Always On VPN – Überblick

Always On VPN

Microsoft hat die Entwicklung von DirectAccess eingestellt und bevorzug die Verwendung von Windows 10 Always On VPN für Zugriffe auf das Firmennetzwerk von Unterwegs. Eine Empfehlung zum Wechsel zu Always On VPN gibt es hier: DirectAccess network performance in Windows. Always On VPN hat DirectAccess gegenüber ettliche Vorteile und meiner Meinung nach nur einen Nachteil, der eigentlich keiner mehr ist: Es funktioniert nur mit Windows 10. Spätestens Anfang 2020 sollte das aber kein Thema mehr sein. Siehe hier:

Infrastruktur

Serverlandschaft

  • DC01
    • Windows Server 2016
    • 192.168.100.1
    • AD DS, DNS, DHCP
    • Domain: intern.einfaches-netzwerk.at
  • ORCA01 (Offline Root CA)
    • Windows Server 2016
    • Certificate Services
    • kein Mitglied in der Domain
  • SUBCA01
    • Windows Server 2016
    • 192.168.100.3
    • Active Directory Certificate Services
    • Domain: intern.einfaches-netzwerk.at
  • APP01
    • Windows Server 2016
    • 192.168.100.2
    • AD CS Online Responder, IIS
      • Enthält die Website CertEnroll, welche aus dem Intranet und dem Internet erreichbar ist
        • http://pki.einfaches-netzwerk.at/certenroll
    • Domain: intern.einfaches-netzwerk.at CertEnroll
  • EDGE01
    • Windows Server 2016
    • 192.168.100.254 / 131.107.0.2
    • Routing
    • Domain: intern.einfaches-netzwerk.at
  • NPS01
    • Windows Server 2016
    • 192.168.100.4
    • Network Policy and Access Services (NPS)
    • Domain: intern.einfaches-netzwerk.at
  • VPN01
    • Windows Server 2016
    • 192.168.100.5 / 131.107.0.3
    • Remote Access
    • Domain: intern.einfaches-netzwerk.at
  • INET01
  • CLIENT01
    • Windows 10 1803
    • DHCP intern und extern
    • Domain: intern.einfaches-netzwerk.at

Netzwerkplan

Netzwerkplan

Literatur

https://www.einfaches-netzwerk.at/ https://www.windows-noob.com/forums/topic/16252-how-can-i-configure-pki-in-a-lab-on-windows-server-2016-part-1/ https://directaccess.richardhicks.com/ https://www.petenetlive.com/KB/Article/0001399 https://4sysops.com/archives/always-on-vpn-directaccess-for-windows-10/ https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/

6 Gedanken zu „Always On VPN – Überblick

  1. Danke für die gute Zusammenfassung und die einzelnen Kapitel zu Always On VPN. Wir überlegen auch gerade das einzusetzen, allerdings sehe ich noch weitere Nachteile. Könntest du ja ggf. oben in der Einleitung ergänzen.

    -Einrichtung etwas gewöhnungsbedürftig, da nur sinnvoll via Intune oder SCCM. Die Powershell-Variante kommt für größere Unternehmen eher nicht in Frage. Eine native Einrichtung via Gruppenrichtlinien wäre wünschenswert. DirectAccess bietet das.
    -bei der Device-Tunnel-Konfiguration (und diese ist deutlich sinnvoller als die User-Tunnel) die bekannten Nachteile, dass es nicht funktioniert, wenn die Ports 500 und 4500 gesperrt sind

  2. Hallo,

    zuerst einmal, ich finde die Anleitung gut gelungen und übersichtlich. Kompliment.

    Allerdings hänge ich gerade hier bei diesem Schritt:
    https://www.einfaches-netzwerk.at/always-on-vpn-verwaltung-der-zertifikate/#Zertifikatsvorlage_fuer_die_Benutzerauthentifizierung_erstellen

    Dort soll man sich auf die CA von SUBCA01 einloggen und Zertifikatvorlagen konfigurieren, allerdings wurde zuvor keine CA dort eingerichtet, es wurde alles auf APP01 gemacht. Habe ich da eventuell etwas übersehen?

    Viele Grüße,
    Oliver

      • Hallo Dietmar,

        vielen Dank für die schnelle Antwort 🙂

        Ja, da sehe ich sie, und auch den Teil 5ff, in dem ja die Konfigurationen der CAs beschrieben werden. Daher ging ich davon aus, dass dort auch die SUBCA01 eingerichtet würde. Dort wird aber nur APP01 als CA eingerichtet. Ich gehe davon aus, dass SUBCA01 ebenso wie APP01 eingerichtet wird und dann entsprechend den Links dann die entsprechenden Templates bekommt.

        Denn wenn ich dies nicht tue und weiter mit APP01 arbeite, sprich dort die Templates einrichte, dann bekomme ich spätestens beim SSLforSSTP bei der CA diese Meldung:
        „Zertifikat nicht ausgestellt (Verweigert) Verweigert vom Richtlinienmodul Der öffentliche Schlüssel erfüllt nicht die Mindestgröße, die von der angegebenen Zertifikatvorlage gefordert wird. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)
        Zertifikatanforderungsverarbeitung: Der öffentliche Schlüssel erfüllt nicht die Mindestgröße, die von der angegebenen Zertifikatvorlage gefordert wird. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)
        Verweigert vom Richtlinienmodul“

        • Da hast du recht. Wenn du SubCA01 (AlwaysOn VPN-Anleitung) auf App1 (CA-Anleitung) installiert hast, musst du die Schritte auf App1 statt SubCA01 durchführen. Der Rest muss gleich sein.

          Dein Fehler sagt, dass die Länge des öffentlichen Schlüssels nicht passt. Hast du da die entsprechenden Einstellungen gemacht?

          • Hallo Dietmar,

            ja, die Anpassung beim SSLforSSTP habe ich wie angegeben eingestellt (mit ECDSA_P256).

            Ich habe Dir in einer Mail das ganze etwas genauer beschrieben.

            Viele Grüße,
            Oliver

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.