[Techinfo] windows active directory efop wifi over vpn sh....t
Tiba Csaba
tibacsaba at gmail.com
2018. Sze. 11., K, 16:28:35 CEST
Bocsi félre ment a hozzászólás!
Tiba Csaba <tibacsaba at gmail.com> ezt írta (időpont: 2018. szept. 11., K
16:26):
> A sulixnál a webes guin kell jelszót változtatni.
>
> Fehér Sándor <fehersandor at madach-starjan.sulinet.hu> ezt írta (időpont:
> 2018. szept. 11., K 15:49):
>
>>
>> Sziasztok!
>>
>> Tudtok valami használható módszert az új efop (eduroam) wifiről
>> kapcsolódott laptopok ad-hez kapcsolására interneten keresztül vpn
>> segítségével?
>>
>> Openvpnel kezdtem és eddig jutottam:
>> linux serveren fut egy openvpn a belső hálózaton. A másik "lába"
>> internethez kapcsolt és portforwardal jönnek rá kívülről a laptopok.
>> A belső ip címre bridge-t tettem (tap mód) és így olyan a külső gép,
>> mintha virtuálisan bedugnám a belső hálózatba. (ipv6 dhcp, broadcast minden
>> átjön a tunnelbe)
>> A lényeg, hogy ez működik, de a f*s windows-okkal megint baj van.
>> Az openvpn-gui bejelentkezéskor automatán felcsatolja a vpn adaptert és
>> kiépíti a kapcsolatot.
>> Ott a baj, hogy a gpo frissítések idején a bejelentkezés alatt még nem
>> aktív a vpn.
>> Az utolsó lépés csak ezek után a vpn csatlakozása, akkor már késő. A
>> computer policyk sem futnak le teljesen, csak egy részük okés.
>>
>> Példa:
>> Megváltoztatom a laptop jelszavát az ad-ben és pár perc elteltével
>> kijelentkezek majd vissza és nem változik meg a jelszó, a régivel enged be.
>> gpupdate /force parancs hatására a jelszó változtatás után a felhasználói
>> policy nem fut le (mivel nem jó a jelszó) de nem is frissül közvetlen
>> bejelentkezéskor.
>> Ha a gépet saját wifire engedem vagy kábelre (lan) dugom minden frissül
>> azonnal és teljesen jól működik.
>> A vpn is teljesen jó, sajnos a win-el van a baj.
>>
>> Megoldás:
>> Ha nem néznének minket hülyének és adnának hozzáférést az eszközökhöz,
>> akkor egy site-to-site vpn-el meglehetne ezt oldani, hogy ne a windows
>> "jelentkezgessen" be a vpn-be, hanem mindig ott legyen a kapcsolat.
>>
>> Kérdésem, hogy ti megoldottátok már, van ötletetek vagy esetleg nem is
>> érdekel a dolog és marad minden "local" verziós ad nélkül.
>>
>>
>>
>> openvpn-server.conf:
>>
>> port 1192
>> proto tcp
>> dev tap0
>> ca /etc/openvpn/CA/keys/ca.crt
>> #crl-verify /etc/openvpn/crl.pem
>> cert /etc/openvpn/CA/keys/eduvpn.crt
>> key /etc/openvpn/CA/keys/eduvpn.key
>> dh /etc/openvpn/CA/keys/dh2048.pem
>> #plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login
>> verify-client-cert
>> #client-cert-not-required
>> #username-as-common-name
>> server-bridge 172.21.254.118 255.255.0.0 172.21.203.1 172.21.203.100
>> up /etc/openvpn/bridge-up.sh
>> script-security 2
>> #ifconfig-pool-persist /etc/openvpn/bridge.ipp
>> keepalive 10 120
>> #comp-lzo
>> user nobody
>>
>> bridge-up script
>>
>> #!/bin/bash
>>
>> /sbin/ifconfig $1 up
>> /sbin/brctl addif br0 $1
>>
>>
>>
>> ezenkívül ensx (lan) adaptert bridge-be kell tenni interfaces fájl
>> konfigurálással
>> serverbridge ha simán van kiadva mindenféle ip/mask nélkül üresen, akkor
>> a saját-meglévő dhcp szervered oszt ip-t a vpn kliensnek a tunnelen
>> keresztül.
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20180911/ebcf6ad4/attachment.html>
További információk a(z) Techinfo levelezőlistáról