Sieć VPN

Użyj ustawień VPN, aby skonfigurować tradycyjne sieci VPN dla całego systemu wykorzystujące protokoły L2TP, PPTP i IPSec. Te ustawienia te nie mają zastosowania do ustawień sieci VPN skonfigurowanych dla poszczególnych aplikacji.

W poniższej tabeli opisano parametry połączenia, które są wymagane do wymuszenia połączeń VPN na urządzeniach macOS:
Ustawienie zasady Opis
Typ połączenia Typ połączenia VPN. System MaaS360® obsługuje następujące typy połączeń:
  • L2TP
  • PPTP
  • Cisco (IPsec)
  • Cisco AnyConnect
  • Juniper SSL
  • F5 SSL
  • SonicWall Mobile Connect
  • Aruba VIA ®
  • Niestandardowe SSL
  • IKEv2
Nazwa połączenia VPN Unikalna nazwa połączenia VPN, które jest wyświetlane na urządzeniu.
Nazwa hosta serwera VPN Nazwa hosta serwera VPN.
Identyfikator zdalny Zdalny identyfikator, który identyfikuje serwer IKEv2. Obsługiwane formaty to FQDN, FQDN użytkownika, adres lub ASN1DN.
Identyfikator lokalny Identyfikator lokalny, który jest używany przez urządzenie mobilne. Obsługiwane formaty to FQDN, FQDN użytkownika, adres lub ASN1DN.
Konto użytkownika VPN Nazwa użytkownika dla konta VPN. Można używać znaków wieloznacznych, takich jak %domain%%username% albo %username%.
Typ uwierzytelniania użytkownika Typ uwierzytelniania, który jest używany do łączenia się z serwerem VPN:
  • Hasło: należy podać hasło, jeśli jest używany protokół L2TP lub PPTP.
  • Identyfikator SecurID RSA: W przypadku uwierzytelniania L2TP użytkownicy mogą korzystać z tokenu RSA SecurID do łączenia się z siecią.
  • Certyfikat
    • Certyfikat tożsamości
    • VPN On Demand: zawsze nawiązuj dla adresów URL: wprowadź adresy URL rozdzielone przecinkami. Na przykład .com, .example.com. Połączenie VPN będzie zawsze inicjowane dla domen lub nazw hostów, które są zgodne z adresami URL.
    • VPN On Demand: nigdy nie nawiązuj dla adresów URL: wprowadź adresy URL rozdzielone przecinkami. Na przykład .com, .example.com. Połączenie VPN nigdy nie będzie inicjowane dla adresu, który jest zgodny z tymi domenami lub nazwami hostów. Istniejące połączenie VPN będzie kontynuowane.
    • VPN On Demand: nawiąż, jeśli potrzebne dla adresów URL: wprowadź adresy URL rozdzielone przecinkami. Na przykład .com, .example.com. Połączenie VPN zostanie zainicjowane dla adresu, który jest zgodny z tymi domenami lub nazwami hostów tylko wtedy, gdy wyszukiwanie DNS się nie powiedzie.
Typ uwierzytelniania komputera Komputer korzysta ze współużytkowanych danych szyfrujących, uwierzytelniania CSE lub certyfikatu tożsamości dla uwierzytelniania.
Włącz EAP Uwierzytelnianie tylko z użyciem protokołu EAP jest włączone dla urządzenia. To ustawienie jest używane dla protokołu IKEv2.
Minimalna wersja TLS Minimalna wersja protokołu TLS, która jest używana przy uwierzytelnianiu EAP-TLS. Obsługiwane wartości to 1.0, 1.1 i 1.2. Jeśli nie zostanie podana żadna wartość, zostanie użyta domyślna wartość minimalna wynosząca 1.0.
Wersja maksymalna TLS Maksymalna wersja protokołu TLS, która jest używana przez uwierzytelnianie EAP-TLS. Obsługiwane wartości to 1.0, 1.1 i 1.2. Jeśli nie podano żadnej wartości, domyślną wartością maksymalną będzie 1.2.
Szybkość wykrywania nieaktywnych węzłów sieci Przedział czasu wykrywania dla połączenia.
Wyłącz przekierowania Przekierowanie IKEv2 jest wyłączone dla urządzenia. W przeciwnym razie połączenie zostanie przekierowane, jeśli z serwera zostanie odebrane żądanie przekierowania. Domyślnie przekierowanie jest wyłączone.
Wyłącz mobilność i multihoming Funkcja IKEv2 Mobility and Multihoming (MOBIKE) jest wyłączona dla urządzenia.
Włącz sprawdzanie odwołań certyfikatów Sprawdzanie odwołań certyfikatów będzie włączone dla połączeń IKEv2. Jest to sprawdzanie w miarę możliwości. Przekroczenie limitu czasu odpowiedzi serwera nie powoduje niepowodzenia sprawdzania certyfikatu.
Użyj wewnętrznych atrybutów podsieci IPv4/IPv5 W trakcie negocjacji jest używana konfiguracja IKEv2.
Włącz PFS (Perfect Forward Secrecy) Funkcja Perfect Forward Secrecy (PFS) jest włączona dla połączeń IKEv2.
Algorytm szyfrowania Algorytm szyfrowania, który jest wymagany dla podrzędnych obiektów SA.
Algorytm integralności Algorytm sprawdzania integralności, który jest wymagany dla podrzędnych obiektów SA.
Grupa Diffie-Hellman Numer grupy Diffie-Hellmana.
Czas życia w minutach Czas życia SA (okres wymiany kluczy) w minutach (10-1440). Poprawne wartości należą do zakresu od 10 do 1440.
Zawsze włączona sieć VPN (tylko nadzorowane)
  • Zezwól użytkownikowi na wyłączenie automatycznego łączenia: użytkownicy mogą wyłączyć automatyczne łączenie z siecią VPN.
  • Włącz podtrzymywanie NAT, gdy urządzenie jest w trybie uśpienia: funkcja sprawdzania połączenia NAT w celu podtrzymania połączenia jest włączona dla połączeń VPN IKEv2. Urządzenie będzie wysyłać pakiety keepalive w celu zachowania translacji NAT dla połączeń IKEv2, które wykorzystują NAT. Pakiety Keepalive są wysyłane w regularnych odstępach czasu, gdy urządzenie jest w trybie aktywności. Wysyłanie pakietów keepalive jest obsługiwane sprzętowo, gdy urządzenie jest w trybie uśpienia. Gdy urządzenie jest w trybie uśpienia, wysyłanie pakietów keepalive powoduje skrócenie czasu działania na akumulatorze, ponieważ w trybie uśpienia urządzenie obsługuje dodatkowe obciążenie.
  • Przedział czasu podtrzymywania NAT dla interfejsów komórkowych (w sekundach): Przedział czasu podtrzymywania połączeń NAT dla zawsze aktywnych połączeń VPN IKEv2. Ta wartość określa odstęp czasu między pakietami podtrzymania połączenia, które są wysyłane przez urządzenie. Minimalną wartością jest 20 sekund. Jeśli wartość nie zostanie podana, domyślną wartością jest 20 sekund dla sieci Wi-Fi i 110 sekund dla interfejsu komórkowego.
  • Przedział czasu podtrzymywania NAT dla interfejsów Wi-Fi (w sekundach)
  • Wyjątek dla poczty głosowej: usługa systemu poczty głosowej jest wyłączona z ustawienia Zawsze włączona sieć VPN.
  • Wyjątek dla funkcji AirPrint: usługa AirPrint jest wyłączona z ustawienia Zawsze włączona sieć VPN.
  • Zezwól na ruch z WebSheet z wymaganym logowaniem poza tunelem VPN: jest dozwolony ruch sieciowy z WebSheet poza tunelem VPN.
  • Zezwól na ruch z wszystkich aplikacji sieci publicznych, które wymagają logowania, poza tunelem VPN: jest dozwolony ruch sieciowy ze wszystkich wewnętrznych aplikacji sieciowych poza tunelem VPN.
  • Identyfikatory pakunków aplikacji sieci publicznych, które wymagają logowania: ruch sieciowy ze wskazanych aplikacji jest dozwolony poza tunelem VPN. Wpisz rozdzielone przecinkami identyfikatory pakunków aplikacji.
Współużytkowane dane szyfrujące Współużytkowane dane szyfrujące (hasło), które są używane do uwierzytelniania. To ustawienie jest używane dla protokołów L2TP lub Cisco IPsec.
Wyślij cały ruch Cały ruch sieciowy jest wysyłany przez sieć VPN.
Typ serwera proxy W przypadku wybrania typu ręcznego proxy, należy podać adres serwera proxy zawierający odpowiedni port serwera proxy, a także opcjonalnie nazwę użytkownika i hasło. W przypadku wybrania typu automatycznego proxy wpisz adres URL automatycznego konfigurowania proxy (PAC).
Poziom szyfrowania Połączenie ma włączone szyfrowanie.