[Techinfo] windows active directory efop wifi over vpn sh....t
Gyulai László
gyulail at turr.sulinet.hu
2018. Sze. 11., K, 15:50:33 CEST
Softether vpn klienst próbáld meg, openvpn-hez is tud csatlakozni.
https://www.softether-download.com/?product=softether
Két megoldást is említenek az auto csatlakozásra, az egyikre kimondottan
írja az AD through VPN-t.
http://www.vpnusers.com/viewtopic.php?t=60322
Aztán lehet hogy a softether szerver részét is érdemes kipróbálni,
gyors, stabil, minőségi, japán egyetem által aktívan fejlesztett nyílt
forrású megoldás.
2018.09.11. 15:17 keltezéssel, Fehér Sándor írta:
>
> Sziasztok!
>
> Tudtok valami használható módszert az új efop (eduroam) wifiről
> kapcsolódott laptopok ad-hez kapcsolására interneten keresztül vpn
> segítségével?
>
> Openvpnel kezdtem és eddig jutottam:
> linux serveren fut egy openvpn a belső hálózaton. A másik "lába"
> internethez kapcsolt és portforwardal jönnek rá kívülről a laptopok.
> A belső ip címre bridge-t tettem (tap mód) és így olyan a külső gép,
> mintha virtuálisan bedugnám a belső hálózatba. (ipv6 dhcp, broadcast
> minden átjön a tunnelbe)
> A lényeg, hogy ez működik, de a f*s windows-okkal megint baj van.
> Az openvpn-gui bejelentkezéskor automatán felcsatolja a vpn adaptert
> és kiépíti a kapcsolatot.
> Ott a baj, hogy a gpo frissítések idején a bejelentkezés alatt még nem
> aktív a vpn.
> Az utolsó lépés csak ezek után a vpn csatlakozása, akkor már késő. A
> computer policyk sem futnak le teljesen, csak egy részük okés.
>
> Példa:
> Megváltoztatom a laptop jelszavát az ad-ben és pár perc elteltével
> kijelentkezek majd vissza és nem változik meg a jelszó, a régivel
> enged be.
> gpupdate /force parancs hatására a jelszó változtatás után a
> felhasználói policy nem fut le (mivel nem jó a jelszó) de nem is
> frissül közvetlen bejelentkezéskor.
> Ha a gépet saját wifire engedem vagy kábelre (lan) dugom minden
> frissül azonnal és teljesen jól működik.
> A vpn is teljesen jó, sajnos a win-el van a baj.
>
> Megoldás:
> Ha nem néznének minket hülyének és adnának hozzáférést az eszközökhöz,
> akkor egy site-to-site vpn-el meglehetne ezt oldani, hogy ne a windows
> "jelentkezgessen" be a vpn-be, hanem mindig ott legyen a kapcsolat.
>
> Kérdésem, hogy ti megoldottátok már, van ötletetek vagy esetleg nem is
> érdekel a dolog és marad minden "local" verziós ad nélkül.
>
>
>
> openvpn-server.conf:
>
> port 1192
> proto tcp
> dev tap0
> ca /etc/openvpn/CA/keys/ca.crt
> #crl-verify /etc/openvpn/crl.pem
> cert /etc/openvpn/CA/keys/eduvpn.crt
> key /etc/openvpn/CA/keys/eduvpn.key
> dh /etc/openvpn/CA/keys/dh2048.pem
> #plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login
> verify-client-cert
> #client-cert-not-required
> #username-as-common-name
> server-bridge 172.21.254.118 255.255.0.0 172.21.203.1 172.21.203.100
> up /etc/openvpn/bridge-up.sh
> script-security 2
> #ifconfig-pool-persist /etc/openvpn/bridge.ipp
> keepalive 10 120
> #comp-lzo
> user nobody
>
> bridge-up script
>
> #!/bin/bash
>
> /sbin/ifconfig $1 up
> /sbin/brctl addif br0 $1
>
>
>
> ezenkívül ensx (lan) adaptert bridge-be kell tenni interfaces fájl
> konfigurálással
> serverbridge ha simán van kiadva mindenféle ip/mask nélkül üresen,
> akkor a saját-meglévő dhcp szervered oszt ip-t a vpn kliensnek a
> tunnelen keresztül.
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180911/797f9ef7/attachment.html>
További információk a(z) Techinfo levelezőlistáról