[Techinfo] windows active directory efop wifi over vpn sh....t
Fehér Sándor
fehersandor at madach-starjan.sulinet.hu
2018. Sze. 11., K, 15:17:50 CEST
Sziasztok!
Tudtok valami használható módszert az új efop (eduroam) wifiről
kapcsolódott laptopok ad-hez kapcsolására interneten keresztül vpn
segítségével?
Openvpnel kezdtem és eddig jutottam:
linux serveren fut egy openvpn a belső hálózaton. A másik "lába"
internethez kapcsolt és portforwardal jönnek rá kívülről a laptopok.
A belső ip címre bridge-t tettem (tap mód) és így olyan a külső gép,
mintha virtuálisan bedugnám a belső hálózatba. (ipv6 dhcp, broadcast
minden átjön a tunnelbe)
A lényeg, hogy ez működik, de a f*s windows-okkal megint baj van.
Az openvpn-gui bejelentkezéskor automatán felcsatolja a vpn adaptert és
kiépíti a kapcsolatot.
Ott a baj, hogy a gpo frissítések idején a bejelentkezés alatt még nem
aktív a vpn.
Az utolsó lépés csak ezek után a vpn csatlakozása, akkor már késő. A
computer policyk sem futnak le teljesen, csak egy részük okés.
Példa:
Megváltoztatom a laptop jelszavát az ad-ben és pár perc elteltével
kijelentkezek majd vissza és nem változik meg a jelszó, a régivel enged be.
gpupdate /force parancs hatására a jelszó változtatás után a
felhasználói policy nem fut le (mivel nem jó a jelszó) de nem is frissül
közvetlen bejelentkezéskor.
Ha a gépet saját wifire engedem vagy kábelre (lan) dugom minden frissül
azonnal és teljesen jól működik.
A vpn is teljesen jó, sajnos a win-el van a baj.
Megoldás:
Ha nem néznének minket hülyének és adnának hozzáférést az eszközökhöz,
akkor egy site-to-site vpn-el meglehetne ezt oldani, hogy ne a windows
"jelentkezgessen" be a vpn-be, hanem mindig ott legyen a kapcsolat.
Kérdésem, hogy ti megoldottátok már, van ötletetek vagy esetleg nem is
érdekel a dolog és marad minden "local" verziós ad nélkül.
openvpn-server.conf:
port 1192
proto tcp
dev tap0
ca /etc/openvpn/CA/keys/ca.crt
#crl-verify /etc/openvpn/crl.pem
cert /etc/openvpn/CA/keys/eduvpn.crt
key /etc/openvpn/CA/keys/eduvpn.key
dh /etc/openvpn/CA/keys/dh2048.pem
#plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login
verify-client-cert
#client-cert-not-required
#username-as-common-name
server-bridge 172.21.254.118 255.255.0.0 172.21.203.1 172.21.203.100
up /etc/openvpn/bridge-up.sh
script-security 2
#ifconfig-pool-persist /etc/openvpn/bridge.ipp
keepalive 10 120
#comp-lzo
user nobody
bridge-up script
#!/bin/bash
/sbin/ifconfig $1 up
/sbin/brctl addif br0 $1
ezenkívül ensx (lan) adaptert bridge-be kell tenni interfaces fájl
konfigurálással
serverbridge ha simán van kiadva mindenféle ip/mask nélkül üresen, akkor
a saját-meglévő dhcp szervered oszt ip-t a vpn kliensnek a tunnelen
keresztül.
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180911/5dc70c3a/attachment.html>
További információk a(z) Techinfo levelezőlistáról