Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Delegationen

Mitglied: agowa338

agowa338 (Level 2) - Jetzt verbinden

22.09.2016, aktualisiert 08.12.2016, 4409 Aufrufe, 3 Danke

Hallo,

in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
  1. Außendienst Mitarbeiter (Client-To-Site) und
  2. Supporter, die häufig die Verbindungen wechseln müssen (Client-To-Site) konfiguriert.
Alle schritte wurden mit Windows 7 getestet, es sollte aber prinzipiell mindestens ab Windows Vista wenn nicht sogar XP Pro funktionieren, aber hey XP hat sowieso genug andere Lücken, hier ist das Nachfolgende wohl eher vernachlässigbar. Da hat man andere Probleme .

Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.

1. Außendienst Mitarbeiter

1. OpenVPN herunterladen link
2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
01.
openvpn-install-2.3.11-I601-i686.exe /S /SELECT_SHORTCUTS=0 /SELECT_OPENVPN=1 /SELECT_SERVICE=1 /SELECT_TAP=1 /SELECT_OPENVPNGUI=0 /SELECT_ASSOCIATIONS=0 /SELECT_OPENSSL_UTILITIES=0 /SELECT_EASYRSA=0 /SELECT_PATH=0 /SELECT_OPENSSLDLLS=1 /SELECT_LZODLLS=1 /SELECT_PKCS11DLLS=1
3. Powershell als Administrator öffnen
4. Service auf Autostart setzen
01.
Get-Service OpenVPNService | Set-Service -StartupType Automatic
5. Die .ovpn Konfiguration bearbeiten, folgende Werte sollten gesetzt sein (Pfade zu z. B. dem Zertifikat nicht vergessen anzupassen):
01.
# The keepalive directive causes ping-like
02.
# messages to be sent back and forth over
03.
# the link so that each side knows when
04.
# the other side has gone down.
05.
# Ping every 10 seconds, assume that remote
06.
# peer is down if no ping received during
07.
# a 60 second time period.
08.
keepalive 10 60
09.
# Retry authentication on failure without
10.
# querrying for username and password
11.
auth-retry nointeract
12.

13.
# If an additional username and password is
14.
# required:
15.
auth-user-pass authentication.txt
6. Alle Dateien in das Verzeichnis "%ProgramFiles%\OpenVPN\config" verschieben.
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • Aktueller Benutzer: Vollzugriff
    • Untergeordnete Berechtigungen ersetzen
9. NTFS-Besitzer ändern auf "System"
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.

2. Supporter, die häufig die Verbindungen wechseln müssen

Hier ist die Berechtigungsvergabe etwas anders, weil nicht Administratoren ja die Konfiguration ändern und den Dienst neustarten können sollen.
  1. Bitte die Schritte aus 1. bis zum Kopieren der Dateien in das "config" Verzeichnis befolgen.
  2. Lokal eine Gruppe mit dem Namen "OpenVPN-Verwaltungsbenutzer" mit der Beschreibung "Erlaubt das Starten und Stoppen des OpenVPN-Dienstes sowie die Bearbeitung der Konfigurationsdateien" anlegen.
  3. Je nach eurem Berechtigungskonzept könnt ihr z. B. in diese Gruppe eine Domänen Lokale Gruppe aufnehmen, welche eine Globale Gruppe mit den Benutzer enthält, dies ist für die Funktion nicht erforderlich, jedoch in manchen Anwendungsfällen ratsam.
  4. Die Berechtigungen des OpenVPN-Dienstes bearbeiten, dies geht am einfachsten entweder per GPO (Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste, OpenVPNService) oder mittels "Process Hacker" (Tab Services, OpenVPNService, Sicherheit)
    • Gruppe "OpenVPN-Verwaltungsbenutzer" hinzufügen und die Berechtigungen "Query status", "Start", "Stop" zuweisen.
  5. Die Berechtigungen des "config" Verzeichnisses bearbeiten
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • OpenVPN-Verwaltungsbenutzer: Ändern
    • Aktueller Benutzer: Vollzugriff
  6. NTFS-Besitzer ändern auf "System"
  7. NTFS-Berechtigungen, den Vollzugriff für den aktuellen Benutzer entfernen.

Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.

Mit freundlichen Grüßen,
agowa338
Ähnliche Inhalte
Firewall
PfSense OpenVPN beschleunigen
Tipp von 108012Firewall

Hallo zusammen, ich nutze zwar nur ausschließlich IPSec VPN aber habe gerade mit einem Bekannten zusammen ein paar OpenVPN ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWussteVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Netzwerkgrundlagen

PfSense - Kopplung dreier Netze via OpenVPN

Erfahrungsbericht von FA-jkaNetzwerkgrundlagen

Wer mich kennt weiß, ich lasse nicht locker :-) Ich habe die letzten Wochen eingehend damit verbracht, drei Netze ...

iOS

IOS 12 beta 2 und OpenVPN iPad und iPhone

Erfahrungsbericht von magicteddyiOS2 Kommentare

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 2 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 2 TagenExchange Server3 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

LAN, WAN, Wireless
Gebäude mit LWL-Anschlüssen ausstatten - VorNachteile?
Frage von staybbLAN, WAN, Wireless17 Kommentare

Hallo zusammen, es gibt ja mittlerweile viele Firmen die nicht nur ihre Backbones mit FibreChannel anbinden sondern auch direkt ...