Hallo,
ich betreibe einen Lancom 1783VA als Internetrouter, der auch als VPN-Server agiert.
Derzeit verwende ich IKEv1 mit PSK und Shrewsoft-Client. Jeder Client ist als Gegenstelle angelegt, mit der ich via Firewallregeln den Zugriff auf Hosts im LAN reguliere.
Da IKEv1 veraltet ist und die Authentifizierung mit PSK nicht sicher ist (i.S.von Weitergabe des Passworts), stelle ich auf IKEv2+EAP-TLS um.
Die Struktur ist wie folgt. Windows-Server 2019 mit ADCS stellt Zertifikate aus, NPS Server authentifiziert Nutzer. 1783VA agiert als VPN Einwahlstelle.
Als Client verwende ich den Windows-Integrierten. Das funktioniert bereits!
Allerdings gibt es jetzt keine benannten Gegenstellen, wie beim alten Setup, mehr. Der Router erzeugt dynamisch eine Gegenstelle, die nach der öffentlichen IP des Clients benannt ist. Die kann ich in den Firewallregeln aber nicht auswählen. Ich muss aber den Zugriff einiger Clients (mittels Firewall?) einschränken.
Fragen:
- welche Möglichkeiten gibt es hier?
- kann man die Informationen aus dem Clientzertifikat nutzen?
- Oder kann man Firewallregeln/Routen via Radius (NPS) "freischalten"?
Danke fürs Lesen,
TH
Wie Gegenstelle verwenden bei IKEv2+EAP-TLS+NPS
Moderator: Lancom-Systems Moderatoren
-
Frühstücksdirektor
- Beiträge: 183
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: Wie Gegenstelle verwenden bei IKEv2+EAP-TLS+NPS
Hallo TH,
das mit dem dynamischen Gegenstellennamen hängt an der Art wie der interne Windows Client sich authentifiziert. Meines Wissens gibt es da im Windows keine Möglichkeit das zu ändern. Der LANCOM VPN-Client ist da deutlich komfortabler und kann das beeinflussen.
Der LANCOM VPN-Stack unterstützt eine ganze Menge an RADIUS-Attributen. Leider ist da der Name eine Firewall-Regel aktuell nicht dabei. Man kann es aber anders lösen: Man hängt an den AD-Benutzer ein RADIUS-Attribut, z.B. Framed-IP-Address (IETF-Attribut, siehe Referenz-Handbuch 11.20.3 RADIUS-Unterstützung für IKEv2), um den VPN-User eine feste Adresse zuzuweisen. Das hat Vorrang vor dem lokalen Pool. Mit der festen IP-Adresse stellst Du einen Bezug zu der passenden Firewall-Regel her.
Leider habe ich das in der Praxis noch nicht gemacht, wie man das auf dem AD/NPS genau macht.
Alternativ gibt es noch das Vendor-Specific-Attribut LCS-Routing-Tag, womit man einen VPN-User in einen Routing-Kontext schubst. Auf dem Free-RADIUS ist das kein Problem. Das wird aber vmtl. komplizierter als mit der Framed-IP-Address.
Mit dem RADIUS-Trace kannst Du prüfen, ob das Attribut korrekt vom NPS kommt. Das IKEv2 übernimmt das Attribut, wenn es kommt ohne besondere Config.
Routen kannst Du mit "Framed-Route" übertragen. Dann setzt der LANCOM einen Routing-Eintrag zu diesem Client. Ist aber vmtl. nicht was Du suchst.
Viel Erfolg.
das mit dem dynamischen Gegenstellennamen hängt an der Art wie der interne Windows Client sich authentifiziert. Meines Wissens gibt es da im Windows keine Möglichkeit das zu ändern. Der LANCOM VPN-Client ist da deutlich komfortabler und kann das beeinflussen.
Der LANCOM VPN-Stack unterstützt eine ganze Menge an RADIUS-Attributen. Leider ist da der Name eine Firewall-Regel aktuell nicht dabei. Man kann es aber anders lösen: Man hängt an den AD-Benutzer ein RADIUS-Attribut, z.B. Framed-IP-Address (IETF-Attribut, siehe Referenz-Handbuch 11.20.3 RADIUS-Unterstützung für IKEv2), um den VPN-User eine feste Adresse zuzuweisen. Das hat Vorrang vor dem lokalen Pool. Mit der festen IP-Adresse stellst Du einen Bezug zu der passenden Firewall-Regel her.
Leider habe ich das in der Praxis noch nicht gemacht, wie man das auf dem AD/NPS genau macht.
Alternativ gibt es noch das Vendor-Specific-Attribut LCS-Routing-Tag, womit man einen VPN-User in einen Routing-Kontext schubst. Auf dem Free-RADIUS ist das kein Problem. Das wird aber vmtl. komplizierter als mit der Framed-IP-Address.
Mit dem RADIUS-Trace kannst Du prüfen, ob das Attribut korrekt vom NPS kommt. Das IKEv2 übernimmt das Attribut, wenn es kommt ohne besondere Config.
Routen kannst Du mit "Framed-Route" übertragen. Dann setzt der LANCOM einen Routing-Eintrag zu diesem Client. Ist aber vmtl. nicht was Du suchst.
Viel Erfolg.
Re: Wie Gegenstelle verwenden bei IKEv2+EAP-TLS+NPS
Hallo,
danke für die Anregungen. Ich werde mir das anschauen und Rückmeldung geben.
TH
danke für die Anregungen. Ich werde mir das anschauen und Rückmeldung geben.
TH
Re: Wie Gegenstelle verwenden bei IKEv2+EAP-TLS+NPS
Hallo nochmal.
Es hat geklappt. Es war ganz einfach.
Die statische IP-Adresse kann in AD Benutzer und Computer unter Einwählen eingestellt werden.
Dann wie oben beschrieben die Firewallstation per IP-Adressbereich definieren.
TH
Es hat geklappt. Es war ganz einfach.
Die statische IP-Adresse kann in AD Benutzer und Computer unter Einwählen eingestellt werden.
Dann wie oben beschrieben die Firewallstation per IP-Adressbereich definieren.
TH