jiggylee
Goto Top

OpenVPN für non Admin-User bzw. OpenVPN alternative

Hi.

Ich wollte mal wissen, ob hier jemand ne gute kostenlose VPN Lösung für Unternehmen kennt? Unser OpenVPN dienst läuft auf einem Linux-Server und sind uns noch nicht einig, ob wir es dabei belassen.
Allerdings Ist das verwenden der Client Anwendung in Windows mit Schwierigkeiten verbunden. Das heißt für Non-Admin User das Programm als previligierter Nutzer in den autostart mit einzubinden. Wir haben das mal bei 2 Clients im Geschäft ausprobiert und hatten bei einem damit erfolg und bei dem zweiten ging das nicht weil dieser Windows 7 Premium und nicht Pro verwendet hat. OpenVPN war beim Teufel einfach nicht dazu in der Lage trotz der Rechte einen VPN-Adapter zu erstellen. Ausserdem ist das ganze administrativ ein ziemlicher "fu" bei jedem einzeln ewig die Einstellungen zu ändern und zu hoffen das das ganze dann auch klappt.

Wir haben keine Windows Active-Directory, sonst wär das über die GPO etwas leichter. Hat hier jemand mal "Sudo for Windows" bei Win-Clients ausprobiert? Deswegen die frage, kennt ihr ne gute alternative für Linux und Windows Nutzer? Der Dienst sollte auf einer Linux Kiste laufen.

Danke schonmal!


Grüße

Content-ID: 281387

Url: https://administrator.de/contentid/281387

Ausgedruckt am: 12.11.2024 um 19:11 Uhr

Chonta
Chonta 28.08.2015 um 13:53:36 Uhr
Goto Top
Hallo,

OpenVPN als Windowsdienst, mit Autostart, oder OpenVPN als Dienst und dem Benutzer/Gruppe auf dem Rechner per Lokaler Sicherheitsrichtlinie (nicht GPO) das Recht geben den Dienst von OpenVPN zu starten/stoppen.
Beides hat den Nachteil, das die Zertifikate kein Passwort haben dürfen.
Aber wenn man mit Plattenverschlüsselung arbeitet und die Zugriffsrechte zum einsehen der Dateien auf das Systemkonto begrenzt ist das nicht so kritisch.

Gruß

Chonta
JiggyLee
JiggyLee 28.08.2015 um 14:23:27 Uhr
Goto Top
Das ist leider nichts neues. Das selbe habe ich ja selber bei den Clients gemacht. Also den Dienst in Autostart eingefügt und Passwörter werden sowieso keine benötigt, da jedes Clientzertifikat ein unikat ist.
Chonta
Chonta 28.08.2015 um 14:41:16 Uhr
Goto Top
Entweder braucht der Benutzer Adminrechte oder über die Sicherheitsrichtlinie darf er den OpenVPN Dienst starten und stoppen.
Anders ist es nicht möglich.
Das verwenden der Sicherheitsrichtlinien wäre dann eine Art sudo nur für den Dienst.
das ausführen als geht halt immer für alles was man dann machen will.

Ansonsten l2tp VPN, das ist bei Vindwos Vlients nativ dabei, musst es halt nur auf dem Server zum laufen bekommen.
IPsec kann aber in mehr gefummel ausarten und trozdem nicht funktionieren, wenn da ein Router nicht richtig weiterleitet..., als es OpenVPN macht.

Gruß

Chonta
beidermachtvongreyscull
beidermachtvongreyscull 28.08.2015 aktualisiert um 14:44:58 Uhr
Goto Top
Schau Dir www.softether.org an. Geiler geht es nicht!
Ich hab ihn bei uns implementiert auf CentOS 6.6 und liebe ihn.
Ich würde das Ding glatt heiraten. face-big-smile

Ich fahre damit SSTP, OpenVPN und SSL-Tunnel mittels Android, Windows, Mac und Linux.

Wenn Du ihn auf CentOS implementieren willst, kannst Du gerne auf mich zukommen.
Ich unterstütze Dich dann dabei.
aqui
aqui 28.08.2015 aktualisiert um 15:00:00 Uhr
Goto Top
108012
108012 28.08.2015 um 15:39:54 Uhr
Goto Top
Hallo zusammen,

Schau Dir www.softether.org an. Geiler geht es nicht!
Ich hab ihn bei uns implementiert auf CentOS 6.6 und liebe ihn.
Benutzt Du auch den SoftEtherVPN Klienten also deren VPN Klientsoftware dazu?

Das Programm ist schon schick wir wollen das demnächst auch implementieren
und auf CentOS oder Windows Server 2012 R2 aufsetzen und als VPN Server nutzen

Gruß
Dobby
beidermachtvongreyscull
beidermachtvongreyscull 28.08.2015 aktualisiert um 15:51:32 Uhr
Goto Top
Hi Dobby,

auf Windows setze ich den SoftEther Client und den in Windows integrierten SSTP-Klienten ein.
SSTP ist eher nur für den Notfall gedacht, wenn ein Benutzer sein Passwort verschludert und der Computer die Domäne braucht zwecks Authentifizierung.

Ansonsten ist unter Windows SoftEther Client der Standard bei mir.

Unter Android nutze ich den OpenVPN-Clienten von Arne Schwabe. Die vom SoftEther-Server generierte OVPN-Configdatei passt wie die Faust aufs Auge.

Unter MAC OS benutze ich Tunnelblick (OpenVPN-Client).

Ich empfehle CentOS für die Realisierung des Servers.
Wenn Du ein Upgrade machen musst/willst, lachst Du Dich kaputt, wenn Du es unter CentOS machst und bei Windows weiß ich es nicht.
Unter Linux heißt es nur
Dienst stoppen, Verzeichnis umbenennen, Neues Paket entpacken und compilieren, Config-File aus umbenannten Verzeichnis ins vpnserver-Verzeichnis kopieren,
Dienst starten und läuft. Und es ist 100%ig reversibel, falls mal ne Version rumzickt. Kam leider mal vor.

Aber das Teil ist jetzt RTM und aus der Beta raus.

Ein Intel Core2Duo macht bei uns den VPN_Server. Höchstwerte waren bei mir bisher 15 Sitzungen und der Prozessor pennte immer noch, weils nichts zu tun gab.
Also normaler PC kann reichen.

gruß
Andreas

Edit:
Noch ein Nachsatz zum SoftEther Client:
Der beherrscht NICHT per Option Split_Tunneling. Das muss man über die Schnittstellenmetrik zurzeit lösen, sonst rauscht der gesamte Datenverkehr durch den Tunnel.
108012
108012 28.08.2015 um 16:43:19 Uhr
Goto Top
@beidermachtvongreyscull
Alles klar wir wollten eigentlich kleine Xeon E3 Server dazu benutzen denn wir benötigen
schon richtig Durchsatz und wollen damit dann auch Niederlassungen vernetzen.
Also Side-to-Side und ab und an einen Klienten von außerhalb dazu abfackeln.

Danke für die Erleuchtung und Hinweise!

Gruß
Dobby
aqui
Lösung aqui 28.08.2015, aktualisiert am 29.08.2015 um 09:32:33 Uhr
Goto Top
JiggyLee
JiggyLee 29.08.2015 um 09:31:15 Uhr
Goto Top
Find ich sehr geil! Hatte vor dem post auch mal viel nach openvpn alternativen gesucht und nur müll gefunden, aber das hört sich sehr vielversprechend an.

Wie man dem client für ovpn allein für diesen einen zweck die administrativen rechte überträgt weiss ich. Es dauert nur elendig lange. Wir haben halt auch so typischd OSI-Layer 8 spezialisten in der Firma, weswegen man denen nicht einfach die rechte geben kann. Klar ich weiss kann man alles einstellen, ist trotzdem nervig.

Aber echt hammer das sich doch so viele noch gemeldet haben, danke dafür!
JiggyLee
JiggyLee 29.08.2015 aktualisiert um 12:19:08 Uhr
Goto Top
wenn ich auf deinen link klick, kommt "this blog is private" hast du nen passwort für mich?
aqui
aqui 29.08.2015 aktualisiert um 16:48:53 Uhr
Goto Top
Stimmt, hat der Heini wohl jetzt dichtgemacht. Gestern wars noch offen. War ne gute gemachte Anleitung aber nundenn.
Es gibt eine Alternative:
http://www.forum-raspberrypi.de/Thread-tutorial-softether-vpn-server-ht ...