superfun2k22
Goto Top

Always On VPN funktioniert nicht mit jedem VPN User - Server 2019

Hallo,

ich habe in meinem Netzwerk 3 Server, 1x Domain-Controller, 1x RAS und 1x NPS.

Um Always On VPN nutzen zu können habe ich mich an verschiedene Anleitungen dazu gehalten, die im Netz zu finden sind.

Das erste Problem war oder ist, dass einige Clients die Verbindung nicht automatisch aufbauen, weil sie den Fehler zeigen Fehler 623: Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.", wobei die Verbindung funktioniert, wenn ich sie manuell mit dem Befehl "rasphone.exe -d *Verbindungsname*" starte.

Was aber noch viel interessanter ist, ich habe alle Domänen-User in der VPN-User-Gruppe drin, da alle die Möglichkeit haben sollen per Home-Office zu arbeiten, jedoch kann momentan nur ein einziger sich verbinden, bei allen anderen kommt ein Fehler 812: "Die Verbindung wurde aufgrund einer auf Ihrem RAS / VPN-Server konfigurierten Richtlinie verhindert."

Was kann ich noch checken, um diesen Konflikt mit der Richtlinie zu beheben?

Zum Aufbau:

- der DC (192.168.1.200) ist gleichzeitig auch CA
- der RAS (192.168.1.205) regelt eben selbiges und ist per statischer Public IP erreichbar sowie auch zugewiesenem DNS-Namen per DynDNS-Service, weil es nur mit der IP am Anfang nicht funktionieren wollte
- der NPS (192.168.1.210) ist nur für die Netzwerkrichtlinien da, hätte man auch auf dem DC aufsetzen können, da es aber mein erstes Windows-eigenes VPN ist, wollte ich es der Übersicht halber alles getrennt aufsetzen :D

Die User bekommen beim ersten Login per Auto-Enroll auch ihr Zertifikat und wie gesagt, die Richtlinien, sei es Netzwerkrichtlinie oder GPO sind immer Gruppen-basiert.
Der eine funktionierende User ist also in der gleichen Gruppe wie alle anderen auch, trotzdem gehts nur bei dem

Zu den Client-System ist zu sagen, es sind PC´s mit Windows 10 und Windows 11, bei Windows 11 habe ich gelesen, dass es Probleme mit VPN geben kann, die noch gefixt werden müssen, aber auf Windows 10 sollte es ja wenigstens laufen

der funktionierende ist Windows 10 Pro

Content-Key: 3163030741

Url: https://administrator.de/contentid/3163030741

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 24.06.2022 aktualisiert um 12:47:10 Uhr
Goto Top
Always on erzwingt IKEv2 als Protokoll. https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn ...
Hätte in deinem Setup für eine zielführende Antwort geholfen das zu wissen.

Ggf. findest du auch Antworten in den hiesigen Tutorials zu der Thematik:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Nebenbei:
Kollege @Vision2015 sagt es ja schon. Bei einem guten VPN Design gehört ein VPN bekanntlich niemals auf ein so zentrales Element wie den lokalen Windows Server sondern aus guten Gründen immer in die Peripherie auf Firewall oder Router! Solche Designs bergen ein großes Gefährdungspotentzial und zeugen eher von wenig VPN Sicherheitsbewusstsein. face-sad
Mitglied: Vision2015
Vision2015 24.06.2022 um 09:44:35 Uhr
Goto Top
Moin...

du nutzt jetzt echt Always On VPN?
warum nutzt du nicht das VPN aus deinem Router... so ist zumindestens nicht dein DC aus dem Internet zu erreichen!

Frank
Mitglied: superfun2k22
superfun2k22 24.06.2022 um 10:00:03 Uhr
Goto Top
also ich nutze für das Always On VPN IKEv2.

der DC ist nicht öffentlich erreichbar, das ist nur der RAS und auch nur auf den Ports für VPN, also 443, 500 und 4500
Mitglied: Vision2015
Vision2015 24.06.2022 um 10:47:14 Uhr
Goto Top
Zitat von @superfun2k22:

also ich nutze für das Always On VPN IKEv2.

der DC ist nicht öffentlich erreichbar, das ist nur der RAS und auch nur auf den Ports für VPN, also 443, 500 und 4500
aber RAS läuft genau wo ? face-smile
und wenn Port 443, 500 und 4500 aus dem Inet erreichbar sind... ist es natürlich der DC!
sowas macht man nicht!
Frank
Mitglied: superfun2k22
superfun2k22 24.06.2022 um 11:01:39 Uhr
Goto Top
der RAS ist eine eigene Maschine, der läuft nicht auf dem DC, siehe ersten Post.

DC getrennt, RAS getrennt, NPS getrennt.. eben weil es mein erstes windows-VPN ist und so einfacher zu konfigurieren ist. spätestens bei der Kombi DC, RAS und NPS auf einem Gerät würde es Probleme geben, das hatte ich nämlich schon.. da hatten die VPN Clients, damals noch ohne Alway-On, Internet, aber die lokalen PCs nicht mehr.
Mitglied: Vision2015
Vision2015 24.06.2022 um 11:47:46 Uhr
Goto Top
Moin...

DC getrennt, RAS getrennt, NPS getrennt....
aber der RAS PC bzw. VM ist im AD... also ist der Teil deil sowohl im AD / Netzwerk... ob das jetzt auf dem DC selber ist, oder nicht, ist latte...

fest steht... sowas macht keiner mit Verantwortung!
natürlich steht dir frei das so zu betreiben....
Frank
Mitglied: 2423392070
2423392070 24.06.2022 um 12:00:39 Uhr
Goto Top
Zitat von @superfun2k22:

Was aber noch viel interessanter ist, ich habe alle Domänen-User in der VPN-User-Gruppe drin, da alle die Möglichkeit haben sollen per Home-Office zu arbeiten, jedoch kann momentan nur ein einziger sich verbinden, bei allen anderen kommt ein Fehler 812: "Die Verbindung wurde aufgrund einer auf Ihrem RAS / VPN-Server konfigurierten Richtlinie verhindert."


Allways On VPN auf Basis der User und nicht auf Basis der Computer-Objekte?
Mitglied: 2423392070
2423392070 24.06.2022 um 12:02:27 Uhr
Goto Top
Zitat von @aqui:

Wenn du zufällig noch die Güte hättest uns mitzuteilen WELCHES der zahlosen VPN Protokolle du verwendest in deinem Setup würde das allen hier für eine zielführende Antwort sehr helfen.
Ggf. findest du auch Antworten in den hiesigen Tutorials zu der Thematik:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Nebenbei:
Kollege @Vision2015 sagt es ja schon. Bei einem guten VPN Design gehört ein VPN bekanntlich niemals auf ein so zentrales Element wie den lokalen Server sondern aus guten Gründen immer in die Peripherie auf Firewall oder Router! Solche Designs bergen ein großes Gefährdungspotentzial und zeugen eher von wenig VPN Fachkenntniss. face-sad


Von wenig Fachkenntnis zeugt, der Anwurf das VPN Verfahren nicht genannt zu haben ob wohl es nicht nur im Titel steht. Und dann noch ein Sprung zu Topologie... obwohl dazu nichts gesagt wurde.
Mitglied: superfun2k22
superfun2k22 24.06.2022 um 12:54:33 Uhr
Goto Top
ich habe doch in einem Kommentar nachgereicht, dass es ein IKEv2 Always On ist

habe das Always On nach Anleitung von "Einfaches-Netzwerk.at" erstellt, habe also einen User-Tunnel und einen Device-Tunnel.

Inzwischen habe ich es soweit, das ich den User-Tunnel starten kann und den Device-Tunnel auch, jedoch startet dieser nicht automatisch, sobald man das Firmennetz verlässt und auch nicht beim booten, wenn man nicht im Firmennetz ist, da wirft er den "Fehler 623: Telefonbucheintrag kann nicht gefunden werden" aus.
Kann das eventuell an den Ordnerumleitungen liegen? Ich leite AppData mit um, AppData{Local liegt also nicht auf dem PC, sondern dem DC.
Denn ich kann in CMD und Powershell mit "rasphone.exe -d Device-Tunnel" die Verbindung starten.

Grundsätzlich sollte die Ordnerumleitung aber nicht das Problem sein, da "Einfaches-Netzwerk" den Device-Tunnel mit PsExec als SYSTEM erstellt und ich auch, habs mit whoami noch verifiziert
Mitglied: Dani
Dani 25.06.2022 um 20:37:33 Uhr
Goto Top
Moin,
ich habe doch in einem Kommentar nachgereicht, dass es ein IKEv2 Always On ist
Sowohl User- als auch Device-Tunnel?

habe das Always On nach Anleitung von "Einfaches-Netzwerk.at" erstellt, habe also einen User-Tunnel und einen Device-Tunnel.
Poste bitte mal den direkten Link zu der Anleitung.

Inzwischen habe ich es soweit, das ich den User-Tunnel starten kann und den Device-Tunnel auch, jedoch startet dieser nicht automatisch, sobald man das Firmennetz verlässt und auch nicht beim booten, wenn man nicht im Firmennetz ist, da wirft er den "Fehler 623: Telefonbucheintrag kann nicht gefunden werden" aus.
Welche Edition von Windows 10 hast zum im Einsatz?


Gruß,
Dani
Mitglied: clSchak
clSchak 27.06.2022 um 13:41:43 Uhr
Goto Top
Hi

aus welchem Grund leitest du Ordner auf dem DC um? Wenn man mit so etwas arbeitet, dann bitte auf einen DFS Shares und wenn du mobile Clients hast, mit OfflineSync, ansonsten bringt dir kein VPN etwas, sobald die Leitung "dicht" ist (egal auf Firmen- oder Endnutzer Seite) kann der nichts mehr machen.

DeviceTunnel setzt die Enterprise Edition von Windows voraus, auf der Professional funktioniert der DeviceTunnel nicht, war schon damals mit DirectAccess der Fall.

@Dani: https://www.einfaches-netzwerk.at/alwayson-vpn-ueberblick/