Jump to content

VPN Autologin bei 10 Pro


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

Bei Direct Access oder Always on mit Device Tunnel braucht man ja leider 10 Enterprise. Obwohl MS bei Always On noch groß angekündigt hat es ginge mit jedem Windows aber was nützt das Feature ohne Device Tunnel, wenn man zudem auch kein MDM oder Intune hat.

 

Was MS bei Enterprise eingebaut hat scheint ja nicht wirklich umfassend zu sein:

https://community.spiceworks.com/topic/2199357-device-tunnel-on-win10-pro

Trotzdem würde ich sowas ungern verwenden wollen.

 

Gibt es irgendeine andere Möglichkeit sowas umzusetzen? Via rasdial scheidet auch aus weil man da das Passwort in der Befehlszeile mitgeben müsste.

 

Ich möchte sicherstellen das der User wenigstens bei Systemstart dazu aufgefordert wird sich ins VPN einzuloggen. 

 

Würde das vielleicht mit Add-VpnConnectionTriggerDnsConfiguration klappen?

Link zu diesem Kommentar

Und was verursacht eigentlich den Hinweis der bei der ersten SSTP VPN Verbindung erscheint:

https://www.zdv.uni-mainz.de/konfiguration-von-vpn-unter-windows-10/

Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen.

 

Ich habe extra das Cert importiert unter Computerzertifikate / Vertrauenswürdige Stammzertifizierungsstellen

 

Das scheint auch nichts zu bringen:

https://palvelimet.net/disable-revocation-check-sstp-vpn/

 

Importiert man das ganze über Powershell:

Add-VpnConnection -Name "test" -ServerAddress "test" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -PassThru

 

Erscheint: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein.

 

Das Cert habe ich mit selfssl erstellt, ausser CN gibts man da ja nichts an.

 

Chrome meint auch: NET::ERR_CERT_COMMON_NAME_INVALID

 

Hat das was mit fehlendem subjectAltName zu tun?

bearbeitet von xrated2
Link zu diesem Kommentar

Driftet etwas ab aber wenn ich so wie hier eine benutzerdefinierte Anforderung erstelle:

http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx

Dann erstellt der ein Zertifikat mit einer CRL. Nur für VPN brauche ich die aber glaube nicht (die dient ja glaube ich nur dazu das der Client weiß wenn und aus welchem Grund das Zertifikat gesperrt ist), zumal man da auch noch Port80 nach aussen öffnen müsste und wenn man nicht in der Registry den Revocationcheck für SSTP disablen möchte, gibts da noch einen anderen Weg das Zert ohne CRL zu erstellen oder hab ich was übersehen?

 

In der CA den Sperrlink für LDAP rausschmeissen wollte ich nämlich auch nicht.

bearbeitet von xrated2
Link zu diesem Kommentar

Ich hab da http Links drin. Und ja es ist keine gute Idee den Port bis auf die CA aufzumachen. ;) Kann man mittels Reverse Proxy oder eigenem Webserver bspw. in der DMZ aber trotzdem sinnvoll hinbekommen. LDAP Pfade deaktiviere, damit das nicht in den Zertifikaten auftaucht. Ist eher eine Abwägung pro Kunde/Installation.

Link zu diesem Kommentar

Ach so ist das.

 

In OpenVPN ist das mit den Netzen etwas anders.

Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist.

 

Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht?

 

Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte.

 

Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen: 

 

bearbeitet von xrated2
Link zu diesem Kommentar

Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch:

Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24"

 

Und dazu noch die DNS und Suffix mitgeben:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14"

Das VPN allgemein:

Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling 

 

Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen:

HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList

 

Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?

Link zu diesem Kommentar

Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen.

 

Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird.

 

Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe?

 

Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien
Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben


 

Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist):

@echo off
ipconfig | find "192.168.3.1" >nul
if %errorlevel%==0 goto inoffice
rasdial | find "bla" >nul
if %errorlevel%==0 goto connected
rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla
exit/b
:connected
echo Already connected
exit/b
:inoffice
echo No VPN needed

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...