VPN Autologin bei 10 Pro

[xrated2 15]

Hallo

 

Bei Direct Access oder Always on mit Device Tunnel braucht man ja leider 10 Enterprise. Obwohl MS bei Always On noch groß angekündigt hat es ginge mit jedem Windows aber was nützt das Feature ohne Device Tunnel, wenn man zudem auch kein MDM oder Intune hat.

 

Was MS bei Enterprise eingebaut hat scheint ja nicht wirklich umfassend zu sein:

https://community.spiceworks.com/topic/2199357-device-tunnel-on-win10-pro

Trotzdem würde ich sowas ungern verwenden wollen.

 

Gibt es irgendeine andere Möglichkeit sowas umzusetzen? Via rasdial scheidet auch aus weil man da das Passwort in der Befehlszeile mitgeben müsste.

 

Ich möchte sicherstellen das der User wenigstens bei Systemstart dazu aufgefordert wird sich ins VPN einzuloggen. 

 

Würde das vielleicht mit Add-VpnConnectionTriggerDnsConfiguration klappen?

[testperson 1.728]

Hi,

 

hier wird NetMotion als Alternative von jemanden der ziemlich tief in Direct Access und Always On VPN ist genannt: https://directaccess.richardhicks.com/netmotion/

Ansonsten gibt es noch den ein und anderen 3rd Party VPN Anbieter, der seinen Client beim Windows Start / Logni mit startet.

 

Gruß

Jan

[xrated2 15]

Und was verursacht eigentlich den Hinweis der bei der ersten SSTP VPN Verbindung erscheint:

https://www.zdv.uni-mainz.de/konfiguration-von-vpn-unter-windows-10/

Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen.

 

Ich habe extra das Cert importiert unter Computerzertifikate / Vertrauenswürdige Stammzertifizierungsstellen

 

Das scheint auch nichts zu bringen:

https://palvelimet.net/disable-revocation-check-sstp-vpn/

 

Importiert man das ganze über Powershell:

Add-VpnConnection -Name "test" -ServerAddress "test" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -PassThru

 

Erscheint: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein.

 

Das Cert habe ich mit selfssl erstellt, ausser CN gibts man da ja nichts an.

 

Chrome meint auch: NET::ERR_CERT_COMMON_NAME_INVALID

 

Hat das was mit fehlendem subjectAltName zu tun?

bearbeitet 24. Oktober 2019 von xrated2

[NorbertFe 2.089]

Ja sehr wahrscheinlich. ;) 

[xrated2 15]

Driftet etwas ab aber wenn ich so wie hier eine benutzerdefinierte Anforderung erstelle:

http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx

Dann erstellt der ein Zertifikat mit einer CRL. Nur für VPN brauche ich die aber glaube nicht (die dient ja glaube ich nur dazu das der Client weiß wenn und aus welchem Grund das Zertifikat gesperrt ist), zumal man da auch noch Port80 nach aussen öffnen müsste und wenn man nicht in der Registry den Revocationcheck für SSTP disablen möchte, gibts da noch einen anderen Weg das Zert ohne CRL zu erstellen oder hab ich was übersehen?

 

In der CA den Sperrlink für LDAP rausschmeissen wollte ich nämlich auch nicht.

bearbeitet 25. Oktober 2019 von xrated2

[NorbertFe 2.089]

Ich hab da http Links drin. Und ja es ist keine gute Idee den Port bis auf die CA aufzumachen. ;) Kann man mittels Reverse Proxy oder eigenem Webserver bspw. in der DMZ aber trotzdem sinnvoll hinbekommen. LDAP Pfade deaktiviere, damit das nicht in den Zertifikaten auftaucht. Ist eher eine Abwägung pro Kunde/Installation.

[xrated2 15]

Das heisst also temporär vor Erstellung bei LDAP die Option "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" deaktivieren und nach Erstellung Haken wieder reinsetzen.

[Dukel 457]

Man kann die Sperrlisten auch (regemäßig) auf einen externen Web oder schon verfügbaren Webserver kopieren und dort veröffentlichen.

Das sollte man vor der Planung einer PKI bedenken.

[xrated2 15]

Ich habe das Cert jetzt ohne Sperrliste und wenn ich in Windows 10 die VPN Config in der GUI erstelle dann klappt die Einwahl ohne Fehler.

 

 

bearbeitet 25. Oktober 2019 von xrated2

[NorbertFe 2.089]

vor 2 Stunden schrieb Dukel:

Man kann die Sperrlisten auch (regemäßig) auf einen externen Web oder schon verfügbaren Webserver kopieren und dort veröffentlichen.

Das sollte man vor der Planung einer PKI bedenken.

 

Da bin ich bei dir. ;) Und eine Veröffentlichung darüber ist auch nicht "gefährlich".

[xrated2 15]

Ich habe jetzt das gemacht:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" -PassThru

 

Nur wann wird das getriggert? Da tut sich nichts mit VPN wenn man was aus der Domäne erreichen will.
 

[tesso 375]

Das wird getriggert sobald die VPN-Verbindung "bla" aufgebaut wird.

Die Verbindungen kannst du mit Get-VPNConnection abfragen.

[xrated2 15]

Ach so ist das.

 

In OpenVPN ist das mit den Netzen etwas anders.

Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist.

 

Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht?

 

Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte.

 

Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen: 

 

bearbeitet 25. Oktober 2019 von xrated2

[xrated2 15]

Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch:

Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24"

 

Und dazu noch die DNS und Suffix mitgeben:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14"

Das VPN allgemein:

Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling 

 

Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen:

HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList

 

Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?

[xrated2 15]

Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen.

 

Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird.

 

Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe?

 

Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien
Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben

 

Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist):

@echo off
ipconfig | find "192.168.3.1" >nul
if %errorlevel%==0 goto inoffice
rasdial | find "bla" >nul
if %errorlevel%==0 goto connected
rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla
exit/b
:connected
echo Already connected
exit/b
:inoffice
echo No VPN needed