Activer Directory och VPN (olika konton)

Permalänk

Activer Directory och VPN (olika konton)

Jag är en gröngöling på det här med Active Directory. Jag försöker fila på VPN och jag vill att det funkar utan att Windows Servern hanterar den, men det verkar finnas någon slags standardinställning i Windows 10 som gör att AD-konto = VPN-konto. Så vill jag inte ha det.

Följande setup

CISCO Router som hanterar VPN och DHCP
Windows Server 2019 AD
Windows Server 2019 Allt annat (RDS, File Share o SQL mm)

Har experimenterat med en medarbetares dator och fört över denna till ett domän. Alla inställningar fungerar som förväntat i kontoret. Nu under Coronatider är det dock inte längre standard att man arbetar på plats.

Så jag har stött på några problem:

1. Jag har skapat VPN-konton i Routern. Dessa matchar inte Active Directory och egentligen är jag inte intresserad av att de ska göra det heller för jag har inget intresse av att göra det bökigt att logga in på datorerna med komplicerade lösenord.

När AD-användare på datorn loggar in på VPN tror den automatiskt att det är en användare i domänet. Detta skapar problem för så fort VPN-anslutningen slutförs så överskrivs alla användarnamn och lösenord till efter VPN. Det gäller Windows File Share också. Så medarbetaren behöver logga in igen med sin datorinloggning för att komma in på File Share.

2. En till konsekvens av detta verkar dyka upp är att Group Policy kan inte längre uppdateras efter ADn. Jag misstänker att det har att göra med att den försöker hämta policyn utefter VPN-inloggningen?

Tacksam för hjälp!

Fel rubrik...
Permalänk
Medlem

RADIUS och LDAP är 2 tekniker för att en router t.ex. skall fråga routern om konton, istället för egna.

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem

Precis kör NPS på Minns att det bytt namn i 2019 men principen är densamma och använd ad kontot för vpn.

Permalänk
Skrivet av eXim:

Precis kör NPS på Minns att det bytt namn i 2019 men principen är densamma och använd ad kontot för vpn.

Problemet är att jag inte vill köra AD-kontot. Lösenordet är för enkelt och medarbetarna har det så av bekvämlighetsskäl. Jag vill ha kontona helt separata.

Går det inte att uppnå så att VPN-kopplingen enbart ska vara fokuserat på VPN istället för att den även ändrar AD-kontoinställningar på datorn?

Permalänk
Skrivet av AkUs:

RADIUS och LDAP är 2 tekniker för att en router t.ex. skall fråga routern om konton, istället för egna.

Provade det där utan lycka. Cisco är nog det sämsta företaget i världen på att göra manualer. Står ingenting vad som krävs exakt för att få det där att lira.

Jag misstänker att man behöver öppna portar i brandväggen på Windows Servern? Finns det bra exempel LDAP inställningar? Förstod mig inte på LDAP Base DN för vad som var ett måste.

http://i21.photobucket.com/albums/b276/lilmaniac2/ldap%20conf...

Permalänk
Medlem

LDAP är också att den läser ad atribut och söker i oun. Detta använder kerberos troligen.

Och då kan det vara läge att ha en password policy. tror det var nist som rekomndera 20 tecken utan krav på att det är super komplex och tanken är att man man ska använda meningar.

Permalänk
Skrivet av eXim:

LDAP är också att den läser ad atribut och söker i oun. Detta använder kerberos troligen.

Och då kan det vara läge att ha en password policy. tror det var nist som rekomndera 20 tecken utan krav på att det är super komplex och tanken är att man man ska använda meningar.

Jag blir förvånad. Så Windows 10 kan verkligen inte tillåta en annan inloggning än AD om man är inloggad som AD för VPN utan att den får för sig att det ska ha med domänet och ADn att göra?

Min lösning är då följande:

Varje användare får ha två konton till sig i AD. En för utanför kontoret med uberkomplext password. En användare tänkt för kontoret och för själva användaren i datorn. Båda konton har tillgång till exakt samma sak. Då kan medarbetaren logga in på datorn med det lätta lösenordet och när VPN aktiveras blir det den andra användaren. Det borde fungera?

Permalänk

Känns som du försöker gå över ån efter vatten med 2st användarkonton, och dessutom väva in mer komplexitet. Det konto som användarna använder för auth mot AD är rimligtvis också det konto som de borde använda för att upprätta sin VPN-anslutning. Och då helst med cert, men det är en annan fråga.

Det vanligaste metoden i en Windows-miljö är RADIUS och sätta upp denna med NPS. En snabb youtube-sökning gav detta resultat, kanske detta kan hjälpa dig på vägen.
https://www.youtube.com/watch?v=VmdmJifkVB0

Visa signatur

Workstation: Intel Core i5-10400 | Gigabyte B460M DS3H | 16GB DDR4 | Geforce GTX1660 SUPER 6GB |
Server: Dell R730xd | Intel Xeon E5-2640 | 64GB DDR3 ECC RAM | Dell VMware vSphere ESXi 6.5
NAS: Synology 212J 2x4TB, Synology 218play 2x4TB | MSMCP CCNA1

Permalänk
Medlem

Har du datorerna i domänen? Vilken programvara använder du på klienten för att koppla upp VPN?

Har du ställt in så att VPn delar ut rätt DNS och domännamn?

Permalänk
Skrivet av jocke92:

Har du datorerna i domänen?

Just nu experimenterar jag med denna dator och den är i domänen.

Skrivet av jocke92:

Vilken programvara använder du på klienten för att koppla upp VPN?

Jag kör på vanliga Windows 10 klienten för VPN.

Skrivet av jocke92:

Har du ställt in så att VPn delar ut rätt DNS och domännamn?

Jag har ställt in så att det är rätt DNS-adress i datorn. Namn osäker på hur jag ska hitta det alternativet? Är det någonstans som man behöver fylla i fulla domännamnet? När datorn kopplas upp mot VPN så ser jag domännamnet när Windows visar kopplingen i Inställningar.

Permalänk
Skrivet av Delarium.:

Känns som du försöker gå över ån efter vatten med 2st användarkonton, och dessutom väva in mer komplexitet. Det konto som användarna använder för auth mot AD är rimligtvis också det konto som de borde använda för att upprätta sin VPN-anslutning. Och då helst med cert, men det är en annan fråga.

Det vanligaste metoden i en Windows-miljö är RADIUS och sätta upp denna med NPS. En snabb youtube-sökning gav detta resultat, kanske detta kan hjälpa dig på vägen.
https://www.youtube.com/watch?v=VmdmJifkVB0

Jag ser ingen annan utväg. Poängen är alltså att jag vill kunna uppnå följande:

Lätt lösenord på själva datorn, svårt lösenord för VPN. Jag vill ha någon form av säkerhet. Tänker inte riskera att man ska få kunna logga in med lätta lösenord på självaste VPN-anslutningen.

Det går inte med ett konto om Windows 10 ska tvinga VPN-kontot som AD-konto (ej existerar). Då ser jag bara två konton som lösningen. Har bara svårt att köpa det faktum att Windows 10 är så dåligt konfad att den måste behandla uppgifterna för VPN som densamma för Active Directory och att det inte finns någonstans som detta går att stänga av på...

Problemet med den videon är att jag kör VPN i Routern. Inte i Windows Server. Hade gärna kört cert etc. Men problemet är att Windows 10 VPN-klient har väldigt många begränsningar i inställningar som gör att jag inte lyckats matcha den med routerns VPN-inställningar.

Jag får väl överväga att alla medarbetare får logga in med komplexa lösenord på sina datorer. (Kommer inte bli den populära på kontoret)

Permalänk
Medlem
Skrivet av FlashUploader:

Just nu experimenterar jag med denna dator och den är i domänen.
Jag kör på vanliga Windows 10 klienten för VPN.
Jag har ställt in så att det är rätt DNS-adress i datorn. Namn osäker på hur jag ska hitta det alternativet? Är det någonstans som man behöver fylla i fulla domännamnet? När datorn kopplas upp mot VPN så ser jag domännamnet när Windows visar kopplingen i Inställningar.

Då har jag bättre koll på läget. Du behöver ställa in i brandväggen vilken DNS och eventuellt DNs-suffix som ska köras. Är det l2tp du sätter upp?

Väljer du att du får manuellt skriva in lösenordet när du ansluter med klienten?

Ett alternativ om man vill ha lättare lösenord är att i Windows 10 lägga upp en pin istället som man kör vid inloggning till datorn

Permalänk
Skrivet av jocke92:

Då har jag bättre koll på läget. Du behöver ställa in i brandväggen vilken DNS och eventuellt DNs-suffix som ska köras. Är det l2tp du sätter upp?

Väljer du att du får manuellt skriva in lösenordet när du ansluter med klienten?

Ett alternativ om man vill ha lättare lösenord är att i Windows 10 lägga upp en pin istället som man kör vid inloggning till datorn

PPTP kör vi. Bara så jag är med. Menar du att jag behöver ställa in DNS-inställningar i brandväggen för servern eller för klienten? För enheten som hanterar VPN är routern som inte hanterar AD. Visserligen har routern en brandvägg! Eller behöver man ändå göra något med brandväggen i Windows Server för att logga in som AD via routern menar du kanske?

Nej, lösenordet var förinstallerat i datorns VPN-inställningar.

PIN kan vara en bra lösning på problematiken!

Permalänk
Permalänk

Helt rätt. Ingen borde använda PPTP idag.

TS: Gör du detta i en labmiljö eller för ett företag?

Visa signatur

Workstation: Intel Core i5-10400 | Gigabyte B460M DS3H | 16GB DDR4 | Geforce GTX1660 SUPER 6GB |
Server: Dell R730xd | Intel Xeon E5-2640 | 64GB DDR3 ECC RAM | Dell VMware vSphere ESXi 6.5
NAS: Synology 212J 2x4TB, Synology 218play 2x4TB | MSMCP CCNA1

Permalänk
Skrivet av Delarium.:

Helt rätt. Ingen borde använda PPTP idag.

TS: Gör du detta i en labmiljö eller för ett företag?

Stora anledningen till det komplexa lösenordet. Används för dess hastighet. Har kört OpenVPN och fick ut 3 ggr saktare resultat i jämförelse med PPTP. När jag gjort researchen är PPTP än idag det snabbaste VPN-alternativet. Har försökt att få igång IPSEC tidigare men Windows 10 klienten har inställningar för IPSEC som inte routern kan tillfredsställa.

Väl medveten om PPTPs brister, men när du har medarbetare som har ADSL än idag i sina hem så har jag svårt att se arbetsmiljön vara smidig i deras vardag. De klagar även över PPTP...

För företag!

Om jag ska byta och låta Windows Server hantera VPN vilken av maskinerna ska hantera anslutningarna? Brukar man låta maskinen som hanterar Active Directory göra det?

Permalänk
Medlem
Skrivet av FlashUploader:

PPTP kör vi. Bara så jag är med. Menar du att jag behöver ställa in DNS-inställningar i brandväggen för servern eller för klienten? För enheten som hanterar VPN är routern som inte hanterar AD. Visserligen har routern en brandvägg! Eller behöver man ändå göra något med brandväggen i Windows Server för att logga in som AD via routern menar du kanske?

Nej, lösenordet var förinstallerat i datorns VPN-inställningar.

PIN kan vara en bra lösning på problematiken!

Du ska ange din(a) domänkontrollant(ers) IP-adress(er) i routerns VPN-konfiguration. Du behöver inte göra något i din server.

Ser det inte ut så här när du lägger till VPN i Windows 10? Ser ut så oavsett om man är med i domän eller ej. Eventuellt något extra val om man är med i domän.

Skrivet av FlashUploader:

Stora anledningen till det komplexa lösenordet. Används för dess hastighet. Har kört OpenVPN och fick ut 3 ggr saktare resultat i jämförelse med PPTP. När jag gjort researchen är PPTP än idag det snabbaste VPN-alternativet. Har försökt att få igång IPSEC tidigare men Windows 10 klienten har inställningar för IPSEC som inte routern kan tillfredsställa.

Väl medveten om PPTPs brister, men när du har medarbetare som har ADSL än idag i sina hem så har jag svårt att se arbetsmiljön vara smidig i deras vardag. De klagar även över PPTP...

För företag!

Om jag ska byta och låta Windows Server hantera VPN vilken av maskinerna ska hantera anslutningarna? Brukar man låta maskinen som hanterar Active Directory göra det?

Vad är det exakt för router/brandvägg ni har? Är det en i RV-serien brukar de ha stöd för l2tp som finns i Windows.

Om du upplever dålig prestanda är det troligen så att brandväggen har för dålig prestanda för VPN. Eller som du säger har man ADSL hemma tar det långt tid att spara filer på servern och upplevelsen blir lite skakig tyvärr.

Ska du köra VPN i en server så ska det vara en separat server/virtuell maskin eftersom den blir exponerad mot internet.

Permalänk
Skrivet av jocke92:

Du ska ange din(a) domänkontrollant(ers) IP-adress(er) i routerns VPN-konfiguration. Du behöver inte göra något i din server.

Ser det inte ut så här när du lägger till VPN i Windows 10? Ser ut så oavsett om man är med i domän eller ej. Eventuellt något extra val om man är med i domän.
https://i.imgur.com/Qy38L60.png

Aa det ser ut exakt oavsett om man är med i domän eller inte. VPN fungerar när jag lägger in användare i själva routern, men routern själv vägrar försöka matcha inloggningarna med Active Directory servern. Har matat in dess lokala IP-adress i routerns inställningar enligt Ciscos instruktioner utan lycka. Den kollar enbart sina lokala databas för inloggningar.

Skrivet av jocke92:

Vad är det exakt för router/brandvägg ni har? Är det en i RV-serien brukar de ha stöd för l2tp som finns i Windows.

Om du upplever dålig prestanda är det troligen så att brandväggen har för dålig prestanda för VPN. Eller som du säger har man ADSL hemma tar det långt tid att spara filer på servern och upplevelsen blir lite skakig tyvärr.

Ska du köra VPN i en server så ska det vara en separat server/virtuell maskin eftersom den blir exponerad mot internet.

Cisco RV325 är det. Cisco routers är väldigt svåra att konfa mot Windows 10s inbyggda VPN-klient. När jag försökte fixa IPSEC så hade inte denna router de inställningarna som krävdes för att matcha gruppinställningarna som Microsoft har ställt in i Windows 10. Det finns inga bra guider mot just Windows 10s inbyggda klient och de flesta Ciscoguider är baserade på VPN-klienter som kostar pengar.

https://serverfault.com/questions/813256/windows-10-built-in-...

Kollade denna länk och Cisco RV325 kunde inte matcha inställningarna helt enkelt.

Vet inte om det är värt att skapa en till server bara för VPN och då för en fet chansning att VPN kommer bli snabbare. ADSL ser jag som det stora spöket för just denna medarbetare. De flesta har ju inte ADSL idag.

Här i Sverige får jag ändå ut 1/3 av hastigheten via PPTP. Via OpenVPN 1/10. Alla andra VPN-alternativ har inte gått att testa för routern. Så hastigheten för PPTP fungerar åtminstone. Hoppas såklart man kan skapa ett VPN som är snabbare än PPTP och säkrare, men antar att krypterade anslutningar är den stora anledningen till att hastigheten blir så pass mycket lägre.

Permalänk
Medlem
Skrivet av FlashUploader:

Aa det ser ut exakt oavsett om man är med i domän eller inte. VPN fungerar när jag lägger in användare i själva routern, men routern själv vägrar försöka matcha inloggningarna med Active Directory servern. Har matat in dess lokala IP-adress i routerns inställningar enligt Ciscos instruktioner utan lycka. Den kollar enbart sina lokala databas för inloggningar.

Cisco RV325 är det. Cisco routers är väldigt svåra att konfa mot Windows 10s inbyggda VPN-klient. När jag försökte fixa IPSEC så hade inte denna router de inställningarna som krävdes för att matcha gruppinställningarna som Microsoft har ställt in i Windows 10. Det finns inga bra guider mot just Windows 10s inbyggda klient och de flesta Ciscoguider är baserade på VPN-klienter som kostar pengar.

https://serverfault.com/questions/813256/windows-10-built-in-...

Kollade denna länk och Cisco RV325 kunde inte matcha inställningarna helt enkelt.

Vet inte om det är värt att skapa en till server bara för VPN och då för en fet chansning att VPN kommer bli snabbare. ADSL ser jag som det stora spöket för just denna medarbetare. De flesta har ju inte ADSL idag.

Här i Sverige får jag ändå ut 1/3 av hastigheten via PPTP. Via OpenVPN 1/10. Alla andra VPN-alternativ har inte gått att testa för routern. Så hastigheten för PPTP fungerar åtminstone. Hoppas såklart man kan skapa ett VPN som är snabbare än PPTP och säkrare, men antar att krypterade anslutningar är den stora anledningen till att hastigheten blir så pass mycket lägre.

ok, jag trodde du hade problem i klienten att den använde den inloggade domänanvändaren? eller har du problem med att du inte får brandväggen att kommunicera med servern?

Personligen gillar jag inte RV-serien av brandväggar. Det verkar inte som att den modellen du har stödjer l2tp. Även manualerna online verkar vara dåliga.

Hittade det här, men verkar rörigt https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-...

Om du har en hypervisor, borde det bara vara att ladda ner någon färdig image med en openvpn-server. Vill minnas att det finns

Permalänk
Skrivet av jocke92:

ok, jag trodde du hade problem i klienten att den använde den inloggade domänanvändaren? eller har du problem med att du inte får brandväggen att kommunicera med servern?

Personligen gillar jag inte RV-serien av brandväggar. Det verkar inte som att den modellen du har stödjer l2tp. Även manualerna online verkar vara dåliga.

Hittade det här, men verkar rörigt https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-...

Om du har en hypervisor, borde det bara vara att ladda ner någon färdig image med en openvpn-server. Vill minnas att det finns

Mitt problem är att den just behandlar VPN-anslutningens användare som en domänanvändare. Jag vill egentligen inte ha det så utan att datorn/användaren ska fortsätta använda den inloggade användaren för access till nätverksmappar. Istället utnyttjar den VPN-anslutningens användare som om den existerar.

Jag försökte ställa in så att routern ska verifiera access via Active Directory, men det har inte fungerat och manualen säger ingenting om det är så att jag måste korrigera brandväggen i Windows Server eller inte. Ja, Cisco är katastrofusla på manualer. Har följt den manualen och ändå vill den inte kommunicera med AD för att verifiera VPN-access.

Kommer nog köra på lösningen med 2 konton per användare där ena står för VPN-kontot med det avancerade lösenordet. Alternativt köra ditt förslag med PIN och komplicera lösenordet som satan för användarna.

Ja, det verkar stämma med OpenVPN-imagen (Ubuntu verkar den köra). Jag kan överväga det, men det är bara jag på IT-avdelningen. Jag har tillräckligt med servrar att hantera (Cisco, Raspberry Pi, Hyper-V, 2 VMs). Man tröttnar på antalet saker att hantera. Dessutom blir det lättare med övergång om jag kan fortsätta med att låta routern hantera VPN.

Hur kör ni? Antar att ni har massa VMs/maskiner som hanterar olika saker? L2TP-VPN antar jag att ni kör? Hur mycket hastighet har du fått ut av det om du tänker andelsmässigt av den ursprungliga hastigheten?

Permalänk
Medlem
Skrivet av FlashUploader:

Mitt problem är att den just behandlar VPN-anslutningens användare som en domänanvändare. Jag vill egentligen inte ha det så utan att datorn/användaren ska fortsätta använda den inloggade användaren för access till nätverksmappar. Istället utnyttjar den VPN-anslutningens användare som om den existerar.

Jag försökte ställa in så att routern ska verifiera access via Active Directory, men det har inte fungerat och manualen säger ingenting om det är så att jag måste korrigera brandväggen i Windows Server eller inte. Ja, Cisco är katastrofusla på manualer. Har följt den manualen och ändå vill den inte kommunicera med AD för att verifiera VPN-access.

Kommer nog köra på lösningen med 2 konton per användare där ena står för VPN-kontot med det avancerade lösenordet. Alternativt köra ditt förslag med PIN och komplicera lösenordet som satan för användarna.

Ja, det verkar stämma med OpenVPN-imagen (Ubuntu verkar den köra). Jag kan överväga det, men det är bara jag på IT-avdelningen. Jag har tillräckligt med servrar att hantera (Cisco, Raspberry Pi, Hyper-V, 2 VMs). Man tröttnar på antalet saker att hantera. Dessutom blir det lättare med övergång om jag kan fortsätta med att låta routern hantera VPN.

Hur kör ni? Antar att ni har massa VMs/maskiner som hanterar olika saker? L2TP-VPN antar jag att ni kör? Hur mycket hastighet har du fått ut av det om du tänker andelsmässigt av den ursprungliga hastigheten?

Vi kör en brandvägg som klarar att agera vpn-server med radius till ADt. Med bra lösenord (ett krav) hade jag varit dig så hade jag slagit på lösenordspolicyn för starka lösenord oavsett, vem tror du får skit när ni blir hackade?
Och kompletterat det med MFA på vpn och/eller pc-login om möjligt.

Vi har även lokala användare på några brandväggar som ger 2 olika login. Ett lokalt vpnkonto i brandväggen sedan ett för datorn/domän. Så det kan ju passa dig.

Visa signatur

.

Permalänk
Skrivet av FlashUploader:

Stora anledningen till det komplexa lösenordet. Används för dess hastighet. Har kört OpenVPN och fick ut 3 ggr saktare resultat i jämförelse med PPTP. När jag gjort researchen är PPTP än idag det snabbaste VPN-alternativet. Har försökt att få igång IPSEC tidigare men Windows 10 klienten har inställningar för IPSEC som inte routern kan tillfredsställa.

Väl medveten om PPTPs brister, men när du har medarbetare som har ADSL än idag i sina hem så har jag svårt att se arbetsmiljön vara smidig i deras vardag. De klagar även över PPTP...

För företag!

Om jag ska byta och låta Windows Server hantera VPN vilken av maskinerna ska hantera anslutningarna? Brukar man låta maskinen som hanterar Active Directory göra det?

Oj, ok. Detta är alltså för ett företag i prod-miljö. Ta in en konsult. I all välmening. Och låt en konsult sätta upp en färdig lösning och dokumentera detta åt dig. Lär dig av konsulten och förstå hur det är uppsatt för fortsatta förvaltningen.

/D

Visa signatur

Workstation: Intel Core i5-10400 | Gigabyte B460M DS3H | 16GB DDR4 | Geforce GTX1660 SUPER 6GB |
Server: Dell R730xd | Intel Xeon E5-2640 | 64GB DDR3 ECC RAM | Dell VMware vSphere ESXi 6.5
NAS: Synology 212J 2x4TB, Synology 218play 2x4TB | MSMCP CCNA1

Permalänk
Skrivet av Delarium.:

Oj, ok. Detta är alltså för ett företag i prod-miljö. Ta in en konsult. I all välmening. Och låt en konsult sätta upp en färdig lösning och dokumentera detta åt dig. Lär dig av konsulten och förstå hur det är uppsatt för fortsatta förvaltningen.

/D

Ok, tack för ditt inlägg.

Permalänk
Medlem
Skrivet av FlashUploader:

Mitt problem är att den just behandlar VPN-anslutningens användare som en domänanvändare. Jag vill egentligen inte ha det så utan att datorn/användaren ska fortsätta använda den inloggade användaren för access till nätverksmappar. Istället utnyttjar den VPN-anslutningens användare som om den existerar.

Jag försökte ställa in så att routern ska verifiera access via Active Directory, men det har inte fungerat och manualen säger ingenting om det är så att jag måste korrigera brandväggen i Windows Server eller inte. Ja, Cisco är katastrofusla på manualer. Har följt den manualen och ändå vill den inte kommunicera med AD för att verifiera VPN-access.

Kommer nog köra på lösningen med 2 konton per användare där ena står för VPN-kontot med det avancerade lösenordet. Alternativt köra ditt förslag med PIN och komplicera lösenordet som satan för användarna.

Ja, det verkar stämma med OpenVPN-imagen (Ubuntu verkar den köra). Jag kan överväga det, men det är bara jag på IT-avdelningen. Jag har tillräckligt med servrar att hantera (Cisco, Raspberry Pi, Hyper-V, 2 VMs). Man tröttnar på antalet saker att hantera. Dessutom blir det lättare med övergång om jag kan fortsätta med att låta routern hantera VPN.

Hur kör ni? Antar att ni har massa VMs/maskiner som hanterar olika saker? L2TP-VPN antar jag att ni kör? Hur mycket hastighet har du fått ut av det om du tänker andelsmässigt av den ursprungliga hastigheten?

Jag tror jag är med på hur du menar. Jag kopplar upp några kunder via l2tp och Windows inbyggda klient. Upplever inte problemen. Kommer åt våra mappar samtidigt som jag använder ett helt annat konto för att koppla upp mot kundens nätverk. Dock brukar min outlook börja gnälla på inloggningen och fungera halvdant. Aldrig forskat i det, men kan ju eventuellt vara samma sak.

Visst ju mer servrar man har ju mer underhåll krävs, även om jag tror det här är rätt lättskött när det är igång.

By the book ska man ha en VM till varje tjänst. Men just VPN kör man i brandväggen oftast eller i princip alltid. Det normala med VPN är att man kör brandväggstillverkarens egna lösning för VPN. Ofta är de lite dyrare och kräver licenser. Den brandväggen du har är visserligen en cisco, men en snik-modell som inte är som deras ASA eller firepower. De lösningarna har ofta stöd för SSL-vpn, vilket är som https-trafik vilket ofta kommer igenom brandväggar (på hotell, flygplatser, kunder, hemma) lätt, men även IPSEC. De har mer funktioner och lull-lull.

Vi kör mycket Cisco och då deras Anyconnect-mjukvara. Men kommer gå ifrån det då deras brandväggar har blivit sämre. Sedan som billigare och enklare lösning Ubiquity edgerouter. Den har stöd för openvpn och l2tp, där jag väljer att köra med l2tp för att kunna köra Windows inbyggda.

Om vi går över till ditt problem. Ställer lite frågor, du får ursäkta om jag börjar för enkelt. Men vill inte missa några detaljer. När du kopplat upp VPN utifrån, kan du pinga fil-servern? Med IP, hostname och FQDN?
Om du försöker logga in med dina rätta inloggningsuppgifter för att komma åt mappen, kommer du in?
Hur skapar du anslutningen mot servern, med IP, hostname eller FQDN? Testa alla tre
Inte så att ert interna domän-namn matchar ert publika domän-namn eller är ett namn ni inte äger (typ en gammal kvarleva)?

Sedan problem två att du inte får brandväggen att prata med AD. Så länge du inte ansluter med LDAP-SSL så borde det fungera. Vanlig LDAP är öppet mot servern utan att man behöver öppna i Windows brandvägg. Du får gärna posta några bilder från brandväggens konfiguration på de inställningar du gjort där du suddar ut företagsnamn osv.

Permalänk
Skrivet av jocke92:

Jag tror jag är med på hur du menar. Jag kopplar upp några kunder via l2tp och Windows inbyggda klient. Upplever inte problemen. Kommer åt våra mappar samtidigt som jag använder ett helt annat konto för att koppla upp mot kundens nätverk. Dock brukar min outlook börja gnälla på inloggningen och fungera halvdant. Aldrig forskat i det, men kan ju eventuellt vara samma sak.

Visst ju mer servrar man har ju mer underhåll krävs, även om jag tror det här är rätt lättskött när det är igång.

By the book ska man ha en VM till varje tjänst. Men just VPN kör man i brandväggen oftast eller i princip alltid. Det normala med VPN är att man kör brandväggstillverkarens egna lösning för VPN. Ofta är de lite dyrare och kräver licenser. Den brandväggen du har är visserligen en cisco, men en snik-modell som inte är som deras ASA eller firepower. De lösningarna har ofta stöd för SSL-vpn, vilket är som https-trafik vilket ofta kommer igenom brandväggar (på hotell, flygplatser, kunder, hemma) lätt, men även IPSEC. De har mer funktioner och lull-lull.

Vi kör mycket Cisco och då deras Anyconnect-mjukvara. Men kommer gå ifrån det då deras brandväggar har blivit sämre. Sedan som billigare och enklare lösning Ubiquity edgerouter. Den har stöd för openvpn och l2tp, där jag väljer att köra med l2tp för att kunna köra Windows inbyggda.

Om vi går över till ditt problem. Ställer lite frågor, du får ursäkta om jag börjar för enkelt. Men vill inte missa några detaljer.

Ingen fara med frågor.

Skrivet av jocke92:

Om du försöker logga in med dina rätta inloggningsuppgifter för att komma åt mappen, kommer du in?

Yes, alla mapprättigheter fungerar galant.

Skrivet av jocke92:

Hur skapar du anslutningen mot servern, med IP, hostname eller FQDN? Testa alla tre
Inte så att ert interna domän-namn matchar ert publika domän-namn eller är ett namn ni inte äger (typ en gammal kvarleva)?

Menar du nu internt på plats på kontoret eller utanför kontoret (VPN)? Jag kommer in med rätta inloggningsuppgifter med servern på plats utan problem. Jag ska dubbelkolla FQDN och hostname imorgon utanför kontoret, men är rätt säker på att det fungerar för att nslookup producerar domännamn för DNS-servern vid VPN-anslutning. IP-adress fungerar definitivt. Faktiskt bra tips på tester. Av vana kör jag per standard IP utanför kontoret för vi körde inte Active Directory innan.

Sedan vad gäller domännamn så kör jag inte vårat riktiga domännamn till vår webbplats om det är den du menar. Jag kör bara ett påhittat domännamn som gäller kontoret.

Nu under tiden jag experimenterar la jag in en till AD-användare som matchar VPN-användaren i brandväggen. Genom att lägga in den AD-användaren så fungerar även gpupdate /force med VPN. Det är alltså lösningen med 2 användare som jag nämnde tidigare.

Skrivet av jocke92:

Sedan problem två att du inte får brandväggen att prata med AD. Så länge du inte ansluter med LDAP-SSL så borde det fungera. Vanlig LDAP är öppet mot servern utan att man behöver öppna i Windows brandvägg. Du får gärna posta några bilder från brandväggens konfiguration på de inställningar du gjort där du suddar ut företagsnamn osv.

Finns inte ens någonting som varnar om det är LDAP-SSL som den försöker ansluta med.
LDAP

dc=Randonnamn,dc=local
AD

Finns en tråd för någon som fick det att fungera, men har förstått mig på hans lösning https://www.reddit.com/r/Cisco/comments/56bgtj/rv325_vpn_acti...

Permalänk
Medlem
Skrivet av FlashUploader:

Ingen fara med frågor.
Yes, alla mapprättigheter fungerar galant.

Menar du nu internt på plats på kontoret eller utanför kontoret (VPN)? Jag kommer in med rätta inloggningsuppgifter med servern på plats utan problem. Jag ska dubbelkolla FQDN och hostname imorgon utanför kontoret, men är rätt säker på att det fungerar för att nslookup producerar domännamn för DNS-servern vid VPN-anslutning. IP-adress fungerar definitivt. Faktiskt bra tips på tester. Av vana kör jag per standard IP utanför kontoret för vi körde inte Active Directory innan.

Tänker mest utanför kontoret på VPN. Hade det andra inte fungera så hade du haft andra problem. Bra med nslookup

Skrivet av FlashUploader:

Sedan vad gäller domännamn så kör jag inte vårat riktiga domännamn till vår webbplats om det är den du menar. Jag kör bara ett påhittat domännamn som gäller kontoret.

Bra, då är det inte något sådant som spökar

Skrivet av FlashUploader:

Nu under tiden jag experimenterar la jag in en till AD-användare som matchar VPN-användaren i brandväggen. Genom att lägga in den AD-användaren så fungerar även gpupdate /force med VPN. Det är alltså lösningen med 2 användare som jag nämnde tidigare.

Ja då har vi svart på vitt att den gör så. Hittade det här intressanta när jag googlade lite https://serverfault.com/questions/322235/do-not-use-vpn-crede...

Skrivet av FlashUploader:

Finns inte ens någonting som varnar om det är LDAP-SSL som den försöker ansluta med.
LDAP
https://i.imgur.com/8Q0uTcZ.png
dc=Randonnamn,dc=local
AD
https://i.imgur.com/U7D6m9B.png

Det ser ju rätt ut där.

Skrivet av FlashUploader:

Finns en tråd för någon som fick det att fungera, men har förstått mig på hans lösning https://www.reddit.com/r/Cisco/comments/56bgtj/rv325_vpn_acti...

Ja verkar som om man skriver namnet eller kanske fqdn på domänkontrollanten att det fungerar

Permalänk
Skrivet av jocke92:

Ja då har vi svart på vitt att den gör så. Hittade det här intressanta när jag googlade lite https://serverfault.com/questions/322235/do-not-use-vpn-crede...

Äntligen. Precis det här som jag letat efter. Stort tack för hjälpen. Försökte uppdatera med gpupdate /force hemifrån via VPN utan lycka, men jag provade att köra inställningarna lokalt på datorn och det fungerade helt klart. Får prova i lokalen sen.

Skrivet av jocke92:

Det ser ju rätt ut där.
Ja verkar som om man skriver namnet eller kanske fqdn på domänkontrollanten att det fungerar

Jag har gett upp att få det fungera med brandväggen. Cisco får i framtiden steppa upp i manualerna. I framtiden kanske man har råd att byta ut maskinvaran.

Bara för att folket har enormt agg mot PPTP kan jag testa OpenVPN igen. Ett sätt att hantera den långsamma VPN-anslutningen kan väl vara att göra så att inte hela datorn måste använda sig av anslutningen utan bara för de lokala resurserna?

Permalänk
Inaktiv
Skrivet av FlashUploader:

Bara för att folket har enormt agg mot PPTP kan jag testa OpenVPN igen. Ett sätt att hantera den långsamma VPN-anslutningen kan väl vara att göra så att inte hela datorn måste använda sig av anslutningen utan bara för de lokala resurserna?

Alternativt så kikar du på vad som slukar bandbredden och skapa regler därefter.
För att jävlas kan man ju tex sänka prioritet och bandbredd på youtube & Netflix till oanvändbara nivåer

Om ni har policies i brandväggen för att kontrollera och säkra nätet är det väl rimligt att försöka hålla användarna säkrade även hemma.

Permalänk
Medlem
Visa signatur

.: Learn the system, Play the system, Break the system :.

Permalänk
Medlem
Skrivet av FlashUploader:

Bara för att folket har enormt agg mot PPTP kan jag testa OpenVPN igen. Ett sätt att hantera den långsamma VPN-anslutningen kan väl vara att göra så att inte hela datorn måste använda sig av anslutningen utan bara för de lokala resurserna?

Ja, det som heter split tunnel är viktigt för prestandan. Enda anledningen till att man vill köra allt över VPN är ifall man har en mer avancerad säkerhetslösning på företaget. Ni har bara en RV325 vilket inte skyddar mycket mer än en hemmarouter