在Citrix端点管理
在所有的产品
产品文档
在Citrix端点管理
在所有的产品
Citrix端点管理
查看PDF

VPN设备政策

2021年10月6日
由:
C

VPN设备策略通过配置VPN (virtual private network)配置,使用户设备能够安全接入企业资源。可以针对以下平台配置VPN设备策略。每个平台都需要一组不同的值,本文将对此进行详细描述。

要添加或配置此策略,请转到配置>设备策略.有关更多信息,请参见设备的政策

对每个应用的vpn需求

通过VPN策略可以为以下平台配置单应用VPN特性:

  • iOS
  • macOS
  • Android (DA)
  • 三星安全
  • 三星诺克斯

对于Android Enterprise,使用管理配置设备策略配置VPN配置文件。

每个应用程序的VPN选项可用于特定的连接类型。下表显示了每个应用的VPN选项。

平台 连接类型 备注
iOS Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix SSO,或自定义SSL。
macOS Cisco AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA,或自定义SSL。
Android (DA) Citrix SSO
三星安全 IPSEC, SSL 设置VPN类型为通用的
三星诺克斯 IPSEC, SSL 设置VPN类型为通用的

使用Citrix SSO应用为iOS和Android(传统DA)设备创建每个应用的VPN,除了VPN策略配置外,还需要执行额外的步骤。另外,您必须验证以下先决条件是否满足:

  • 本地Citrix网关
  • 设备上已经安装了以下应用程序:
    • Citrix SSO
    • Citrix安全中心

使用Citrix SSO应用为iOS和Android设备配置单应用VPN的一般流程如下:

  1. 按照本文的描述配置VPN设备策略。

  2. 配置Citrix ADC接受来自每个应用的VPN流量。有关详细信息,请参见在Citrix Gateway上建立完整的VPN

iOS设置

iOS版本的VPN设备策略中Citrix VPN连接类型不支持iOS 12。执行以下步骤删除现有的VPN设备策略,并创建一个Citrix SSO连接类型的VPN设备策略:

  1. 删除iOS的VPN设备策略。
  2. 添加一个iOS的VPN设备策略,设置如下:
    • 连接类型:Citrix SSO
    • 使每个应用VPN:
    • 提供者类型:包隧道
  3. 添加iOS的“App Attributes”设备策略。为每个应用VPN标识符,选择iOS_VPN

设备策略配置界面

  • 连接名称:键入连接的名称。
  • 连接类型:在列表中,选择用于此连接的协议。默认值是L2TP
    • L2TP:具有预共享密钥认证的第2层隧道协议。
    • PPTP:点对点隧道。
    • IPSec:您的企业VPN连接。

    • 思科遗留AnyConnect:这种连接类型要求在用户设备上安装Cisco Legacy AnyConnect VPN客户端。思科正在逐步淘汰思科传统AnyConnect客户端,该客户端是基于一个现已废弃的VPN框架。

      要使用当前的Cisco AnyConnect客户端,请使用连接类型自定义SSL.具体配置请参见本节的“配置自定义SSL协议”。

    • Juniper SSL:Juniper Networks SSL VPN客户端。
    • F5 SSL:F5 Networks SSL VPN客户端。
    • SonicWALL移动连接:Dell统一iOS VPN客户端。
    • Ariba通过:Ariba网络虚拟互联网接入客户端。
    • IKEv2 (iOS):Internet Key Exchange版本2仅适用于iOS。
    • AlwaysOn IKEv2:采用IKEv2协议,始终开启。
    • AlwaysOn IKEv2双机配置:采用IKEv2双机配置,始终开启接入。
    • Citrix SSO:Citrix SSO客户端,适用于iOS 12及更高版本。
    • 自定义SSL:自定义安全套接字层。对于捆绑包ID为的Cisco AnyConnect客户端,此连接类型是必需的com.cisco.anyconnect.指定一个连接名思科AnyConnect.您也可以部署VPN策略,并针对iOS设备开启NAC (Network Access Control)过滤器。对于安装了不合规应用程序的设备,过滤器会阻塞VPN连接。iOS VPN策略的具体配置请参见iOS章节。有关启用NAC筛选器所需的其他设置的详细信息,请参见网络访问控制

以下部分列出了上述每种连接类型的配置选项。

配置iOS设备的L2TP协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 选择密码身份验证RSA SecurID身份验证
  • 共享的秘密:输入IPsec共享密钥。
  • 发送所有流量:选择是否将所有流量通过VPN发送。默认值是

配置iOS的PPTP协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 选择密码身份验证RSA SecurID身份验证
  • 加密水平:在列表中选择加密级别。默认值是没有一个
    • 没有:使用不加密。
    • 自动:请使用服务器支持的最强加密级别。
    • 最大(128位):始终使用128位加密。
  • 发送所有流量:选择是否将所有流量通过VPN发送。默认值是

配置iOS的IPsec协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一共享的秘密证书此连接的身份验证类型。默认值是共享的秘密
  • 如果你使共享的秘密,配置这些设置:
    • 组名:输入一个可选的组名。
    • 共享的秘密:键入一个可选的共享密钥。
    • 使用混合身份验证:选择是否使用混合身份验证。使用混合身份验证时,服务器首先向客户端验证自己,然后客户端向服务器验证自己。默认值是
    • 提示输入密码:选择是否在用户连接网络时提示用户输入密码。默认值是
  • 如果你使证书,配置这些设置:
    • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
    • 连接时提示PIN:选择是否需要用户在连接网络时输入PIN。默认值是
    • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是
  • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。默认值是
  • Safari域:点击添加添加Safari域名。

为iOS配置Cisco legacy AnyConnect协议

要从思科旧AnyConnect客户端过渡到新的思科AnyConnect客户端,请使用自定义SSL协议。

  • 提供者包标识符:对于Legacy AnyConnect客户端,bundle ID是com.cisco.anyconnect.gui。
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 组:输入一个可选的组名。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 包括所有的网络:选择是否允许所有网络使用此连接。默认值是
  • 排除当地网络:选择是排除本地网络使用该连接还是允许该网络使用。默认值是
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。默认值是
    • 提供者类型:选择是否将每个应用的VPN作为一个应用代理或作为一个包隧道.默认是应用代理
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置Juniper iOS版本的SSL协议

  • 提供者包标识符:如果你的每个应用的VPN配置文件包含多个相同类型的VPN提供商的应用的bundle标识符,请在这里指定要使用的提供商。
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 域:键入一个可选的领域名称。
  • 角色:键入一个可选的角色名。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。默认值是
    • 提供者类型:选择是否将每个应用的VPN作为一个应用代理或作为一个包隧道.默认是应用代理
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置iOS的F5 SSL协议

  • 提供者包标识符:如果你的每个应用的VPN配置文件包含多个相同类型的VPN提供商的应用的bundle标识符,请在这里指定要使用的提供商。
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。
    • 提供者类型:选择是否将每个应用的VPN作为一个应用代理或作为一个包隧道.默认是应用代理
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置iOS的SonicWALL协议

  • 提供者包标识符:如果你的每个应用的VPN配置文件包含多个相同类型的VPN提供商的应用的bundle标识符,请在这里指定要使用的提供商。
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 登录组或域:键入可选的登录组或域。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果您将此选项设置为On,请配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。
    • 提供者类型:选择是否将每个应用的VPN作为一个应用代理或作为一个包隧道.默认是应用代理
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置iOS的Ariba VIA协议

  • 提供者包标识符:如果你的每个应用的VPN配置文件包含多个相同类型的VPN提供商的应用的bundle标识符,请在这里指定要使用的提供商。
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置iOS设备使用IKEv2协议

介绍IKEv2协议、一直开启IKEv2协议和一直开启IKEv2双协议的设置。对于“Always On IKEv2 Dual Configuration”协议,需要同时配置蜂窝网络和Wi-Fi网络。

  • 允许用户禁用自动连接:对于Always On协议。选择是否允许用户在其设备上禁用与网络的自动连接。默认值是

  • 服务器的主机名或IP地址:输入VPN服务器的服务器名或IP地址。

  • 本地标识符:IKEv2客户端的FQDN或IP地址。此字段是必需的。

  • 远程标识符:VPN服务器的FQDN或IP地址。此字段是必需的。

  • 设备验证:选择共享的秘密证书,或基于设备标识的设备证书此连接的身份验证类型。默认值是共享的秘密

    • 如果你选择共享的秘密,键入一个可选的共享密钥。

    • 如果你选择证书,选择一个身份凭证使用。默认值是没有一个

    • 如果你选择基于设备标识的设备证书,选择设备身份类型使用。默认值是IMEI.要使用此选项,请使用REST API批量导入证书。看到使用REST API批量上传证书.只有当您选择时才可用总是在IKEv2

  • 扩展的启用身份验证:2 .选择是否启用EAP协议。如果,输入用户帐户而且身份验证密码

  • Dead Peer检测时间间隔:选择对端设备联系的频率,以确保对端设备保持可达。默认值是没有一个.选项有:

    • 没有:关闭dead peer检测功能。

    • 低:每30分钟联系一次。

    • 介质:每10分钟联系一次。

    • 高:每隔一分钟就有一个联系人。

  • 禁用移动和多归属:选择是否禁用此功能。

  • 使用IPv4/IPv6的内部子网属性:选择是否启用此功能。

  • 禁用重定向:选择是否禁用重定向。

  • 启用回退:如果启用,该设置允许通过蜂窝数据隧道传输符合Wi-Fi辅助条件并需要VPN的流量。默认是

  • 在设备处于休眠状态时启用NAT keepalive:对于Always On协议。Keepalive报文用于维护IKEv2连接的NAT映射关系。当设备唤醒时,芯片以固定的间隔发送这些数据包。如果这个设置是开启的,那么即使设备处于休眠状态,芯片也会发送keepalive数据包。Wi-Fi默认为20秒,蜂窝网络默认为110秒。可以通过配置NAT keepalive interval参数来修改。

  • NAT保持连接时间间隔(秒):默认为20秒。

  • 启用完全向前保密:选择是否启用此功能。

  • DNS服务器IP地址:可选的。DNS服务器IP地址字符串列表。这些IP地址可以是IPv4地址和IPv6地址的混合。点击添加输入一个地址。

  • 域名:可选的。隧道的主域。

  • 搜索域:可选的。用于完全限定单标签主机名的域字符串列表。

  • 在解析器列表中添加补充匹配域:可选的。确定是否将补充匹配域列表添加到解析器的搜索域列表。默认是

  • 补充匹配域:可选的。域字符串的列表,用于确定哪些DNS查询要使用DNS服务器地址中包含的DNS解析器设置。此键创建一个分离DNS配置,其中只有某些域的主机使用隧道的DNS解析器进行解析。不在此列表中的域中的主机可以使用系统的默认解析器进行解析。

如果该参数包含一个空字符串,那么该字符串就是默认域。这样,在分离的隧道配置中,所有的DNS查询都可以先下发到VPN DNS服务器,再下发到首选DNS服务器。当VPN隧道为该网络的默认路由时,列出的DNS服务器将成为默认的解析器。在这种情况下,补充匹配域列表将被忽略。

  • 艾克SA参数而且孩子SA参数:为每个安全联盟(SA)参数选项配置这些设置:

    • 加密算法:在列表中选择要使用的IKE加密算法。默认值是3 des

    • 完整性算法:在列表中选择要使用的完整性算法。默认值是sha - 256

    • Diffie赫尔曼集团:在列表中选择Diffie Hellman组号。默认值是2

    • ike生命周期单位分钟:输入10到1440之间的整数,表示SA的生存期(rekey interval)。默认值是1440分钟。

  • 服务异常:对于Always On协议。业务例外是指不受Always On VPN约束的系统业务。配置以下服务异常设置:

    • 语音信箱:在列表中选择异常语音邮件的处理方法。默认值是允许车辆经隧道通行

    • AirPrint:在列表中选择如何处理AirPrint异常。默认值是允许车辆经隧道通行

    • 允许专属web sheet访问VPN隧道外:选择是否允许用户访问VPN隧道外的公共热点。默认值是

    • 允许VPN隧道外所有专属网络应用的流量:选择是否允许VPN隧道外的所有热点应用。默认值是

    • 专属网络应用包标识符:对于每个允许用户访问的热点网络应用包标识符,单击添加输入热点网络应用包标识符.点击保存保存应用包标识符。

  • 每个应用VPN:对于IKEv2连接类型,需要进行配置。

    • 使每个应用VPN:选择是否启用单应用VPN。默认值是
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。默认值是
    • Safari域:点击添加添加Safari域名。

  • 代理配置:选择VPN连接通过代理服务器路由的方式。默认是没有一个

配置iOS系统的Citrix单点登录协议

Citrix SSO客户端可以在苹果商店中找到。

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果将该选项设置为“On”,则需要配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。
    • 提供者类型:选择是否将每个应用的VPN作为一个应用代理或作为一个包隧道.默认是应用代理
    • 提供者类型:设置为包隧道
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。
  • 自定义XML:对于要添加的每个自定义XML参数,单击添加并指定键/值对。可用的参数:
    • disableL3:关闭系统级VPN功能。只允许每个应用的VPN。没有价值是必要的。
    • 用户代理:将针对VPN插件客户端的所有Citrix Gateway策略关联到该设备策略。对于由插件发起的请求价值此密钥将自动添加到VPN插件中。

配置iOS自定义SSL协议

从Cisco Legacy AnyConnect客户端过渡到Cisco AnyConnect客户端:

  1. 2 .配置自定义SSL协议的VPN设备策略。将策略部署到iOS设备上。
  2. 上传Cisco AnyConnect客户端https://apps.apple.com/us/app/cisco-anyconnect/id1135064690,在“端点管理”中添加该应用,然后将该应用部署到iOS设备。
  3. 移除iOS设备上原有的VPN设备策略。

设置:

  • 自定义SSL标识符(反向DNS格式):设置为bundle标识符。对于Cisco AnyConnect客户端,请使用com.cisco.anyconnect
  • 提供者包标识符:如果应用程序指定在自定义SSL标识符有多个相同类型的VPN提供商(App proxy或Packet tunnel),然后指定这个bundle标识符。对于Cisco AnyConnect客户端,请使用com.cisco.anyconnect
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置启用iOS的VPN按需设置
  • 包括所有的网络:选择是否允许所有网络使用此连接。默认值是
  • 排除当地网络:选择是排除本地网络使用该连接还是允许该网络使用。默认值是
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果将该选项设置为“On”,则需要配置以下设置:
    • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。
    • 提供者类型:提供商类型表示该提供商是VPN服务还是代理服务。对于VPN业务,选择包隧道.代理服务,选择应用代理.对于Cisco AnyConnect客户端,选择包隧道
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。
  • 自定义XML:对于要添加的每个自定义XML参数,单击添加然后做以下事情:
    • 参数名称:键入要添加的参数的名称。
    • 值:类型关联的值参数名称
    • 点击保存保存或单击取消不保存参数。

配置支持NAC的VPN设备策略

  1. 连接类型自定义SSL配置NAC过滤器时,需要配置。
  2. 指定一个连接名VPN
  3. 自定义SSL标识符、类型com.citrix.NetScalerGateway.ios.app
  4. 提供者包标识符、类型com.citrix.NetScalerGateway.ios.app.vpnplugin

步骤3和4中的值来自NAC过滤所需的Citrix SSO安装。不需要配置认证密码。有关使用NAC功能的更多信息,请参见网络访问控制

配置iOS的启用VPN点播选项

  • 在需求域:对于用户连接时要采取的每个域和相关操作,单击添加然后做以下事情:
  • 域:输入待添加的域。
  • 行动:在列表中选择一个可能的操作:
    • 总是建立:域总是触发VPN连接。
    • 从来没有建立:域不会触发VPN连接。
    • 如果有必要建立:域名解析失败,域触发VPN连接尝试。当DNS服务器无法解析域、重定向到不同的服务器或超时时就会发生故障。
    • 点击保存保存域名或单击取消不保存域。
  • 对需求的规则
    • 行动:在列表中,选择要采取的操作。默认值是EvaluateConnection.可能的行为是:
      • 允许:允许VPN按需连接时触发。
      • 连接:无条件发起VPN连接。
      • 断开连接:删除VPN连接,只要规则匹配,不要按需重新连接。
      • EvaluateConnection:为每个连接计算ActionParameters数组。
      • 忽略:保留任何现有的VPN连接,但只要规则匹配,就不要按需重新连接。
    • DNSDomainMatch:对于设备的搜索域列表可以与您想添加的每个域,单击添加然后做以下事情:
      • DNS域:输入域名。可以使用通配符“*”作为前缀匹配多个域名。例如,*.example.com匹配mydomain.example.com、yourdomain.example.com和herdomain.example.com。
      • 点击保存保存域名或单击取消不保存域。
    • DNSServerAddressMatch:对于网络中任意指定的DNS服务器都能匹配到的IP地址,单击添加然后做以下事情:
      • DNS服务器地址:输入需要添加的DNS服务器地址,后缀可以使用通配符“*”进行匹配。例如,17岁。*matches any DNS server in the class A subnet.
      • 点击保存保存DNS服务器地址或单击取消不保存DNS服务器地址。
    • InterfaceTypeMatch:在列表中选择使用的主网络接口硬件类型。默认值是未指明的.可能的值是:
      • 未详细说明的:匹配任何网络接口硬件。这个选项是默认的。
      • 以太网:只匹配以太网网络接口硬件。
      • 无线网络:只匹配Wi-Fi网络接口硬件。
      • 细胞:只匹配蜂窝网络接口硬件。
    • SSIDMatch:要使每个SSID与您想添加的当前网络相匹配,请单击添加所以接下来。
      • 名称:输入需要添加的SSID。如果网络不是Wi-Fi网络,或者SSID没有出现,则匹配失败。保留此列表为空以匹配任何SSID。
      • 点击保存保存SSID或单击取消不保存SSID。
    • URLStringProbe:输入要获取的URL。如果没有重定向,成功获取了该URL,则此规则匹配。
    • ActionParameters:域:对于EvaluateConnection检查的要添加的每个域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。
    • ActionParameters: DomainAction:在列表中,选择VPN的行为为指定的ActionParameters:域域。默认值是ConnectIfNeeded.可能的行为是:
      • ConnectIfNeeded:域名解析失败,域触发VPN连接尝试。当DNS服务器无法解析域、重定向到不同的服务器或超时时就会发生故障。
      • NeverConnect:域不会触发VPN连接。
    • 操作参数:RequiredDNSServers:对于需要用于解析指定域的DNS服务器,单击添加然后做以下事情:
      • DNS服务器:有效的只有当ActionParametersDomainActionConnectIfNeeded.输入DNS服务器的IP地址。此服务器可以驻留在设备当前网络配置之外。如果DNS服务器不可达,则响应建立VPN连接。请选择内部DNS服务器或信任的外部DNS服务器。
      • 点击保存保存DNS服务器或单击取消不保存DNS服务器。
    • ActionParameters: RequiredURLStringProbe:可以选择输入HTTP或HTTPS(首选)URL,使用GET请求进行探测。如果URL的主机名无法解析,服务器不可达,或者服务器没有响应,则建立一个VPN连接。有效的只有当ActionParametersDomainActionConnectIfNeeded
    • XML内容:键入或复制和粘贴XML随需配置规则。
      • 点击检查字典来验证XML代码。有效的XML出现在XML内容文本框表示XML是否有效。如果它无效,则错误消息描述错误。
  • 代理
    • 代理配置:在列表中选择VPN连接通过代理服务器的路由方式。默认值是没有一个
      • 如果你使手册,配置这些设置:
        • 代理服务器的主机名或IP地址:输入代理服务器的主机名或IP地址。此字段是必需的。
        • 代理服务器端口:输入代理服务器端口号。此字段是必需的。
        • 用户名:键入一个可选的代理服务器用户名。
        • 密码:键入一个可选的代理服务器密码。
      • 如果您配置自动,配置此设置:
        • 代理服务器地址:键入代理服务器的URL。此字段是必需的。
  • 策略设置
    • 删除政策:选择一种调度策略删除的方法。可用的选项是选择日期而且移除前的时间(小时)
      • 选择日期:单击日历以选择要删除的特定日期。
      • 移除前的时间(小时):键入一个数字,以小时为单位,直到策略删除发生。仅适用于iOS 6.0及更高版本。

配置每个应用的VPN

iOS的每个应用的VPN选项可用于这些连接类型:Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL移动连接,Ariba VIA, Citrix VPN, Citrix SSO,和自定义SSL。

配置每个应用的VPN:

  1. 配置>设备策略,创建VPN策略。例如:

    设备策略配置界面

    设备策略配置界面

  2. 配置>设备策略,创建“应用属性”策略,将应用与对应的VPN策略关联。为每个应用VPN标识符,选择步骤1中创建的VPN策略名称。为托管应用包ID,从应用列表中选择或输入应用包ID。(如果部署了iOS App Inventory策略,则应用列表中包含应用。)

    设备策略配置界面

macOS设置

设备策略配置界面

  • 连接名称:键入连接的名称。
  • 连接类型:在列表中,选择用于此连接的协议。缺省情况下为L2TP。
    • L2TP:具有预共享密钥认证的第2层隧道协议。
    • PPTP:点对点隧道。
    • IPSec:您的企业VPN连接。
    • 思科AnyConnect:Cisco AnyConnect VPN客户端。
    • Juniper SSL:Juniper Networks SSL VPN客户端。
    • F5 SSL:F5 Networks SSL VPN客户端。
    • SonicWALL移动连接:Dell统一iOS VPN客户端。
    • Ariba通过:Ariba网络虚拟互联网接入客户端。
    • Citrix VPN:Citrix VPN客户端。
    • 自定义SSL:自定义安全套接字层。

以下部分列出了上述每种连接类型的配置选项。

配置macOS的L2TP协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 选择密码身份验证RSA SecurID身份验证Kerberos身份验证,或CryptoCard身份验证.默认值是密码身份验证
  • 共享的秘密:输入IPsec共享密钥。
  • 发送所有流量:选择是否将所有流量通过VPN发送。默认值是

配置macOS的PPTP协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 选择密码身份验证RSA SecurID身份验证Kerberos身份验证,或CryptoCard身份验证.默认值是密码身份验证
  • 加密水平:选择所需的加密级别。默认值是没有一个
    • 没有:使用不加密。
    • 自动:请使用服务器支持的最强加密级别。
    • 最大(128位):始终使用128位加密。
  • 发送所有流量:选择是否将所有流量通过VPN发送。默认值是

配置macOS的IPsec协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一共享的秘密证书此连接的身份验证类型。默认值是共享的秘密
    • 如果你使共享的秘密认证,配置这些设置:
      • 组名:输入一个可选的组名。
      • 共享的秘密:键入一个可选的共享密钥。
      • 使用混合身份验证:选择是否使用混合身份验证。使用混合身份验证时,服务器首先向客户端验证自己,然后客户端向服务器验证自己。默认值是
      • 提示输入密码:选择是否在用户连接网络时提示用户输入密码。默认值是
    • 如果你使证书认证,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择是否需要用户在连接网络时输入PIN。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需选项

为macOS配置Cisco AnyConnect协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 组:输入一个可选的组名。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需选项
    • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
      • 开启按需配对app:选择与该VPN业务相连的应用发起网络通信时,是否自动触发该VPN连接。默认值是
      • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
        • 域:输入待添加的域。
        • 点击保存保存域名或单击取消不保存域。

配置Juniper macOS SSL协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 域:键入一个可选的领域名称。
  • 角色:键入一个可选的角色名。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需配置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用该选项,需要配置以下设置:
    • 开启按需配对app:选择与该VPN业务相连的应用发起网络通信时,是否自动触发该VPN连接。默认值是
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置macOS F5 SSL协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需配置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择当应用连接到该VPN业务的应用发起网络通信时,是否自动触发对应的VPN连接。默认值是
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

为macOS配置SonicWALL移动连接协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 登录组或域:键入可选的登录组或域。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需配置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择当应用连接到该VPN业务的应用发起网络通信时,是否自动触发对应的VPN连接。默认值是
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

为macOS配置Ariba VIA协议

  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。
  • 用户帐号:键入一个可选的用户帐户。
  • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需配置
  • 使每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
    • 开启按需配对app:选择当应用连接到该VPN业务的应用发起网络通信时,是否自动触发对应的VPN连接。默认值是
    • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。

配置macOS自定义SSL协议

  • 自定义SSL标识符(反向DNS格式):以反向DNS格式输入SSL标识符。此字段是必需的。
  • 服务器名称或IP地址:输入VPN服务器的服务器名或IP地址。此字段是必需的。
  • 用户帐号:键入一个可选的用户帐户。
    • 连接的认证类型:在列表中,选择其中之一密码证书此连接的身份验证类型。默认值是密码
    • 如果你使密码,在中键入可选的身份验证密码身份验证密码字段。
    • 如果你使证书,配置这些设置:
      • 身份凭证:在列表中,选择要使用的身份凭证。默认值是没有一个
      • 连接时提示PIN:选择用户连接网络时是否提示用户输入密码。默认值是
      • 启用VPN点播功能:选择是否在用户接入网络时触发VPN连接。默认值是.时配置设置的信息启用VPN按需,请参阅配置使能VPN按需配置
    • 每个应用VPN:选择是否启用单应用VPN。默认值是.如果启用此选项,请配置以下设置:
      • 开启按需配对app:选择连接到该VPN服务的应用发起网络通信时是否自动触发对应的VPN连接。
      • Safari域:对于每个可以触发您想要包含的每个应用程序VPN连接的Safari域,单击添加然后做以下事情:
        • 域:输入待添加的域。
        • 点击保存保存域名或单击取消不保存域。
  • 自定义XML:对于要添加的每个自定义XML参数,单击添加然后做以下事情:
    • 参数名称:键入要添加的参数的名称。
    • 值:键入关联的值参数名称
    • 点击保存保存域名或单击取消不保存域。

配置使能VPN按需选项

  • 在需求域:对于每个域以及当用户连接到您想要添加的域时要采取的相关操作,单击添加做以下工作:
    • 域:输入待添加的域。
    • 行动:在列表中选择一个可能的操作:
      • 总是建立:域总是触发VPN连接。
      • 从来没有建立:域不会触发VPN连接。
      • 如果有必要建立:域名解析失败,域触发VPN连接尝试。当DNS服务器无法解析域、重定向到不同的服务器或超时时就会发生故障。
    • 点击保存保存域名或单击取消不保存域。
  • 对需求的规则
    • 行动:在列表中,选择要采取的操作。默认值是EvaluateConnection.可能的行为是:
      • 允许:允许VPN按需连接时触发。
      • 连接:无条件发起VPN连接。
      • 断开连接:删除VPN连接,只要规则匹配,不要按需重新连接。
      • EvaluateConnection:评估ActionParameters数组,用于每个连接。
      • 忽略:保留任何现有的VPN连接,但只要规则匹配,就不要按需重新连接。
    • DNSDomainMatch:设备搜索域列表中可匹配的域,单击添加做以下工作:
      • DNS域:输入域名。可以使用通配符“*”作为前缀匹配多个域名。例如,*.example.com匹配mydomain.example.com、yourdomain.example.com和herdomain.example.com。
      • 点击保存保存域名或单击取消不保存域。
    • DNSServerAddressMatch:对于网络中任意指定的DNS服务器都能匹配到的IP地址,单击添加然后做以下事情:
      • DNS服务器地址:输入需要添加的DNS服务器地址,后缀可以使用通配符“*”进行匹配。例如,17岁。*matches any DNS server in the class A subnet.
      • 点击保存保存DNS服务器地址或单击取消不保存DNS服务器地址。
    • InterfaceTypeMatch:在列表中单击使用的主网口硬件类型。默认值是未指明的.可能的值是:
      • 未详细说明的:匹配任何网络接口硬件。这个选项是默认的。
      • 以太网:只匹配以太网网络接口硬件。
      • 无线网络:只匹配Wi-Fi网络接口硬件。
      • 细胞:只匹配蜂窝网络接口硬件。
    • SSIDMatch:要使每个SSID与您想添加的当前网络相匹配,请单击添加所以接下来。
      • 名称:输入需要添加的SSID。如果网络不是Wi-Fi网络,或者SSID没有出现,则匹配失败。保留此列表为空以匹配任何SSID。
      • 点击保存保存SSID或单击取消不保存SSID。
    • URLStringProbe:输入要获取的URL。如果没有重定向,成功获取了该URL,则此规则匹配。
    • ActionParameters:域:对于EvaluateConnection检查的要添加的每个域,单击添加然后做以下事情:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。
    • ActionParameters: DomainAction:在列表中,选择VPN的行为为指定的ActionParameters:域域。默认值是ConnectIfNeeded.可能的行为是:
      • ConnectIfNeeded:域名解析失败,域触发VPN连接尝试。当DNS服务器无法解析域、重定向到不同的服务器或超时时就会发生故障。
      • NeverConnect:域不会触发VPN连接。
    • 操作参数:RequiredDNSServers:对于需要用于解析指定域的DNS服务器,单击添加然后做以下事情:
      • DNS服务器:有效的只有当ActionParametersDomainActionConnectIfNeeded.输入需要添加的DNS服务器IP地址。该服务器可以位于设备当前网络配置之外。如果DNS服务器不可达,则响应建立VPN连接。该DNS服务器既可以是内部DNS服务器,也可以是可信的外部DNS服务器。
      • 点击保存保存DNS服务器或单击取消不保存DNS服务器。
    • ActionParameters: RequiredURLStringProbe:可以选择输入HTTP或HTTPS(首选)URL,使用GET请求进行探测。如果URL的主机名无法解析、服务器不可达或服务器无响应,则建立VPN连接。有效的只有当ActionParametersDomainActionConnectIfNeeded
    • XML内容:键入或复制和粘贴XML随需配置规则。
      • 点击检查字典来验证XML代码。有效的XML出现在XML内容文本框表示XML是否有效。如果它无效,则错误消息描述错误。
  • 代理
    • 代理配置:在列表中选择VPN连接通过代理服务器的路由方式。默认值是没有一个
      • 如果你使手册,配置这些设置:
        • 代理服务器的主机名或IP地址:输入代理服务器的主机名或IP地址。此字段是必需的。
        • 代理服务器端口:输入代理服务器端口号。此字段是必需的。
        • 用户名:键入一个可选的代理服务器用户名。
        • 密码:键入一个可选的代理服务器密码。
      • 如果您配置自动,配置此设置:
        • 代理服务器地址:键入代理服务器的URL。此字段是必需的。
  • 策略设置
    • 删除政策:选择一种调度策略删除的方法。可用的选项是选择日期而且移除前的时间(小时)
      • 选择日期:单击日历以选择要删除的特定日期。
      • 移除前的时间(小时):键入一个数字,以小时为单位,直到策略删除发生。
    • 允许用户删除策略:用户可以选择何时将策略从设备中移除。选择总是密码需要,或从来没有从菜单中。如果您选择密码需要,在中输入密码删除密码字段。
    • 概要范围:选择此策略是否适用于a用户或整个系统.默认值是用户.此选项仅在macOS 10.7及更高版本上可用。

Android(传统DA)设置

设备策略配置界面

为Android配置Cisco AnyConnect VPN协议

  • 连接名称:输入Cisco AnyConnect VPN连接的名称。此字段是必需的。
  • 服务器名称或IP地址:输入VPN服务器的名称或IP地址。此字段是必需的。
  • 身份凭证:在列表中选择身份凭据。
  • 备份VPN服务器:输入备份的VPN服务器信息。
  • 用户组:输入用户组信息。
  • 信任网络
    • 自动VPN政策:启用或禁用该选项来设置VPN对可信网络和不可信网络的响应方式。如果启用,配置这些设置:
      • 可信网络政策:在列表中选择策略。默认值是断开连接.可能的选项是:
        • 断开连接:客户端终止可信网络中的VPN连接。此设置为默认设置。
        • 连接:客户端在可信网络中发起VPN连接。
        • 做什么:客户端不做任何操作。
        • 暂停:当用户在受信任网络外建立VPN会话,然后进入配置为受信任的网络时,VPN会话将挂起。当用户再次离开可信网络时,会话恢复。这种设置可以消除离开可信网络后重新建立VPN会话的需要。
      • 不可信的网络政策:在列表中选择策略。默认值是连接.可能的选项是:
        • 连接:客户端在不可信网络中发起VPN连接。
        • 做什么:客户端在不受信任的网络中启动VPN连接。该选项禁用永久在线VPN。
    • 信任域:对于客户端处于可信网络时网络接口所具有的每个域后缀,单击添加要做到以下几点:
      • 域:输入待添加的域。
      • 点击保存保存域名或单击取消不保存域。
    • 受信任的服务器:对于客户机位于可信网络中的网络接口所具有的每个服务器地址,单击添加然后做以下事情:
      • 服务器:输入需要添加的服务器。
      • 点击保存保存服务器或单击取消不保存服务器。

配置Android系统的Citrix单点登录协议

  • 连接名称:为VPN连接输入一个名称。此字段是必需的。

  • 服务器名称或IP地址:输入“Citrix Gateway”的FQDN或IP地址。

  • 连接的认证类型:选择一个身份验证类型,并完成显示该类型的任何字段:

    • 用户名而且密码:输入您的VPN凭据身份验证类型密码密码和证书.可选的。如果您不提供VPN凭证,Citrix VPN应用程序会提示输入用户名和密码。

    • 身份凭证:出现的身份验证类型证书密码和证书.在列表中选择身份凭据。

  • 使每个应用VPN:选择是否启用单应用VPN。如果你不启用每个应用的VPN,所有的流量都会通过Citrix VPN隧道。如果启用每应用VPN,请指定以下设置。默认值是

    • 允许列表块列表:如果允许列表,允许列表中的所有应用程序通过该VPN隧道。如果块列表,除黑名单中的应用程序外,其他所有应用程序都通过该VPN隧道访问。
    • 应用程序列表:应用程序在允许列表或阻止列表。点击添加然后输入一个以逗号分隔的应用程序包名称列表。

  • 自定义XML:点击添加然后输入自定义参数。端点管理支持Citrix VPN的以下参数:

    • DisableUserProfiles:可选的。要启用此参数,请输入type是的价值.如果启用,端点管理不显示用户添加的VPN连接,用户不能添加连接。此配置为全局限制,适用于所有VPN配置文件。
    • userAgent:一个字符串值。您可以指定一个自定义的用户代理字符串来发送每个HTTP请求。指定的用户代理字符串将被追加到现有的Citrix VPN用户代理。

配置vpn支持NAC

  1. 使用连接类型自定义SSL,配置NAC过滤器。
  2. 指定一个连接名VPN
  3. 定制的XML,点击添加然后做以下事情:
    • 参数名称:类型XenMobileDeviceId.此字段是基于端点管理中的设备注册用于NAC检查的设备ID。如果终端管理注册并管理设备,则允许VPN连接。否则,VPN建立时拒绝验证。
    • 值:类型DeviceID_ $ {device.id},它是参数的值XenMobileDeviceId
    • 点击保存保存该参数。

配置Android企业版vpn

为Android企业设备配置vpn,需要为Citrix单点登录应用创建Android企业管理的配置设备策略。参见配置Android企业版VPN配置文件

Android企业设置

设备策略配置界面

  • 使不间断VPN:选择VPN是否一直处于开启状态。默认值是.启用后,VPN连接将一直保持,直到用户手动断开连接。
  • VPN方案输入VPN应用设备使用的包名。
  • 启用锁定:如果禁用,如果VPN连接不存在,任何应用程序都不能访问网络。如果启用,您在以下设置中配置的应用程序可以访问网络,即使VPN连接不存在。适用于Android 10及以后的设备。
  • 被锁定排除的应用程序:点击添加键入要绕过锁定设置的应用程序的包名称。

三星安全设置

设备策略配置界面

  • 连接名称:键入连接的名称。
  • VPN类型:在列表中,选择用于此连接的协议。默认值是使用预共享密钥的L2TP.可能的选项是:
    • 使用预共享密钥的L2TP:具有预共享密钥认证的第2层隧道协议。此设置为默认设置。
    • L2TP和证书:带证书的第二层隧道协议。
    • PPTP:点对点隧道。
    • 企业:您的企业VPN连接。适用于2.0之前的SAFE版本。
    • 泛型:一个通用的VPN连接。适用于安全版本2.0或更高。

为Samsung SAFE配置预共享密钥协议的L2TP

  • 主机名:输入VPN主机名。这个选项是必需的。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • Pre-shared关键:输入预共享密钥。这个选项是必需的。

为三星安全组件配置证书协议的L2TP

  • 主机名:输入VPN主机名。这个选项是必需的。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • 身份credential:在列表中选择要使用的身份凭证。默认值是没有一个

配置三星SAFE的PPTP协议

  • 主机名:输入VPN主机名。这个选项是必需的。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • 启用加密:选择是否开启VPN连接加密功能。

为Samsung SAFE配置企业协议

  • 主机名:输入VPN主机名。这个选项是必需的。
  • 启用备份服务器:启用备份VPN服务器时,需要输入备份VPN服务器的FQDN或IP地址。
  • 启用用户身份验证:选择是否需要用户认证。如果启用,配置以下设置:
    • 用户名:请输入用户名。
    • 密码:输入用户密码。
  • 组名:输入一个可选的组名。
  • 验证方法:在列表中选择需要使用的认证方式。可能的选项是:
    • 证书:使用证书身份验证。此设置为默认设置。如果选中,则在身份凭证列表中,选择要使用的凭据。默认值是没有一个
    • Pre-shared关键:使用预共享密钥。如果选中,则在Pre-shared关键字段,键入共享密钥。
    • 混合RSA:使用RSA证书的混合认证。
    • EAP MD5:验证EAP对等体到EAP服务器,但不进行相互验证。
    • EAP MSCHAPv2:使用Microsoft Challenge-Handshake Authentication Protocol进行交互认证。
  • CA证书:在列表中选择需要使用的证书。默认值是没有一个
  • 启用默认路由:2 .选择是否启用到VPN服务器的缺省路由。默认值是
  • 使智能卡认证:选择是否允许用户使用智能卡进行身份验证。默认值是
  • 启用移动选项:默认值是
  • Diffie-Hellman组值(关键强度):在列表中,选择要使用的键强度。默认值为0。
  • 将隧道类型:在列表中选择需要使用的分离隧道类型。默认值是汽车.可能的选项是:
    • 汽车:自动使用分裂隧道。
    • 手册:分离隧道是对VPN服务器端指定的IP地址和端口进行划分。
    • 禁用:不使用分段隧道。
  • SuiteB类型:在列表中,选择要使用的NSA套件B加密级别。默认值是gcm - 128.可能的选项是:
    • gcm - 128:采用128位AES-GCM加密。
    • gcm - 256:采用AES-GCM 256位加密。
    • gmac - 128:采用128位AES-GMAC加密。
    • gmac - 256:采用AES-GMAC 256位加密。
    • 没有:使用不加密。
  • 前进路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

配置Samsung SAFE通用协议

  • 主机名:输入VPN主机名。这个选项是必需的。
  • 启用用户身份验证:选择是否需要用户认证。如果启用,密码,输入用户密码。
  • 用户名:请输入用户名。
  • Agent VPN:设备上安装的VPN的包名或ID;例如Mocana或Pulse Secure。
  • VPN连接类型:在列表中,选择其中之一IPSECSSL要使用的连接类型。默认值是IPSEC.以下部分描述了每种连接类型的配置设置。

配置Samsung SAFE的IPSEC连接类型

  • 身份:为此配置键入一个可选标识符。
  • IPsec组ID类型:2 .在列表中选择要使用的IPsec组ID类型。默认值是默认的.可能的选项是:
    • 默认的
    • IPv4地址
    • 完全限定域名(FQDN)
    • 用户FQDN
    • 艾克key ID
  • 艾克版本:在列表中,选择要使用的Internet密钥交换版本。默认值是IKEv1
  • 验证方法:在列表中选择需要使用的认证方式。默认值是证书.可能的选项是:
    • 证书:使用证书身份验证。如果选中,则在身份credentiaL列表中,选择要使用的凭证。默认值是没有一个
    • Pre-shared关键:使用预共享密钥。如果选中,则在Pre-shared关键字段,键入共享密钥。
    • 混合RSA:使用RSA证书的混合认证。
    • EAP MD5:验证EAP对等体到EAP服务器,但不进行相互验证。
    • EAP MSCHAPv2:使用Microsoft Challenge-Handshake Authentication Protocol进行交互认证。
    • 基于CAC的身份验证:使用CAC (Common Access Card)进行认证。
  • 身份凭证:在列表中选择要使用的身份凭据。默认值是没有一个
  • CA证书:在列表中选择需要使用的证书。
  • 启用dead peer检测:选择是否联系一个对等体以确保它仍然是活的。默认值是
  • 启用默认路由:2 .选择是否启用到VPN服务器的缺省路由。
  • 启用移动选项:默认值是
  • ike生命周期单位分钟:输入VPN连接必须重新建立的分钟数。默认为1440分钟(24小时)。
  • ipsec超时时间(分钟):输入VPN连接必须重新建立的分钟数。默认为1440分钟(24小时)。
  • Diffie-Hellman组值(关键强度):在列表中,选择要使用的键强度。默认值是0
  • IKE第一阶段密钥交换模式:选择主要咄咄逼人的为IKE阶段1的协商模式。默认值是主要
    • 主要:在协商过程中不会向潜在的攻击者暴露任何信息,但速度较慢咄咄逼人的模式。
    • 挑衅式:一些信息(例如,协商对等体的身份)在协商过程中暴露给潜在的攻击者,但是速度比主要模式。
  • 完美前向保密(PFS)值:选择是否使用PFS来要求重新协商连接的新密钥交换。
  • 将隧道类型:在列表中选择需要使用的分离隧道类型。可能的选项是:
    • 汽车:自动使用分裂隧道。
    • 手册:分离隧道是对VPN服务器端指定的IP地址和端口进行划分。
    • 禁用:不使用分段隧道。
  • IPSEC加密算法:IPsec协议使用的VPN配置。
  • 艾克加密算法:IPsec协议使用的VPN配置。
  • 艾克完整性算法:IPsec协议使用的VPN配置。
  • 供应商:与Knox API通信的通用代理的个人配置文件。
  • 前进路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。
  • 每个应用VPN:对于每个你想添加的应用VPN,单击添加然后做以下事情:
    • 每个应用VPN:应用程序用于通信的VPN配置。
    • 点击保存保存每个应用的VPN或单击取消不保存每个应用的VPN。

为Samsung SAFE配置SSL连接类型设置

  • 验证方法:在列表中选择需要使用的认证方式。默认值是不适用.可能的选项是:
    • 不适用
    • 证书:使用证书身份验证。如果选中,则在身份凭证列表中,选择要使用的凭据。默认值是没有一个
    • 基于CAC的身份验证:使用CAC (Common Access Card)进行认证。
  • CA证书:在列表中选择需要使用的证书。
  • 启用默认路由:2 .选择是否启用到VPN服务器的缺省路由。
  • 启用移动选项:默认值是
  • 将隧道类型:在列表中选择需要使用的分离隧道类型。可能的选项是:
    • 汽车:自动使用分裂隧道。
    • 手册:分离隧道是对VPN服务器端指定的IP地址和端口进行划分。
    • 禁用:不使用分段隧道。
  • SSL算法:键入用于客户机-服务器协商的SSL算法。
  • 供应商:与Knox API通信的通用代理的个人配置文件。
  • 前进路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。
  • 每个应用VPN:对于每个你想添加的应用VPN,单击添加然后做以下事情:
    • 每个应用VPN:应用程序用于通信的VPN配置。
    • 点击保存保存每个应用的VPN或单击取消不保存每个应用的VPN。

诺克斯三星设置

设备策略配置界面

当您为Samsung Knox配置任何策略时,它只应用于Samsung Knox容器内部。

  • VPN类型:在列表中选择需要配置的VPN连接类型。两者之间的联系可以是任意一个企业(适用于2.0之前的Knox版本)或通用的(适用于Knox版本2.0或更高版本)。默认值是企业

以下部分列出了上述每种连接类型的配置选项。

为Samsung Knox配置企业协议

  • 连接名称:键入连接的名称。此字段是必需的。
  • 主机名:输入VPN主机名。这个选项是必需的。
  • 启用备份服务器:选择是否启用备份VPN服务器。如果启用,备份VPN服务器,输入备份VPN服务器的FQDN或IP地址。
  • 启用用户身份验证:选择是否需要用户认证。如果启用,配置以下设置:
    • 用户名:请输入用户名。
    • 密码:输入用户密码。
  • 组名:输入一个可选的组名。
  • 验证方法:在列表中选择需要使用的认证方式。可能的选项是:
    • 证书:使用证书身份验证。对于证书身份验证,还可以从身份凭证列表。
    • Pre-shared关键:使用预共享密钥。如果选中,则在Pre-shared关键字段,键入共享密钥。
    • 混合RSA:使用RSA证书的混合认证。
    • EAP MD5:验证EAP对等体到EAP服务器,但不进行相互验证。
    • EAP MSCHAPv2:使用Microsoft Challenge-Handshake Authentication Protocol进行交互认证。
  • CA证书:在列表中选择需要使用的证书。
  • 启用默认路由:2 .选择是否启用到VPN服务器的缺省路由。
  • 使智能卡认证:选择是否允许用户使用智能卡进行身份验证。默认值是
  • 启用移动选项:默认值是
  • Diffie-Hellman组值(关键强度):在列表中,选择要使用的键强度。默认值是0
  • 将隧道类型:在列表中选择需要使用的分离隧道类型。可能的选项是:
    • 汽车:自动使用分裂隧道。
    • 手册:分离隧道是对VPN服务器端指定的IP地址和端口进行划分。
    • 禁用:不使用分段隧道。
  • SuiteB类型:在列表中,选择要使用的NSA套件B加密级别。可能的选项是:
    • gcm - 128:使用128位AES-GCM加密:此设置为默认设置。
    • gcm - 256:采用AES-GCM 256位加密。
    • gmac - 128:采用128位AES-GMAC加密。
    • gmac - 256:采用AES-GMAC 256位加密。
    • 没有:使用不加密。
  • 前进路线:点击添加添加任何可选的转发路由,如果您的企业VPN服务器支持多个路由表。

配置三星Knox通用协议

  • 连接名称:键入连接的名称。此字段是必需的。
  • Agent VPN:设备上安装的VPN的包名或ID;例如Mocana或Pulse Secure。
  • 主机名:输入VPN主机名。这个选项是必需的。
  • 启用用户身份验证:选择是否需要用户认证。如果启用,配置以下设置:
    • 用户名:请输入用户名。
    • 密码:输入用户密码。
  • 身份:为此配置键入一个可选标识符。只适用于当Vpn连接类型= IPSEC
  • VPN连接类型:在列表中,选择其中之一IPSECSSL要使用的连接类型。默认值是IPSEC.以下部分描述了每种连接类型的配置设置。
  • 配置IPSEC连接
    • IPsec组ID类型:2 .在列表中选择要使用的IPsec组ID类型。默认值是默认的.可能的选项是:
      • 默认的
      • IPv4地址
      • 完全限定域名(FQDN)
      • 用户FQDN
      • 艾克key ID
    • 艾克版本:在列表中,选择要使用的Internet密钥交换版本。默认值是IKEv1
    • 验证方法:在列表中选择需要使用的认证方式。默认值是证书.可能的选项是:
      • 证书:使用证书身份验证。如果选中,则在身份凭证列表中,选择要使用的凭据。默认值是没有一个
      • Pre-shared关键:使用预共享密钥。如果选中,则在Pre-shared关键字段,键入共享密钥。
      • 混合RSA:使用RSA证书的混合认证。
      • EAP MD5:验证EAP对等体到EAP服务器,但不进行相互验证。
      • EAP MSCHAPv2:使用Microsoft Challenge-Handshake Authentication Protocol进行交互认证。
      • 基于CAC的身份验证:使用CAC (Common Access Card)进行认证。
    • CA证书:在列表中选择需要使用的证书。
    • 启用dead peer检测:选择是否联系一个对等体以确保它仍然是活的。默认值是
    • 启用默认路由:2 .选择是否启用到VPN服务器的缺省路由。
    • 启用移动选项:默认值是
    • ike生命周期单位分钟:输入VPN连接必须重新建立的分钟数。默认为1440分钟(24小时)。
    • ipsec超时时间(分钟):输入VPN连接必须重新建立的分钟数。默认为1440分钟(24小时)。
    • Diffie-Hellman组值(关键强度):在列表中,选择要使用的键强度。默认值是0
    • IKE第一阶段密钥交换模式:选择主要咄咄逼人的为IKE阶段1的协商模式。默认值是主要
      • 主要:在协商过程中不会向潜在的攻击者暴露任何信息,但速度较慢咄咄逼人的模式。
      • 挑衅式:一些信息(例如,协商对等体的身份)在协商过程中暴露给潜在的攻击者,但是速度比主要模式。
    • 完美前向保密(PFS)值:选择是否使用PFS来要求重新协商连接的新密钥交换。
    • 将隧道类型:在列表中选择需要使用的分离隧道类型。可能的选项是:
      • 汽车:自动使用分裂隧道。
      • 手册:分离隧道是对VPN服务器端指定的IP地址和端口进行划分。
      • 禁用:不使用分段隧道。
    • SuiteB类型:在列表中,选择要使用的NSA套件B加密级别。默认值是gcm - 128.可能的选项是:
      • gcm - 128:采用128位AES-GCM加密。
      • gcm - 256:采用AES-GCM 256位加密。
      • gmac - 128:采用128位AES-GMAC加密。
      • gmac - 256:采用AES-GMAC 256位加密。
      • 没有:使用不加密。
    • IPSEC加密算法:IPsec协议使用的VPN配置。
    • 艾克加密算法:IPsec协议使用的VPN配置。
    • 艾克完整性算法:IPsec协议使用的VPN配置。
    • 诺克斯:仅针对三星Knox的配置。
    • 供应商:与Knox API通信的通用代理的个人配置文件。
    • 前进路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
      • 前进路线:输入转发路由的IP地址。
      • 点击保存保存路由或单击取消不保存路由。
    • 每个应用VPN:对于每个你想添加的应用VPN,单击添加然后做以下事情:
      • 每个应用VPN:应用程序用于通信的VPN配置。
      • 点击保存保存每个应用的VPN或单击取消不保存每个应用的VPN。
  • 配置SSL连接设置
    • 验证方法:在列表中单击要使用的认证方式。可能的选项是:
      • 不适用:无认证方式。此设置为默认设置。
      • 证书:使用证书身份验证。此设置为默认设置。如果选中,在“身份凭据”列表中选择要使用的凭据。默认为None。
      • 基于CAC的身份验证:使用CAC (Common Access Card)进行认证。
    • CA证书:在列表中选择需要使用的证书。
    • 启用默认路由:2 .选择是否启用到VPN服务器的缺省路由。
    • 启用移动选项:默认值是
    • 将隧道类型:在列表中选择需要使用的分离隧道类型。可能的选项是:
      • 汽车:自动使用分裂隧道。
      • 手册:对指定的IP地址和端口使用分离隧道。
      • 禁用:不使用分段隧道。
    • SuiteB类型:在列表中,选择要使用的NSA套件B加密级别。默认为GCM-128。可能的选项是:
      • gcm - 128:采用128位AES-GCM加密。
      • gcm - 256:采用AES-GCM 256位加密。
      • gmac - 128:采用128位AES-GMAC加密。
      • gmac - 256:采用AES-GMAC 256位加密。
      • None:不加密:键入用于客户机-服务器协商的SSL算法。
    • SSL算法:键入用于客户机-服务器协商的SSL算法。
    • 诺克斯:仅针对三星Knox的配置。
    • 供应商:与Knox API通信的通用代理的个人配置文件。
    • 前进路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
      • 前进路线:输入转发路由的IP地址。
      • 点击保存保存路由或单击通过L表示不保存路线。
    • 每个应用VPN:对于每个你想添加的应用VPN,单击添加然后做以下事情:
      • 每个应用VPN:应用程序用于通信的VPN配置。
      • 点击保存保存每个应用的VPN或单击取消不保存每个应用的VPN。

Windows Phone设置

设备策略配置界面

这些设置只支持windows 10和以后的监控电话。

  • 连接名称:输入连接的名称。此字段是必需的。
  • 概要文件类型:在列表中,选择其中之一本地的插件.默认值是本地的.以下部分描述了每个选项的设置。
  • 配置本机配置文件类型设置:这些设置适用于用户的Windows手机内置的VPN。
    • VPN服务器名称:输入VPN服务器的FQDN或IP地址。此字段是必需的。
    • 隧道协议:在列表中选择需要使用的VPN隧道类型。默认值是L2TP.可能的选项是:
      • L2TP:具有预共享密钥认证的第2层隧道协议。
      • PPTP:点对点隧道。
      • IKEv2:Internet密钥交换版本2。
    • 验证方法:在列表中选择要使用的认证方式。默认值是学术用途英语.可能的选项是:
      • 学术用途英语:扩展认证协议。
      • MSChapV2:使用Microsoft Challenge-Handshake Authentication Protocol进行交互认证。当隧道类型选择IKEv2时,不支持该选项。当选择MSChapV2时,an自动使用Windows凭据选项出现。默认值是
    • EAP方法:在列表中选择要使用的EAP方法。默认值是TLS.当启用MSChapV2认证时,该字段不可用。可能的选项是:
      • TLS:传输层安全
      • PEAP:受保护的可扩展认证协议
    • DNS后缀:输入DNS后缀。
    • 可信网络:输入一个不需要VPN连接访问的网络列表,这些网络以逗号分隔。例如,当用户使用公司的无线网络时,他们可以直接访问受保护的资源。
    • 要求智能卡证书:选择是否需要智能卡证书。默认为“关闭”。
    • 自动选择客户端证书:选择是否自动选择用于认证的客户端证书。默认为“关闭”。此选项不可用要求智能卡证书启用。
    • 记住凭证:选择是否缓存凭据。默认为“关闭”。启用时,尽可能地缓存凭据。
    • 总是在VPN:选择VPN是否一直处于开启状态。默认为“关闭”。启用后,VPN连接将一直保持,直到用户手动断开连接。
    • 绕过地方:输入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件协议类型:这些设置适用于从Windows Store中获取并安装在用户设备上的VPN插件。
    • 服务器地址:输入VPN服务器的URL、主机名或IP地址。
    • 客户端应用程序ID:输入VPN插件的包族名称。
    • XML插件配置文件:通过单击选择需要使用的自定义VPN插件配置文件浏览并导航到文件的位置。有关格式和详细信息,请与插件提供程序联系。
    • DNS后缀:输入DNS后缀。
    • 可信网络:输入一个不需要VPN连接访问的网络列表,这些网络以逗号分隔。例如,当用户使用公司的无线网络时,他们可以直接访问受保护的资源。
    • 记住凭证:选择是否缓存凭据。默认为“关闭”。启用时,尽可能地缓存凭据。
    • 总是在VPN:选择VPN是否一直处于开启状态。默认为“关闭”。启用后,VPN连接将一直保持,直到用户手动断开连接。
    • 绕过地方:输入地址和端口号,以允许本地资源绕过代理服务器。

Windows桌面/平板电脑设置

设备策略配置界面

  • 连接名称:输入连接的名称。此字段是必需的。
  • 概要文件类型:在列表中,选择其中之一本地的插件.默认值是本地的
  • 配置Native配置文件类型:这些设置适用于用户的Windows设备内置的VPN。
    • 服务器地址:输入VPN服务器的FQDN或IP地址。此字段是必需的。
    • 记住凭证:选择是否缓存凭据。默认值是.启用时,尽可能地缓存凭据。
    • DNS后缀:输入DNS后缀。
    • 隧道型:在列表中选择需要使用的VPN隧道类型。默认值是L2TP.可能的选项是:
      • L2TP:具有预共享密钥认证的第2层隧道协议。
      • PPTP:点对点隧道。
      • IKEv2:Internet密钥交换版本2。
    • 验证方法:在列表中选择要使用的认证方式。默认值是学术用途英语.可能的选项是:
      • 学术用途英语:扩展认证协议。
      • MSChapV2:使用Microsoft Challenge-Handshake Authentication Protocol进行交互认证。选择时,此选项不可用IKEv2对于隧道类型。
    • EAP方法:在列表中选择要使用的EAP方法。默认值是TLS.当启用MSChapV2认证时,该字段不可用。可能的选项是:
      • TLS:传输层安全
      • PEAP:受保护的可扩展认证协议
    • 可信网络:输入一个不需要VPN连接访问的网络列表,这些网络以逗号分隔。例如,当用户使用公司的无线网络时,他们可以直接访问受保护的资源。
    • 要求智能卡证书:选择是否需要智能卡证书。默认值是
    • 自动选择客户端证书:选择是否自动选择用于认证的客户端证书。默认值是.当启用时,此选项不可用要求智能卡证书
    • 总是在VPN:选择VPN是否一直处于开启状态。默认值是.启用后,VPN连接将一直保持,直到用户手动断开连接。
    • 绕过地方:输入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件配置文件类型:这些设置适用于从Windows Store中获取并安装在用户设备上的VPN插件。
    • 服务器地址:输入VPN服务器的FQDN或IP地址。此字段是必需的。
    • 记住凭证:选择是否缓存凭据。默认值是.启用时,尽可能地缓存凭据。
    • DNS后缀:输入DNS后缀。
    • 客户端应用程序ID:输入VPN插件的包族名称。
    • XML插件配置文件:通过单击选择需要使用的自定义VPN插件配置文件浏览并导航到文件的位置。有关格式和详细信息,请与插件提供程序联系。
    • 可信网络:输入一个不需要VPN连接访问的网络列表,这些网络以逗号分隔。例如,当用户使用公司的无线网络时,他们可以直接访问受保护的资源。
    • 总是在VPN:选择VPN是否一直处于开启状态。默认值是.启用后,VPN连接将一直保持,直到用户手动断开连接。
    • 绕过地方:输入地址和端口号,以允许本地资源绕过代理服务器。

亚马逊的设置

设备策略配置界面

  • 连接名称:输入连接的名称。
  • VPN类型:选择连接类型。可能的选项是:
    • L2TP相移键控:具有预共享密钥认证的第2层隧道协议。此设置为默认设置。
    • L2TP RSA:具有RSA认证的第二层隧道协议。
    • IPSEC XAUTH相移键控:具有预共享密钥和扩展身份验证的互联网协议安全。
    • IPSEC混合RSA:具有混合RSA认证的互联网协议安全。
    • PPTP:点对点隧道。

以下部分列出了上述每种连接类型的配置选项。

配置Amazon的L2TP PSK配置

  • 服务器地址:2 .输入VPN服务器的IP地址。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • L2TP秘密:输入共享密钥。
  • IPSec标识符:输入用户连接时在其设备上看到的VPN连接的名称。
  • IPSec pre-shared关键:输入密钥。
  • DNS搜索域:键入用户设备的搜索域列表可以匹配的域。
  • DNS服务器:输入用于解析指定域的DNS服务器的IP地址。
  • 运输路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

配置Amazon的L2TP RSA配置

  • 服务器地址:2 .输入VPN服务器的IP地址。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • L2TP秘密:输入共享密钥。
  • DNS搜索域:键入用户设备的搜索域列表可以匹配的域。
  • DNS服务器:输入用于解析指定域的DNS服务器的IP地址。
  • 服务器证书:2 .在列表中选择需要使用的服务器证书。
  • CA证书:在列表中选择要使用的CA证书。
  • 身份凭证:在列表中,选择要使用的身份凭据。
  • 运输路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

配置Amazon的IPSEC XAUTH PSK设置

  • 服务器地址:2 .输入VPN服务器的IP地址。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • IPSec标识符:输入用户连接时在其设备上看到的VPN连接的名称。
  • IPSec pre-shared关键:输入共享密钥。
  • DNS搜索域:键入用户设备的搜索域列表可以匹配的域。
  • DNS服务器:输入用于解析指定域的DNS服务器的IP地址。
  • 运输路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

配置Amazon的IPSEC AUTH RSA配置

  • 服务器地址:2 .输入VPN服务器的IP地址。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • DNS搜索域:键入用户设备的搜索域列表可以匹配的域。
  • DNS服务器:输入用于解析指定域的DNS服务器的IP地址。
  • 服务器证书:2 .在列表中选择需要使用的服务器证书。
  • CA证书:在列表中选择要使用的CA证书。
  • 身份凭证:在列表中,选择要使用的身份凭据。
  • 运输路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

配置Amazon的IPSEC混合RSA配置

  • 服务器地址:2 .输入VPN服务器的IP地址。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • DNS搜索域:键入用户设备的搜索域列表可以匹配的域。
  • DNS服务器:输入用于解析指定域的DNS服务器的IP地址。
  • 服务器证书:2 .在列表中选择需要使用的服务器证书。
  • CA证书:在列表中选择要使用的CA证书。
  • 运输路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

为Amazon配置PPTP设置

  • 服务器地址:2 .输入VPN服务器的IP地址。
  • 用户名:输入一个可选的用户名。
  • 密码:请输入一个可选的密码。
  • DNS搜索域:键入用户设备的搜索域列表可以匹配的域。
  • DNS服务器:输入用于解析指定域的DNS服务器的IP地址。
  • 购买力平价加密(MPPE):2 .选择是否使用MPPE (Microsoft Point-to-Point encryption)对数据进行加密。默认值是
  • 运输路线:如果您的企业VPN服务器支持转发路由,对于需要使用的每一条转发路由,请单击添加然后做以下事情:
    • 前进路线:输入转发路由的IP地址。
    • 点击保存保存路由或单击取消不保存路由。

Chrome操作系统设置

设备策略配置界面

  • VPN连接名称:键入此连接的用户友好描述。此设置是必需的。
  • 本网络优先级:键入此网络的建议优先级值。使用整数值。
  • 连接类型:在列表中选择开放的VPN作为连接类型。

选择开放的VPN显示更多特定于OpenVPN连接的设置。滚动查看所有设置。

设备策略配置界面

  • 主持人:输入VPN连接的服务器的主机名或IP地址。OpenVPN所必需的。您在这里输入的值是主主机。还可以配置额外的主机,以便在主主机连接失败时连接到它们。
  • 自动连接:选择VPN是否自动连接到主机。如果该设置设置为, VPN自动连接到主机。默认是
  • 端口:输入主机服务器端口号。默认是1194
  • 协议:输入与主机服务器通信时使用的协议。默认是乌利希期刊指南
  • 用户身份验证类型:在列表中,选择所需的用户身份验证形式:
    • 没有:无需密码或一次性PIN。
    • 密码:密码。您可以配置这个值,或者让用户在连接时提供它。
    • 密码和OTP:密码和一次性PIN。您可以配置这些值,或者让用户在连接时提供这些值。
    • OTP:一次性针。您可以配置这个值,或者让用户在连接时提供它。
  • 用户名:输入用于连接VPN的用户名。如果不指定,则在连接VPN时提示用户输入用户名。该值受文本字符串扩展的影响:
    • ${LOGIN_ID}展开为用户@前的电子邮件地址。
    • ${LOGIN_EMAIL} -展开为用户的email地址。
  • 密码:输入连接VPN时使用的密码文本字符串。如果未指定,则在连接时提示用户输入密码。
  • OTP:输入用于连接VPN的一次性PIN文本字符串。密码文本字符串。如果未指定,用户在连接时将被提示一次性输入PIN码。
  • 保存凭证:选择连接后是否保存用户凭据。如果该设置设置为,用户必须在每次连接时输入他们的凭证。
  • 缓存凭证在内存中:选择是否将用户密码和用户输入的一次性pin码缓存在设备内存中。如果该设置设置为,缓存已启用。默认是
  • 身份验证:输入用于保护连接的认证算法。默认为sha - 256
  • 身份验证重试类型:在列表中选择未验证用户凭据时VPN的响应方式。选项是重试时失败并出现错误在不请求身份验证的情况下重试,每次再次请求验证.默认是重试时失败并出现错误
  • 密码:键入用于确保连接安全的密码算法。默认是BF-CBC
  • LZO压缩:选择是否对VPN使用LZO压缩。如果该设置设置为, VPN使用LZO压缩。默认是
  • 自适应压缩:选择是否对VPN使用自适应压缩。如果该设置设置为, VPN采用自适应压缩。默认是

设备策略配置界面

  • 额外的主机:配置一个主机列表,如果设备无法连接到主主机,则按顺序尝试。配置这些额外的主机是可选的。
    1. 点击添加在右边主机名
    2. 输入服务器主机名或IP地址。
    3. 点击保存

    重复这些步骤可以添加更多的主机。

  • 服务器轮询超时(以秒为单位):在移动到列表中的下一个服务器之前,键入尝试连接到此服务器的最大秒数。
  • 忽略默认路由:选择主机是否忽略VPN网关。缺省情况下,设备创建一条到VPN服务器发布的网关地址的缺省路由。如果该设置为“On”,则允许隧道分裂。默认是关闭的。如果服务器推送一个重定向配置标志给客户端,这个设置将被忽略。
  • 主要方向:键入键方向文本字符串。键方向传递为——方向键
  • 对端证书类型:类型服务器查看对端证书类型。如果不设置,则不检查对端证书类型。
  • 推动对等信息:选择是否将对端证书信息推送到此主机。如果该设置设置为,推送对等信息。默认是

  • 对端证书扩展密钥的使用:键入显式的扩展键用法文本字符串,使用OID表示法。使用该文本字符串签署对等证书。可选的。

  • 对端证书密钥的使用:添加所需的密钥使用次数。这些字符串是十六进制编码的数字。
  • 同行证书TLS:要求基于RFC3280TLS规则对端证书签名。默认是没有一个
  • 数据通道密钥重协商延迟(秒):键入一个整数,以指示在重新协商通道键之前等待的秒数。
  • 带宽限制:输入一个整数表示出隧道带宽限制,单位为每秒字节数。
  • 静态的挑战:键入用于静态质询响应的字符串。
  • TLS认证密钥内容:在这里键入TLS密钥内容。如果该字段为空,则不能使用TLS认证。
  • TLS远程连接:键入一个X.509名称或通用名称,以便只允许连接到共享该名称的服务器主机。
  • TLS最低版本:输入OpenVPN使用的TLS最小协议版本。
  • 冗长的水平:为TLS的详细级别键入一个整数。如果不指定,详细级别默认为OpenVPN的默认值。
  • 冗长的散列:如果设置了,该值将作为——verify-hashOpenVPN的论点。哈希值指定一级证书的SHA-256指纹。
  • 验证主机的X509名称:键入用于在验证名称时进行比较的主机的X.509名称。
  • 验证主机的X509名称类型:选择要验证的X.509名称类型。选项:的名字名称前缀,主题
VPN设备政策
2021年10月6日
由:
C
2021年10月6日
由:
C

在这篇文章中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。