Jump to content
xrated2

VPN Autologin bei 10 Pro

Recommended Posts

Hallo

 

Bei Direct Access oder Always on mit Device Tunnel braucht man ja leider 10 Enterprise. Obwohl MS bei Always On noch groß angekündigt hat es ginge mit jedem Windows aber was nützt das Feature ohne Device Tunnel, wenn man zudem auch kein MDM oder Intune hat.

 

Was MS bei Enterprise eingebaut hat scheint ja nicht wirklich umfassend zu sein:

https://community.spiceworks.com/topic/2199357-device-tunnel-on-win10-pro

Trotzdem würde ich sowas ungern verwenden wollen.

 

Gibt es irgendeine andere Möglichkeit sowas umzusetzen? Via rasdial scheidet auch aus weil man da das Passwort in der Befehlszeile mitgeben müsste.

 

Ich möchte sicherstellen das der User wenigstens bei Systemstart dazu aufgefordert wird sich ins VPN einzuloggen. 

 

Würde das vielleicht mit Add-VpnConnectionTriggerDnsConfiguration klappen?

Share this post


Link to post
Share on other sites

Und was verursacht eigentlich den Hinweis der bei der ersten SSTP VPN Verbindung erscheint:

https://www.zdv.uni-mainz.de/konfiguration-von-vpn-unter-windows-10/

Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen.

 

Ich habe extra das Cert importiert unter Computerzertifikate / Vertrauenswürdige Stammzertifizierungsstellen

 

Das scheint auch nichts zu bringen:

https://palvelimet.net/disable-revocation-check-sstp-vpn/

 

Importiert man das ganze über Powershell:

Add-VpnConnection -Name "test" -ServerAddress "test" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -PassThru

 

Erscheint: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein.

 

Das Cert habe ich mit selfssl erstellt, ausser CN gibts man da ja nichts an.

 

Chrome meint auch: NET::ERR_CERT_COMMON_NAME_INVALID

 

Hat das was mit fehlendem subjectAltName zu tun?

Edited by xrated2

Share this post


Link to post
Share on other sites

Driftet etwas ab aber wenn ich so wie hier eine benutzerdefinierte Anforderung erstelle:

http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx

Dann erstellt der ein Zertifikat mit einer CRL. Nur für VPN brauche ich die aber glaube nicht (die dient ja glaube ich nur dazu das der Client weiß wenn und aus welchem Grund das Zertifikat gesperrt ist), zumal man da auch noch Port80 nach aussen öffnen müsste und wenn man nicht in der Registry den Revocationcheck für SSTP disablen möchte, gibts da noch einen anderen Weg das Zert ohne CRL zu erstellen oder hab ich was übersehen?

 

In der CA den Sperrlink für LDAP rausschmeissen wollte ich nämlich auch nicht.

Edited by xrated2

Share this post


Link to post
Share on other sites

Ich hab da http Links drin. Und ja es ist keine gute Idee den Port bis auf die CA aufzumachen. ;) Kann man mittels Reverse Proxy oder eigenem Webserver bspw. in der DMZ aber trotzdem sinnvoll hinbekommen. LDAP Pfade deaktiviere, damit das nicht in den Zertifikaten auftaucht. Ist eher eine Abwägung pro Kunde/Installation.

Share this post


Link to post
Share on other sites

Das heisst also temporär vor Erstellung bei LDAP die Option "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" deaktivieren und nach Erstellung Haken wieder reinsetzen.

Share this post


Link to post
Share on other sites

Man kann die Sperrlisten auch (regemäßig) auf einen externen Web oder schon verfügbaren Webserver kopieren und dort veröffentlichen.

Das sollte man vor der Planung einer PKI bedenken.

Share this post


Link to post
Share on other sites

Ich habe das Cert jetzt ohne Sperrliste und wenn ich in Windows 10 die VPN Config in der GUI erstelle dann klappt die Einwahl ohne Fehler.

 

 

Edited by xrated2

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Dukel:

Man kann die Sperrlisten auch (regemäßig) auf einen externen Web oder schon verfügbaren Webserver kopieren und dort veröffentlichen.

Das sollte man vor der Planung einer PKI bedenken.

 

Da bin ich bei dir. ;) Und eine Veröffentlichung darüber ist auch nicht "gefährlich".

Share this post


Link to post
Share on other sites

Ich habe jetzt das gemacht:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" -PassThru

 

Nur wann wird das getriggert? Da tut sich nichts mit VPN wenn man was aus der Domäne erreichen will.
 

Share this post


Link to post
Share on other sites

Das wird getriggert sobald die VPN-Verbindung "bla" aufgebaut wird.

Die Verbindungen kannst du mit Get-VPNConnection abfragen.

Share this post


Link to post
Share on other sites

Ach so ist das.

 

In OpenVPN ist das mit den Netzen etwas anders.

Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist.

 

Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht?

 

Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte.

 

Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen: 

 

Edited by xrated2

Share this post


Link to post
Share on other sites

Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch:

Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24"

 

Und dazu noch die DNS und Suffix mitgeben:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14"

Das VPN allgemein:

Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling 

 

Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen:

HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList

 

Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?

Share this post


Link to post
Share on other sites

Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen.

 

Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird.

 

Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe?

 

Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien
Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben


 

Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist):

@echo off
ipconfig | find "192.168.3.1" >nul
if %errorlevel%==0 goto inoffice
rasdial | find "bla" >nul
if %errorlevel%==0 goto connected
rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla
exit/b
:connected
echo Already connected
exit/b
:inoffice
echo No VPN needed

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...