 State: Enabled Description: -- Security zone: trusted Authentication mode: local MTU: 1500 Local address: 192.168.1.1 Remote address: rem_pptp(10.0.10.20-10.0.10.40) Outside address: 115.0.0.1 DNS server: -- WINS server: -- Users ~~~~~ # Name State Encrypted password --- -------------------- -------- ------------------------------ 0 pptp Enabled 8CB5107EA7005AFF 1 petr Enabled CCE5513EE45A1EAC
show remote-access counters
Командой выполняется просмотр счетчиков соединений OpenVPN, WireGuard, PPTP и L2TP over IPsec пользователей.
Синтаксис
show remote-access counters [ pptp | l2tp | openvpn | wireguard] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля WireGuard, PPTP или L2TP over IPsec сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec пользователя;
При выполнении команды без параметра будут показаны счетчики всех соединений OpenVPN, WireGuard, PPTP и L2TP over IPsec пользователей.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show remote-access counters User IP-address UC recv Bytes recv Err recv MC recv ------------- --------------- ---------- ---------- ---------- ---------- ivan 10.20.20.5 262 25365 0 0 fedor 20.20.20.160 59 5236 0 0 User IP-address UC sent Bytes sent Err sent ------------- --------------- ---------- ---------- ---------- ivan 10.20.20.5 249 29298 0 fedor 20.20.20.160 16 739 0 esr# show remote-access counters l2tp PPTP Server: remote-workers User: ivan(10.20.20.5) Packets received: 231 Bytes received: 22229 Dropped on receive: 0 Receive errors: 0 Multicasts received: 0 Receive length errors: 0 Receive buffer overflow errors: 0 Receive CRC errors: 0 Receive frame errors: 0 Receive FIFO errors: 0 Receive missed errors: 0 Receive compressed: 0 Packets transmitted: 189 Bytes transmitted: 21858 Dropped on transmit: 0 Transmit errors: 0 Transmit aborted errors: 0 Transmit carrier errors: 0 Transmit FIFO errors: 0 Transmit heartbeat errors: 0 Transmit window errors: 0 Transmit comressed: 0 Collisions: 0
show remote-access status
Командой выполняется просмотр состояния соединений OpenVPN, WireGuard, PPTP и L2TP over IPsec пользователей.
Синтаксис
show remote-access status [ pptp | l2tp | openvpn | wireguard] [ server <SERVER-NAME> ] [ username <USER-NAME> ] [ ip-address <ADRR> ]
Параметры
<SERVER-NAME> – имя профиля OpenVPN, WireGuard, PPTP или L2TP over IPsec сервера;
<USER-NAME> – имя OpenVPN, PPTP или L2TP over IPsec пользователя;
<ADDR> – IP-адрес OpenVPN, PPTP или L2TP over IPsec пользователя.
При выполнении команды без параметра будет показано состояние всех соединений OpenVPN, WireGuard, PPTP и L2TP over IPsec пользователей.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show remote-access status User IP-address Server ---------------- --------------- -------------------------------------- ivan 10.20.20.5 pptp(remote-workers) fedor 20.20.20.160 l2tp(remote-workers-l2tp) Count sessions: 2
Настройка L2TP over IPsec/PPTP-сервера
authentication method
Данной командой разрешает использование метода аутентификации удаленных пользователей, подключающихся по протоколам PPTP или L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
[no] authentication method <METHOD>
Параметры
<METHOD> – метод аутентификации, принимает значения [chap, mschap, mschap-v2, eap, pap].
Значение по умолчанию
Разрешен только chap.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# authentication method mschap
authentication mode
Данной командой устанавливается режим аутентификации удаленных пользователей, подключающихся по протоколам PPTP или L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
authentication mode { local | radius }
no authentication mode
Параметры
- local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля.
- radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# authentication mode local
dns-servers
Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи, подключающиеся по протоколам PPTP и L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов.
Синтаксис
dns-servers object-group <NAME>
no dns-servers
Параметры
<NAME> – имя профиля IP-адресов, который содержит адреса необходимых DNS-серверов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# dns-servers object-group pptp_dns
dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов PPTP и L2TP over IPsec-серверов.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
dscp <DSCP>
no dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
32
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# dscp 40
ipsec authentication method
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся командой «ipsec authentication pre-shared-key» (см раздел Управление VPN. Настройки удаленного доступа#ipsec authentication pre-shared-key).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ipsec authentication method pre-shared-key
no ipsec authentication method
Параметры
pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
esr(config-l2tp-server)# ipsec authentication method pre-shared-key
ipsec authentication pre-shared-key
Данной командой устанавливается общий секретный ключ для аутентификации, который должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключ.
Синтаксис
ipsec authentication pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }| hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no ipsec authentication pre-shared-key
Параметры
<TEXT> – строка [1..64] ASCII-символов.
<HEX> – число размером [1..32] байт задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...).
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
esr(config-l2tp-server)# ipsec authentication pre-shared-key ascii-text password
ipsec ike proposal
Данной командой для L2TP-сервера назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IKE.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IKE.
Синтаксис
[no] ipsec ike proposal <NAME>
Параметры
<NAME> – имя ранее созданного профиля протокола IKE, задаётся строкой до 31 символа.
Значение по умолчанию
Ограничение отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
esr(config-l2tp-server)# ipsec ike proposal IKE_PROPOSAL
ipsec proposal
Данной командой для L2TP-сервера назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IPsec.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IPsec.
Синтаксис
[no] ipsec proposal <NAME>
Параметры
<NAME> – имя ранее созданного профиля IPsec, задаётся строкой до 31 символа.
Значение по умолчанию
Ограничение отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP-SERVER
Пример
esr(config-l2tp-server)# ipsec proposal IPSEC_PROPOSAL
local-address
Данной командой указывается IP-адрес, используемый PPTP или L2TP over IPsec сервером в качестве локального IP-адреса туннеля.
Использование отрицательной формы команды (no) удаляет настроенный локальный IP-адрес туннеля.
Синтаксис
local-address { object-group <NAME> | ip-address <ADDR> }
no local-address
Параметры
<NAME> – имя профиля IP-адресов, который содержит локальный IP-адрес туннеля, задаётся строкой до 31 символа.
<ADDR> – локальный IP-адрес туннеля задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# local-address object-group pptp_local
mtu
Данной командой указывается MTU для интерфейсов, которые будут создаваться при подключении удаленных пользователей по протоколам PPTP и L2TP over IPsec.
Использование отрицательной формы команды (no) устанавливает значение MTU по умолчанию.
Синтаксис
mtu <MTU>
no mtu
Параметры
<MTU> – значение MTU, принимает значения в диапазоне [1280..1500].
Значение по умолчанию
1500
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# mtu 1400
outside-address
Данной командой указывается IP-адрес, который будет прослушиваться PPTP или L2TP over IPsec сервером на наличие входящих подключений.
Использование отрицательной формы команды (no) удаляет настроенный адрес для прослушивания.
Синтаксис
outside-address { object-group <NAME> | ip-address <ADDR> | interface { <IF> | <TUN> } }
no outside-address
Параметры
<NAME> – имя профиля IP-адресов, содержащий адрес, который будет прослушиваться PPTP или L2TP over IPsec сервером на наличие входящих подключений, задаётся строкой до 31 символа.
<ADDR> – IP-адрес, который будет прослушиваться PPTP или L2TP over IPsec сервером на наличие входящих подключений, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<IF> – интерфейс, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# outside-address object-group pptp_outside
remote-address
Данной командой указывается список IP-адресов, из которого PPTP или L2TP over IPsec сервером выдаются динамические IP-адреса удаленным пользователям.
Использование отрицательной формы команды (no) удаляет список IP-адресов удаленных пользователей.
Синтаксис
remote-address { object-group <NAME>| address-range <FROM-ADDR>-<TO-ADDR> }
no remote-address
Параметры
<NAME> – имя профиля IP-адресов, который содержит список IP-адресов удаленных пользователей, задаётся строкой до 31 символа.
<FROM-ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# remote-address object-group pptp_remote
remote network
Данной командой устанавливается IP-адрес подсети, доступной при установлении динамического PPTP/L2TP-тунеля.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети, доступной через динамический PPTP/L2TP-туннель.
Синтаксис
remote network <ADDR/LEN>
no remote network
Параметры
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPP-USER
Пример
esr(config-ppp-user)# remote network 192.168.54.0/24
remote networks
Данной командой устанавливается список IP-адрес подсетей, доступных при установлении PPTP/L2TP-тунеля.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети, доступной через динамический PPTP/L2TP-туннель.
Синтаксис
remote networks <OBJ-GROUP-NETWORK-NAME>
no remote network
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IPv4/IPv6-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPP-USER
Пример
esr(config-ppp-user)# remote network 192.168.54.0/24
username
Данной командой создается пользователь для подключения к PPTP или L2TP over IPsec серверам. После выполнения данной команды маршрутизатор переходит в режим конфигурирования параметров PPP-пользователя.
Использование отрицательной формы команды (no) удаляет указанного пользователя.
Команда устанавливает режим командной строки PPTP USER или L2TP USER в зависимости от текущего командного режима.
Синтаксис
[no] username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# username fedor esr(config-pptp-user)#
wins-servers
Данной командой указывается список WINS-серверов, которые будут использовать удаленные пользователи, подключающиеся по протоколам PPTP и L2TP over IPsec.
Использование отрицательной формы команды (no) удаляет настроенные адреса WINS-серверов.
Синтаксис
wins-servers object-group <NAME>
no wins-servers
Параметры
<NAME> – имя профиля IP-адресов, который содержит адреса необходимых WINS-серверов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPTP-SERVER
CONFIG-L2TP-SERVER
Пример
esr(config-pptp-server)# wins-servers object-group l2tp_wins
Настройка OpenVPN-сервера
address-range
Данной командой указывается список IP-адресов, из которого OpenVPN-сервером выдаются динамические IP-адреса удаленным пользователям в режиме L2.
Использование отрицательной формы команды (no) удаляет список IP-адресов удаленных пользователей.
Синтаксис
address-range <FROM-ADDR>-<TO-ADDR>
no address-range
Параметры
<FROM-ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# address-range 192.168.1.10-192.168.1.250
authentication algorithm
Данная команда определяет алгоритм аутентификации клиентов OpenVPN.
Использование отрицательной формы команды (no) устанавливает режим аутентификации по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication-algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации:
- 8-128 bits key size: md4, rsa-md4, md5, rsa-md5, mdc2, rsa-mdc2;
- 8-160 bits key size: sha, sha1, rsa-sha, rsa-sha1, rsa-sha1-2, dsa, dsa-sha, dsa-sha1, dsa-sha1-old, ripemd160, rsa-ripemd160, ecdsa-with-sha1;
- 8-224 bits key size: sha-224, rsa-sha-224;
- 8-256 bits key size: sha-256, rsa-sha-256;
- 8-384 bits key size: sha-384, rsa-sha-384;
- 8-512 bits key size: sha-512, rsa-sha-512, whirlpool.
Значение по умолчанию
sha
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# authentication algorithm cleartext
bridge-group
Данная команда используется для включения клиентских соединений по OpenVPN в L2-домен.
Использование отрицательной формы команды (no) исключает соединения из L2-домена.
Синтаксис
bridge-group <BRIDGE-ID>
no bridge-group
Параметры
<BRIDGE-ID> – идентификационный номер моста. Задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# bridge-group 15
crypto
Данной командой указываются сертификаты и ключи. Сертификаты и ключи должны быть предварительно скопированы на маршрутизатор с помощью команды copy, описанной в разделе copy.
Использование отрицательной формы команды (no) удаляет из профиля указанный сертификат.
Синтаксис
crypto <CERTIFICATE-TYPE> <NAME>
no crypto <CERTIFICATE-TYPE>
Параметры
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
- ca – сертификат удостоверяющего сервера;
- cert – сертификат OpenVPN-сервера;
- crl – список отозванных сертификатов;
- dh – ключ Диффи-Хеллмана;
- private-key – приватный ключ сервера;
- ta – HMAC-ключ.
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# crypto ca ca.crt
client-isolation
Данной командой включается блокировка передачи данных между клиентами.
Использование отрицательной формы команды (no) снимает блокировку.
Синтаксис
[no] client-isolation
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# client-isolation
client-max
Данной командой устанавливается максимальное количество одновременных пользовательских сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
client-max <VALUE>
no client-max
Параметры
<VALUE> – максимальное количество пользователей, принимает значения [1..65535].
Значение по умолчанию
Не ограничено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# clients-max 500
compression
Данной командой включается механизм сжатия передаваемых данных между клиентами и сервером OpenVPN.
Использование отрицательной формы команды (no) отключает механизм сжатия передаваемых данных.
Синтаксис
[no] compression
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# compression
dns-server
Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи.
Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов.
Синтаксис
dns-server <ADDR>
no dns-server { <ADDR> | all }
Параметры
<ADDR> – IP-адрес DNS-серверa, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
all – удалить все сконфигурированные диапазоны IP-адресов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# dns-server 1.1.1.1
duplicate-cn
Данная команда разрешает подключение множества пользователей с одним сертификатом.
Использование отрицательной команды (no) запрещает использование одного сертификата более чем одному пользователю.
Синтаксис
[no] duplicate-cn
Параметры
Команда не имеет параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# duplicate-cn
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при передачи данных.
Использование отрицательной формы команды (no) отключает шифрование.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, blowfish128, aes128, des-ede, aes192, 3des, desx, aes256.
Значение по умолчанию
Шифрование отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# encryption algorithm aes128
ip address
Данная команда определяет статический IP-адрес для указанного клиента. Использование отрицательной формы команды (no) удаляет статический IP-адрес у клиента.
Синтаксис
[no] ip address <ADDR>
Параметры
<ADDR> – IP-адрес, имеет следующий формат:
AAA.BBB.CCC.DDD – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-USER
Пример
esr(config-openvpn-server)# username client esr(config-openvpn-user)# ip address 10.10.100.15
login authentication
Данной командой осуществляется активация списка аутентификации пользователей для их авторизации.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».
Использование отрицательной формы команды (no) деактивирует список аутентификации.
Синтаксис
login authentication <NAME>
no login authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# login authentication OPENVPN-LIST
network
Данной командой определяется подсеть, из которой выдаются IP-адреса пользователям. Первый IP-адрес в подсети выступает шлюзом для пользовательских сессий.
Использование отрицательной формы команды (no) удаляет данную подсеть.
Синтаксис
network <ADDR/LEN>
no network
Параметры
<ADDR/LEN> – IP-подсеть подсети, имеет следующий формат:
AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [16..29].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# network 192.168.25.0/24
port
Данной командой устанавливается TCP/UDP-порт, который будет прослушивается OpenVPN-сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Значение по умолчанию
1194
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# port 5000
protocol
Данной командой устанавливается инкапсулирующий протокол.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<TYPE> – тип инкапсуляции, возможные значения:
- TCP-инкапсуляция в TCP-сегменты;
- UDP-инкапсуляция в UDP-дейтаграммы.
Значение по умолчанию
Остановлено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# protocol udp
redirect-gateway
Данная команда включает анонсирование маршрута по умолчанию для OpenVPN-соединений, что приводит к замене маршрута по умолчанию на клиентской стороне. Новым шлюзом по умолчанию станет IP-адрес OpenVPN-сервера.
Использование отрицательной формы команды (no) отключает анонсирование маршрута по умолчанию.
Синтаксис
[no] redirect-gateway
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# redirect-gateway
route
Данной командой включается анонсирование указанных подсетей, шлюзом является IP-адрес OpenVPN-сервера (первый IP-адрес из подсети, заданной с помощью команды network, описанной в разделе Управление VPN. Настройки удаленного доступа#network).
Использование отрицательной формы команды (no) отключает анонсирование указанных подсетей.
Синтаксис
route <ADDR/LEN>
no route { <ADDR/LEN> | all }
Параметры
<ADDR/LEN> – IP-подсеть, имеет следующий формат:
AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# route 192.168.25.0/24, 192.168.26.0/24
timers holdtime
Данной командой устанавливается временной интервал, по истечении которого встречная сторона считается недоступной. Таймер запускается после установления отношений соседства и начинает отсчёт от 0. Таймер сбрасывается при получении каждого ответа на keepalive-сообщение от встречной стороны. Рекомендуется устанавливать значение таймера не менее 3 * keepalive.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timers holdtime <TIME>
no timers holdtime
Параметры
<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию
120
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# timers holdtime 360
timers keepalive
Данной командой устанавливается временной интервал, по истечении которого идет проверка соединения со встречной стороной.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timers keepalive <TIME>
no timers keeaplive
Параметры
<TIME> – время в секундах, принимает значения [1..65535].
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# timers keepalive 120
subnet
Данная команда определяет подсеть, которая должна быть доступна через подключение указанного пользователя OpenVPN-сервера. После подключения пользователя к OpenVPN-серверу в таблице маршрутизации появляется маршрут в указанную подсеть через динамически созданный туннель.
Использование отрицательной формы команды (no) удаляет подсеть, работающую за данным пользователем.
Синтаксис
[no] subnet <ADDRLEN>
Параметры
<ADDR/LEN> – IP-подсеть, имеет следующий формат:
AAA.BBB.CCC.DDD/EE – IP-адрес подсети с маской в форме префикса, где AAA-DDD принимают значения [0..255] и EE принимает значения [16..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-USER
Пример
esr(config-openvpn-server)# username client esr(config-openvpn-user)# subnet 192.168.25.128/28
tunnel
Данной командой определяется тип соединения с частной сетью через OpenVPN-сервер.
Использование отрицательной формы команды (no) удаляет текущее значение.
Синтаксис
tunnel <TYPE>
no tunnel
Параметры
<TYPE> – инкапсулирующий протокол, принимает значения:
- ip – соединение точка-точка;
- ethernet – подключение к L2-домену.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# tunnel ip
username
Данная команда позволяет перейти в режим конфигурирования для указанного пользователя OpenVPN-сервера.
Использование отрицательной формы команды (no) восстанавливает настройки пользователя по умолчанию.
Синтаксис
[no] username { <NAME> | all }
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа;
all – ключ, используемый для удаления всех ранее созданных пользователей.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# username client esr(config-openvpn-user)#
wins-server
Данной командой указывается список WINS-серверов, которые будут использовать удаленные пользователи.
Использование отрицательной формы команды (no) удаляет настроенные адреса WINS-серверов.
Синтаксис
wins-server <ADDR>
no wins-server { <ADDR> | all }
Параметры
<ADDR> – IP-адрес WINS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
all – удалить все сконфигурированные IP-адреса DNS-серверов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# wins-servers 1.1.1.1
Настройка WireGuard-сервера
dns-server
Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи.
Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов.
Синтаксис
dns-server { <ADDR> | <ADDR>,<ADDR> }
no dns-server { <ADDR> | all }
Параметры
<ADDR> – IP-адрес DNS-серверa, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
all – удалить все сконфигурированные диапазоны IP-адресов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-WIREGUARD-SERVER
Пример
esr(config-wireguard-server)# dns-server 8.8.8.8, 8.8.4.4
local-address
Данной командой устанавливается статический IP-адрес конфигурируемого сервера.
Использование отрицательной формы команды (no) удаляет установленный IP-адрес.
Синтаксис
local-address <ADDR/LEN>
no local-address
Параметры
<ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Необходимый уровень привилегий
10
Командный режим
CONFIG-WIREGUARD-SERVER
Пример
esr(config-wireguard-server)# local-address 10.10.0.1/24
mtu
Данной командой указывается MTU для интерфейсов, которые будут создаваться при подключении удаленных пользователей.
Использование отрицательной формы команды (no) устанавливает значение MTU по умолчанию.
Синтаксис
mtu <MTU>
no mtu
Параметры
<MTU> – 552–10000.
Значение по умолчанию
1500
Необходимый уровень привилегий
10
Командный режим
CONFIG-WIREGUARD-SERVER
Пример
esr(config-wireguard-server)# mtu 1420
peer
Данная команда используется для перехода к настройкам разрешённых туннелей.
Использование отрицательной формы команды (no) удаляет разрешённый туннель.
Синтаксис
[no] peer <COUNT>
Параметры
<COUNT> – номер соответствующего пира, принимает значения [1..16].
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-SERVER
Пример
esr(config-wireguard-server)# peer 1
port
Данной командой устанавливается UDP-порт, который будет прослушиваться WireGuard-сервером.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-SERVER
Пример
esr(config-wireguard-server)# port 43021
private-key
Данной командой указывается необходимый приватный ключ WireGuard-сервера.
Синтаксис
private-key <NAME>
no private-key
Параметры
<NAME> – имя приватного ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-SERVER
Пример
esr(config-wireguard-server)# private-key server.priv
public-key
Данной командой указывается необходимый публичный ключ клиента WireGuard.
Синтаксис
public-key <NAME>
no public-key
Параметры
<NAME> – имя приватного ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-SERVER-PEER
Пример
esr(config-wireguard-server-peer)# public-key client.pub
subnet
Данной командой указывается список IP-адресов, которым будет разрешено находиться внутри туннеля.
Синтаксис
subnet <OBJ-GROUP-NETWORK-NAME>
no subnet
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, содержащего префиксы подсетей назначения, задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-SERVER-PEER
Пример
esr(config-wireguard-server-peer)# subnet client