saschadrummer
Goto Top

Windows VPN L2TP , falsche Anmeldedaten

Hallo liebe Community,

ein Kollege und ich sitzen jetzt schon etwas länger an einem Problem.

Geschichte:
Ein Kunde von uns, stellt uns ein VPN über Zyxel bereit. Das VPN ist ein L2TP, was über Windows eingerichtet werden kann.

Problem:
Das VPN lässt sich ohne Probleme einrichten und die Verbindung zur Gegenseite kann aufgebaut werden.
Haben für DFS einige Netzlaufwerke auf den Workstations gemappt die nun nicht mehr funktioniert.
Entweder es wird angezeigt, dass keine Berechtigung bestehen würde oder es öffnet sich alles sehr sehr langsam.
Ein direkter Zugriff auf den Server über DNS provoziert eine Authentifizierungsanfrage.
Gebe ich den FQDN ein, werden die Freigabe problemlos angezeigt.

Wir haben schon diverse Sachen ausprobiert. Da wir mehrere Netze per VLAN haben und je nach VLAN auch unsere UTM eingerichtet ist, haben wir einen Test-PC in die verschiedenen Netze gesteckt. Normalerweise wird Umbrella als DNS verwendet, auch um dieses zu umgehen, haben wir den PC die Windows DNS Server zugewiesen.

Ich habe die ganze Sache dann mal mit Wireshark gescannt, und siehe da:
Beim SMB Request wird der VPN Benutzer mit unserer Domäne vorgeschrieben, also Domäne/Username. Was natürlich nicht geht, weil der VPN User nicht in unser AD angelegt ist. Diese Sache passiert aber auch nur wenn gerade der 2DC / DNS Server verwendet. Wird der erste verwendet funktioniert es. Wir haben beide DCs nacheinander auch schonmal neu gestartet, auch das brachte keine Besserung.

Hat jemand diese Problem schonmal gehabt?

Der Test-PC ist Windows 10 21H2 über den Zyxel kann ich leider nichts sagen.

Vielen Dank schonmal für die Hilfe.

Gruß

Sascha

Content-Key: 3678210108

Url: https://administrator.de/contentid/3678210108

Ausgedruckt am: 04.10.2022 um 02:10 Uhr

Mitglied: SunshineAdmin
SunshineAdmin 17.08.2022 um 17:37:49 Uhr
Goto Top
Hi Sascha,

Beim Windowseigenen VPN wird (wenn das VPN nur für den Benutzer eingerichtet wurde) unter ...\AppData\Roaming\Microsoft\Network\Connections\Pbk die Datei rasphone.pbk angelegt mit den Einstellungen der VPN Verbindung.
Der Eintrag UseRasCredentials=0 oder 1 regelt ob Windows den VPN-Benutzer-Namen beim Zugriff auf Netzwerkressourcen nutzt oder den Windows-Anmeldenamen.
UseRasCredentials=1 ist der Standard nachdem Einrichten und es wird der VPN-Benutzer genommen
UseRasCredentials=0 es wird der Windows-Benutzer genommen.

Viele Grüße
Derek
Mitglied: SaschaDrummer
SaschaDrummer 18.08.2022 aktualisiert um 09:25:31 Uhr
Goto Top
Hi Derek,

danke für deine Antwort. Den Eintrag hatte ich schon in einem Microsoft Forum gelesen, allerdings war damals in dieser Datei kein VPN hinterlegt.

Naja ich habe die Änderung jetzt mal vorgenommen und die VPN Verbindung neuaufgebaut. Jetzt muss ich mal abwarten, denn am Anfang war die Verbindung meistens gut, erst nach wenigen oder auch mehreren Stunden fing es an zu hängen.

Noch als Nachtrag für dich, ich habe die VPN als AllUserConnection eingerichtet auch dort wird der Eintrag dann angezeigt.

EDIT: Der Pfad heißt %appdata%\Microsoft\Network\Connections\Pbk\_hiddenPbk
Gruß

Sascha
Mitglied: SaschaDrummer
SaschaDrummer 18.08.2022 um 10:21:50 Uhr
Goto Top
Ich habe das ganze jetzt nochmal auf einem anderen PC getestet. Da wird nach der Konfiguration des VPNs über die Windows Einstellung nicht angelegt in der rasphone.pbk . Kann es sein das diese nur für die Konfiguration über die Systemsteuerung -> Neue Verbindung oder neues Netzwerk einrichten zutrifft?

Gruß

Sascha
Mitglied: SunshineAdmin
Lösung SunshineAdmin 18.08.2022 um 17:13:04 Uhr
Goto Top
Hi Sascha,

wenn die VPN-Verbindung für Alle Benutzer eingerichtet wurde, dann müsste die rasphone.pbk unter
C:\Users\All Users\Microsoft\Network\Connections\Pbk liegen, bzw. unter
C:\ProgramData\Microsoft\Network\Connections\Pbk .
C:\Users\All Users ist ein symbolischer Link auf C:\ProgrammData

Aktuell nutze ich den Weg über die klassischen über die Systemsteuerung, dort kann man ja angeben, das die VPN-Verbindung für alle sein soll.

Bei der "modernen" Systemsteuerung wird glaube ich nur für den Benutzer die VPN-Verbindung angelegt.

Gruß
Derek
Mitglied: SaschaDrummer
SaschaDrummer 19.08.2022 um 12:06:24 Uhr
Goto Top
Hallo Derek,

das teste ich jetzt mal.

Über Powershell ist es möglich die VPN Verbindung für All Users anzulegen.

Gruß

Sascha
Mitglied: SaschaDrummer
SaschaDrummer 22.08.2022 um 11:22:46 Uhr
Goto Top
So das ganze klappt nun viel besser. Danke für die Hilfe.