Jump to content

Kerberos Fehler wenn Client im VPN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Und nu?

 

 

Pegida? Neee, schwacher Scherz  :)

 

Wenn man in so einem Weiterbildungskurs den MCSA 2012 nach den MOC-Büchern macht, und das dann noch innerhalb kürzester Zeitvorgaben, dann ist das nun mal nicht so schön. OK, für mich ist es nicht so schlimm weil ich ja eh immer alles durchteste und dann das im Kurs Fehlende selbst dazulerne. Mir tun die Anderen im Kurs irgendwie leid. 

bearbeitet von Reingucker
Link zu diesem Kommentar

Moin,

 

so ich nutze ein Öffentliches Zertifikat für die VPN Verbindung, da auch "nicht" Mitarbeiter sich connecten können.somit wird der CDP und die CRL aus den öffentlichen Sperrlisten und Zert-Stores entnommen.

 

Bis die TMG endgültig ausgelaufen ist, vergehen noch ca. 3 Jahre und bis dahin hoffe ich, dass es eine gute Alternative gibt. Solange muss die TMG aber noch durchhalten :).

 

Was meinst du hiermit?

 

 

Weiß Jemand wie man bei RAS-Radius-VPN splitt-tunneling machen kann?

 

 

Ich konnte das leider noch nicht testet, wie sich die Anmeldung und Zugriffe verhalten.

Ich stell mir aber grad vor, dass es hier zu Problemen kommt, wenn der RAS-VPN-AD User weniger zugriff hat als der Windows-AD User mit dem ich immer noch angemeldet bin.

 

Also Fakt ist dass der RAS-VPN-RADIUS-AD-User für Zugriffe genommen wird, auch wenn man sich am VPN-Client selbst noch mit einem anderen AD-User angemeldet hat.

 

Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen.

 

Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D

 

Danke für die intensive Diskussion :).

bearbeitet von Beetlejuice
Link zu diesem Kommentar

Bis die TMG endgültig ausgelaufen ist, vergehen noch ca. 3 Jahre

Wie kommst du auf diese Zahl?

http://support.microsoft.com/lifecycle/search?sort=PN&alpha=Threat+management&Filter=FilterNO

Und fürs darunter liegende OS

http://support.microsoft.com/lifecycle/search?sort=PN&qid=&alpha=Windows+Server+2008+R2&Filter=FilterNO

 

Mußt du wissen, ob bei dir eine Sicherheitslösung die auf dem Abstellgleis steht wirklich bis zum Ende genutzt werden sollte. ;)

 

Bye

Norbert

 

PS: Bei uns wird's heute Abend abgeschaltet. Mal schauen... ;)

bearbeitet von NorbertFe
Link zu diesem Kommentar

Moin,

 

so ich nutze ein Öffentliches Zertifikat für die VPN Verbindung, da auch "nicht" Mitarbeiter sich connecten können.somit wird der CDP und die CRL aus den öffentlichen Sperrlisten und Zert-Stores entnommen.

 

Ja, da spart man sich sicher einiges an Arbeit. Vielleicht. Wenn ich intern noch jede Menge mit Zertifikaten abdecke dann kann ich mir vorstellen dass es dann einiges an Mehraufwand wird als wenn man eine eigene Zert hat.

 

 

 

 

Ich konnte das leider noch nicht testet, wie sich die Anmeldung und Zugriffe verhalten.

Ich stell mir aber grad vor, dass es hier zu Problemen kommt, wenn der RAS-VPN-AD User weniger zugriff hat als der Windows-AD User mit dem ich immer noch angemeldet bin.

 

Also bei splitt-tunnel gibt es eigentlich kein Problem wenn man die Firmennetze explizit per Route durch das VPN schickt.

 

Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen.

 

Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D

 

 

 

Die Tickets der VPN-User wirst du nicht sehen, außer du schaust in die Kerberos-Datenbank. Das scheint aber nur mit Linux/Unix zu gehen. Für in die Datenbank des MS-Kerberos rein zu schauen hab ich noch nichts gefunden.

 

 

PS: Bei uns wird's heute Abend abgeschaltet. Mal schauen... ;)

 

 

Und was nehmt ihr statt dessen? Es müsste ja irgendwas sein womit all die Erleichterung durch einbinden ins MS-AD dann auch gehen.

 

Link zu diesem Kommentar

Ja du hast recht und vorerst werden wir das so noch nutzen. Mit dem Extended Support gibt es noch 5 Jahre support und wir haben vor in Jahren eine neue Lösung einzuführen, wo jetzt auch schon gesucht und getestet wird.

 

So ein System wechselt man leider nich von heut auf morgen und wir haben viele Spezielle Anforderungen die wir mit der TMG gut abbilden konnten. Dies auf andere Systeme umzustellen würde ein erheblichen mehraufwand und Wartung betragen.

 

Ich wünsch euch viel Erfolg bei der Umstellung ;).

Auf was geht ihr jetzt und wie sind eure Anforderungen? Mich würde schon interessieren welche Alternativen man nutzen könnte und wo die Einschränkungen sind.

Gerne auch per PN.

 

EDIT:

 

Zitat Beetlejuice - 09 Feb 2015 - 10:31: snapback.png


Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen.

 

Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D

 

 

 

Die Tickets der VPN-User wirst du nicht sehen, außer du schaust in die Kerberos-Datenbank. Das scheint aber nur mit Linux/Unix zu gehen. Für in die Datenbank des MS-Kerberos rein zu schauen hab ich noch nichts gefunden.

 

Ich schaue mir die Pakete im Networktrace an, dort sehe ich wer angefordert hat und zu welchem Ziel (SNAME).

 

Wir haben auch eine interne Enterprise CA, welche aber bei diesem VPN nicht weiterhilft, da diese von außen nicht erreichbar ist (CRL, CDP).

bearbeitet von Beetlejuice
Link zu diesem Kommentar

Ich schaue mir die Pakete im Networktrace an, dort sehe ich wer angefordert hat und zu welchem Ziel (SNAME).

 

Wir haben auch eine interne Enterprise CA, welche aber bei diesem VPN nicht weiterhilft, da diese von außen nicht erreichbar ist (CRL, CDP).

 

Ja, schon, aber wo die VPN-User-Tickets abgelegt werden kann man nicht mit klist sehen. Zumindest ich nicht :)

 

Hm, also intern eine Enterprise CA und die externen VPNs/WEB mit einem Zertifikat von irgendeiner Klitsche welche am besten auch standardmäßig in den Browsern eingetragen ist. Ok, da hat man zumindest das Problem mit dem durchreichen des CDP nicht.

Link zu diesem Kommentar

So ein System wechselt man leider nich von heut auf morgen und wir haben viele Spezielle Anforderungen die wir mit der TMG gut abbilden konnten.

Welche sind das denn? Eventuell kann ja hier jemand helfen. :)

 

Dies auf andere Systeme umzustellen würde ein erheblichen mehraufwand und Wartung betragen.

Kann sein. ;)

 

Ich wünsch euch viel Erfolg bei der Umstellung ;).

Auf was geht ihr jetzt und wie sind eure Anforderungen? Mich würde schon interessieren welche Alternativen man nutzen könnte und wo die Einschränkungen sind.

Danke, wir wechseln auf Sophos UTM. Bisher hab ich erstmal nur den Nachteil, dass unsere Tokensoftware für OWA dann nicht mehr am Gateway läuft sondern dahinter am Exchange.

Und ja, ein wenig trauere ich dem TMG auch hinterher, aber was solls. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Ist jetzt zwar was Off-Topic,

 

aber ich hatte mir die SOPHOS UTM als abgespeckte Version angeschaut. sie wirkte auf mich sehr langsam und träge. Allzu viel kann ich gar nicht mehr dazu sagen, das war jetzt ein Jahr her.

Der erste Eindruck war ganz gut, jedoch hat mich diese weiterhin nicht überzeugt.

 

Wir haben und auch mal die FreeBSD variante "PFSense" angeschaut, ist aber auch keine alternative.

 

Unsere Anforderungen sind z.B.

- VPN mit integrierten Windows Client (IPsec/L2TP oder SSTP)

- Routing/Firewalling von mehreren Subnetze (~25)

- Regeln für unterschiedlichste Zugriffe IN und AUS diesen Netzen mit unterschiedlichsten Ports.

- Zugriffe durch Benutzer (VPN-Benutzer) regeln

 

Die meisten System haben Probleme so viele Netze mit einer schnelle Anbindung (mehrere 10 GB NICs) anzubinden und dann noch die Regeln effizient und Wartbar zu Pflegen.

Das Regelwerk ist bei den meisten ein ... graus :(

Link zu diesem Kommentar

Ist jetzt zwar was Off-Topic,

 

aber ich hatte mir die SOPHOS UTM als abgespeckte Version angeschaut. sie wirkte auf mich sehr langsam und träge.

Sagt der der ein TMG einsetzt bei dem jede Konfigurationsänderung erstmal ein bis zwei Gedenkminuten erfordert (egal welche Hardware)? ;)

 

 

Allzu viel kann ich gar nicht mehr dazu sagen, das war jetzt ein Jahr her.

Der erste Eindruck war ganz gut, jedoch hat mich diese weiterhin nicht überzeugt.

 

Dagegen kann man dann aber auch nicht viel sagen, wenn sie dich "weiterhin nicht überzeugt hat", weil sie "langsam und träge" wirkte. ;)

 

 

- VPN mit integrierten Windows Client (IPsec/L2TP oder SSTP)

- Routing/Firewalling von mehreren Subnetze (~25)

- Regeln für unterschiedlichste Zugriffe IN und AUS diesen Netzen mit unterschiedlichsten Ports.

 

Geht absolute problemfrei.

 

 

- Zugriffe durch Benutzer (VPN-Benutzer) regeln

 

Wie meinst du das?

 

 

Die meisten System haben Probleme so viele Netze mit einer schnelle Anbindung (mehrere 10 GB NICs) anzubinden und dann noch die Regeln effizient und Wartbar zu Pflegen.

Das Regelwerk ist bei den meisten ein ... graus :(

 

 

 

Gerade da sieht die UTM 9.x doch von allen was ich mir angeschaut hab noch am besten aus. Inzwischen teilweise sogar sinnvoller als das TMG.

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar

Es ging nicht darum ob es geht oder nicht. Das man in vielen FW das abbilden kann ist mir klar. Es ist nur die Frage wie aufwändig ist das ganz.

 

Als Beispiel, bei IPTables definiere ich meistens source/destiniation und port. Wenn ich aber mehrere Ports erlauben möchte, kann ich entweder mehrere Regeln machen oder muss eine Gruppe mit den Ports definieren und diese dann zuweisen.

Ich finde gegenüber der TMG ist das sehr aufwändig und Wartungsintensiv.

 

Als weiteres Feature, was bei vielen FW's nicht so schön ist, ist das Logging und auswerten. Es geht aber in der TMG geht es wesentlich einfacher und besser.

 

Ich mag die Sophos ja nicht schlecht reden, dazu habe ich mir diese zu wenig angeschaut. Jedoch hat mich diese im Gesamteindruck aufs erste nicht überzeugt. Viellicht sollte ich mir diese nochmal in ruhe anschauen um dann besser zu beurteilen können.

Wir setzten als weitere FW ebene noch eine SonicWALL (DELL) ein. Die macht einen guten Eindruck, wobei auch hier die Wartung der Regeln viel mehr Zeit verlangt.

 

AD FS ist eine interessante Alternative, welche wir uns auch demnächst anschauen, zumal viele weitere Produkte von MS darauf bauen bzw. profitieren können.

Link zu diesem Kommentar

Es ging nicht darum ob es geht oder nicht. Das man in vielen FW das abbilden kann ist mir klar. Es ist nur die Frage wie aufwändig ist das ganz.

 

Als Beispiel, bei IPTables definiere ich meistens source/destiniation und port. Wenn ich aber mehrere Ports erlauben möchte, kann ich entweder mehrere Regeln machen oder muss eine Gruppe mit den Ports definieren und diese dann zuweisen.

Ich finde gegenüber der TMG ist das sehr aufwändig und Wartungsintensiv.

Beim TMG mußt du das doch aber genauso definieren. Entweder ein Protokoll mit von-bis Ports oder mehrere Protokolle (pro Port eins) und dann eine Protokollgruppe.

 

Als weiteres Feature, was bei vielen FW's nicht so schön ist, ist das Logging und auswerten. Es geht aber in der TMG geht es wesentlich einfacher und besser.

Hmm, das kann die Sophos UTM um Längen besser als das TMG. Oder du mußtest noch nie wirklich darin suchen. ;)

 

Ich mag die Sophos ja nicht schlecht reden, dazu habe ich mir diese zu wenig angeschaut. Jedoch hat mich diese im Gesamteindruck aufs erste nicht überzeugt. Viellicht sollte ich mir diese nochmal in ruhe anschauen um dann besser zu beurteilen können.

Naja ist zumindest eine Option. ;)

 

Wir setzten als weitere FW ebene noch eine SonicWALL (DELL) ein. Die macht einen guten Eindruck, wobei auch hier die Wartung der Regeln viel mehr Zeit verlangt.

Die finde ich wiederum deutlich komplizierter, aber da gebe ich zu, dass ich nur "relativ" oberflächlich reingeschaut habe.

 

Bye

Norbert

Link zu diesem Kommentar

Hi,
 
@Norbert, wie verlief die umstellung?
 
Ich habe nun die TMG mit Radius eingerichtet um die Nutzer gegen das AD zu prüfen.
 
@ Reingucker

Ich kann dir aber nicht sagen wo dieser VPN-AD-User sein tgt abspeichert. Ich hab bei allen beteiligten Rechnern mit klist nachgeschaut. Aber da sind natürlich immer nur die tgt von dem angemeldeten User weil ja das klist in dessen Umgebung ausgeführt wird.
 
Ich hab dann auch ne cmd unter system auf allen laufen lassen, aber da sind dann entsprechend nur die Tickets der Rechner -- klar, ist ja klist in deren Umgebung ausgeführt.

 
Der RADIUS VPN-AD-USER wurde für die Anmeldung an der Domäne verwendet, auch wenn sich bereits ein AD Benutzer authentifiziert hat.
Ich habe dann mit KLIST nachgeschaut und habe auch Tickets beider User (VPN-AD-USER + AD-USER) gesehen.
 
Wenn ich auf die Domäne zugreife (GPO's / Netlogon) wird dieser VPN-AD-USER verwendet, da sehe ich TGT's für KRB und einige der DC's für den CIFS Dienst.
Wenn ich nun auf Fileserver oder andere Dienste (Printserver, Freigaben vom DC usw.) zugreife wird ein TGT für den Angemeldeten AD-USER verwendet bzw. angefordert.

#0>     Client: ad-user @ DEV.DOMAIN.DE
        Server: krbtgt/DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x60a00000 -> forwardable forwarded renewable pre_authent
        Startzeit: 2/10/2015 11:00:01 (lokal)
        Endzeit:   2/10/2015 20:58:01 (lokal)
        Erneuerungszeit: 2/17/2015 10:58:01 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#1>     Client: ad-user @ DEV.DOMAIN.DE
        Server: cifs/storage2.DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a00000 -> forwardable renewable pre_authent
        Startzeit: 2/10/2015 11:05:09 (lokal)
        Endzeit:   2/10/2015 20:58:01 (lokal)
        Erneuerungszeit: 2/17/2015 10:58:01 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#2>     Client: ad-user @ DEV.DOMAIN.DE
        Server: cifs/DC1.DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Startzeit: 2/10/2015 11:00:01 (lokal)
        Endzeit:   2/10/2015 20:58:01 (lokal)
        Erneuerungszeit: 2/17/2015 10:58:01 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#3>     Client: ad-user @ DEV.DOMAIN.DE
        Server: cifs/DC2.DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Startzeit: 2/10/2015 11:00:01 (lokal)
        Endzeit:   2/10/2015 20:58:01 (lokal)
        Erneuerungszeit: 2/17/2015 10:58:01 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#4>     Client: ad-user @ DEV.DOMAIN.DE
        Server: cifs/fileserver.DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a00000 -> forwardable renewable pre_authent
        Startzeit: 2/10/2015 10:58:01 (lokal)
        Endzeit:   2/10/2015 20:58:01 (lokal)
        Erneuerungszeit: 2/17/2015 10:58:01 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#5>     Client: vpn-ad-user @ DEV.DOMAIN.DE
        Server: krbtgt/DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x60a00000 -> forwardable forwarded renewable pre_authent
        Startzeit: 2/10/2015 11:04:25 (lokal)
        Endzeit:   2/10/2015 21:04:24 (lokal)
        Erneuerungszeit: 2/17/2015 11:04:24 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#6>     Client: vpn-ad-user @ DEV.DOMAIN.DE
        Server: cifs/DC1.DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Startzeit: 2/10/2015 11:04:25 (lokal)
        Endzeit:   2/10/2015 21:04:24 (lokal)
        Erneuerungszeit: 2/17/2015 11:04:24 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

#7>    Client: vpn-ad-user @ DEV.DOMAIN.DE
        Server: cifs/DC2.DEV.DOMAIN.DE @ DEV.DOMAIN.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Startzeit: 2/10/2015 11:04:25 (lokal)
        Endzeit:   2/10/2015 21:04:24 (lokal)
        Erneuerungszeit: 2/17/2015 11:04:24 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

Wir vertrauen der ganze sache noch nicht, haben Befürchtungen dass es zu Problemen mit den beiden AD Sitzungen geben könnte und prüfen gerade ob das VPN mit dem eigentlichen AD User authentifiziert werden kann.

 

Hierzu muss jedoch gewährleistet sein, dass sich Benutzer nur von bestimmten PCs aus anmelden können. Dies sollte sich mit NAP auf dem NPS einrichten lassen aber leider wird das VPN immer als "non-NAP capable" aufgebaut.

 

@ Reingucker, hattest Du den test mit NAP gemacht oder einfach nur über NPS ohne NAP Regeln wie SHV usw?

 

Danke

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...