jannis92
Goto Top

Windows Always on VPN - Zertifikat-basierte Authentifizierung

Hallo Zusammen,
ich habe auf einem Windows Server 2016 eine "Always-On-VPN" Lösung von Mircosoft bereitgestellt und wollte diese gerne mal als Alternative zu unserer bestehenden VPN Lösung testen. Eine Anmeldung von extern mit PEAP - Benutzernamen + Kennwort (EAP-MSCHAP v2) oder mit einem Benutzerzertifikat funktioniert bereits.

Ich hätte es jedoch gerne so, dass der User nicht "öffline" am Gerät angemeldet wird, sondern schon vor der Eingabe der Benutzerdaten die VPN Verbindung aufgebaut wird.
Das wird vermutlich ziemlich schwer bzw. unmöglich mit der aktuellen Konfiguration.

Daher wollte ich gerne die bestehende Konfiguraiton von Benutzerzertifikat auf Computerzertifikat schwenken.
Aktuell bekomme ich allerdings die folgende Meldung:

Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication Protokoll verwendet werden kann.


Irgendwie wird das Computerzertifikat nicht erkannt.
Jemand eine Idee? Geht das so, wie ich mir das überlegt habe überhaupt?

Content-ID: 420287

Url: https://administrator.de/forum/windows-always-on-vpn-zertifikat-basierte-authentifizierung-420287.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

clSchak
clSchak 21.02.2019 um 15:23:32 Uhr
Goto Top
Hi

du musst die passenden Zertifikatrequests für die Authentifizierung an deine AD CA senden und die dann einbinden. Alway-On-VPN sollte sich ohnehin bereits vor der Anmeldung des Benutzers verbinden, so wie es auch DirectAccess gemacht hat. Damit ersparst dir das Ausrollen der einzelnen Zertifikate (sofern die AD CA korrekt eingerichtet ist).

Evtl. musst an der CA noch eine passende Vorlage erstellen (siehe auch PKI & AOV https://www.petenetlive.com/KB/Article/0001399)

Wir bereiten gerade auch die Tests vor, da einige Programme mit dem IPv6 vom DAC Probleme hat face-confused.

Gruß
@clSchak
Jannis92
Jannis92 21.02.2019 um 20:49:14 Uhr
Goto Top
Hallo clSchak,
danke für den Post. Die Schritte wurden auf der Seite ja mal vorbildlich dokumentiert face-smile
Allerdings sieht es für mich so aus, dass er in der Anleitung die Verbindung vom Endgerät über ein User-Zertifikat aufbaut.

Das funktioniert ja bei mir bereits.
Nur wird die Verbindung dann ja erst nach dem Login aufgebaut, da vorher ja noch kein User-Zertifikat ausgewählt werden kann (ist ja keiner angemeldet). Daher wollte ich gerne auf das Computer-Zertifikat gehen, welches aber nicht mit der aktuellen Config gefunden werden kann. Hier ist bei mir aktuell der Knackpunkt.
7Gizmo7
7Gizmo7 21.02.2019 um 22:00:00 Uhr
Goto Top
Hi,

Was du möchtest ist ein device Tunnel .

Versuchs mal damit.
https://www.einfaches-netzwerk.at/always-on-vpn-device-tunnel-konfigurie ...

Mit freundlichen Grüßen