Always On VPN – Überblick

Always On VPN

Microsoft hat die Entwicklung von DirectAccess eingestellt und bevorzug die Verwendung von Windows 10 Always On VPN für Zugriffe auf das Firmennetzwerk von Unterwegs. Eine Empfehlung zum Wechsel zu Always On VPN gibt es hier: DirectAccess network performance in Windows.

Always On VPN hat DirectAccess gegenüber ettliche Vorteile und meiner Meinung nach nur einen Nachteil, der eigentlich keiner mehr ist: Es funktioniert nur mit Windows 10. Spätestens Anfang 2020 sollte das aber kein Thema mehr sein.

Siehe hier:

Infrastruktur

Serverlandschaft

  • DC01
    • Windows Server 2016
    • 192.168.100.1
    • AD DS, DNS, DHCP
    • Domain: intern.einfaches-netzwerk.at
  • ORCA01 (Offline Root CA)
    • Windows Server 2016
    • kein Mitglied in der Domain
    • Certificate Services
  • SUBCA01
  • APP01
    • Windows Server 2016
    • 192.168.100.2
    • AD CS Online Responder, IIS
      • Enthält die Website CertEnroll, welche aus dem Intranet und dem Internet erreichbar ist
        • http://pki.einfaches-netzwerk.at/certenroll
          CertEnroll
    • Domain: intern.einfaches-netzwerk.at
  • EDGE01
    • Windows Server 2016
    • 192.168.100.254 / 131.107.0.2
    • Routing
    • Domain: intern.einfaches-netzwerk.at
  • NPS01
    • Windows Server 2016
    • 192.168.100.4
    • Network Policy and Access Services (NPS)
    • Domain: intern.einfaches-netzwerk.at
  • VPN01
    • Windows Server 2016
    • 192.168.100.5 / 131.107.0.3
    • Remote Access
    • Domain: intern.einfaches-netzwerk.at
  • INET01
  • CLIENT01
    • Windows 10 1803
    • DHCP intern und extern
    • Domain: intern.einfaches-netzwerk.at

Netzwerkplan

Netzwerkplan

Literatur

https://www.einfaches-netzwerk.at/

https://www.windows-noob.com/forums/topic/16252-how-can-i-configure-pki-in-a-lab-on-windows-server-2016-part-1/

https://directaccess.richardhicks.com/

https://www.petenetlive.com/KB/Article/0001399

https://4sysops.com/archives/always-on-vpn-directaccess-for-windows-10/

https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/

Teil 27h: DirectAccess Network Load Balancing konfigurieren

Um DirectAccess Network Load Balancing konfigurieren zu können, braucht man noch zwei weitere externe IP-Adressen für Teredo. Die zwei bereits verwendeten IP-Adressen werden als VIPs (Virtual IP) verwendet. DA1 bekommt eine neue IP-Adresse als DIP (Dedicated IP) zugewiesen. DA2 braucht ebenfalls eine externe IP-Adresse als DIP, das sind dann 4 IP-Adressen. DA2 wird genau so wie installiert und konfiguriert wie DA1, bis auf die zweite externe IP-Adresse (Teil 27a) und der DirectAccess-Konfiguration selbst. Neben der DirectAccess-Rolle wird auf beiden Servern noch das Feature Network Load Balancing installiert.

DA2-Konfiguration:

  • Netzwerkadapter Intern1: 192.168.150.11/24
  • Netzwerkadapter Extern1: 131.107.0.12/24
  • IP-HTTPS-Zertifikat für da.einfaches-netzwerk.at inkl. Private Key von DA1 exportieren und auf DA2 importieren

Cluster-IP-Adressen:

  • DIP-Extern für DA1: 131.107.0.14/24
  • DIP-Intern für DA1: 192.168.150.12/24

DA_NLB-001

DirectAccess Network Load Balancing konfigurieren – Schritte:

  • Network Load Balancing auf DA1 aktivieren
  • DA2 zum DirectAccess-Cluster hinzufügen

Network Load Balancing auf DA1 aktivieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Tools > Remote Access Management
  3. Sicherstellen, dass unter Operations Status alle Punkte grün sind
    DA_NLB-003
  4. Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
  5. Auf der rechten Seite auf Enable Load Balancing klicken
    DA_NLB-005
  6. Enable Load Balancing
    1. Before You Begin > Next
    2. Load Balancing Method
      1. Use Windows Network Load Balancing (NLB) > Next
        DA_NLB-004
    3. External DIPs
      1. IPv4 address: 131.107.0.14
      2. Subnet mask: 255.255.255.0 > Next
        DA_NLB-006
    4. Internal DIPs
      1. IPv4 address: 192.168.150.12
      2. Subnet mask: 255.255.255.0 > Next
        DA_NLB-007
    5. Summary > Commit
      DA_NLB-008
      DA_NLB-009
    6. Completion > Close
      DA_NLB-010

DA2 zum DirectAccess-Cluster hinzufügen

  1. Auf der rechten Seite auf Add or Remove Servers klicken
    DA_NLB-011
    Weiterlesen „Teil 27h: DirectAccess Network Load Balancing konfigurieren“

Teil 27g: DirectAccess-Clients mittels ISATAP erreichen

Man kann die DirectAccess-Clients mittels ISATAP erreichen und supporten. Microsoft empfiehlt allerdings auf den Einsatz von ISATAP zu verzichten.

Neben WPAD steht auch ISATAP in der globalen Blockliste vom DNS-Server. Um ISATAP nicht für alle Clients erreichbar zu machen, lege ich einen Host (A)-Eintrag DirectAccess-ISATAP in DNS an. Im GPO DirectAccess ISATAP konfiguriere ich dann den Pfad zum ISATAP-Router. Grundsätzlich kann jeder Windows-Server und auch Linux als ISATAP-Router konfiguriert werden. Ich werde dafür den DirectAccess-Server DA1 verwedenden.

DirectAccess-Clients mittels ISATAP erreichen – Schritte:

  • Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren
  • In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen
  • Gruppenrichtlinien für ISATAP konfigurieren
  • ISATAP-Router konfigurieren
  • Gängige Ports für die Fernwartung

Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren

  1. Als Administrator an DA1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln
    ipconfig
  4. Command Promt
    DA_ISATAP-000
  5. Folgende Informationen sind interessant:
    1. Der relevante ISATAP-Adapter hat die Link-local IPv6 Address fe80::5efe:x.x.x.x
    2. Hinter der Adresse, nach dem %-Zeichen, steht der Schnittstellenindex des ISATAP-Adapters: 13
    3. Der Netzwerkadapter Intern1 hat den Schnittstellenindex 12
    4. Der Netzwerkadapter Intern1 hat die IP-Adresse 192.168.150.10
    5. Der IPv6-Intranetpräfix ist 2002:836b:a:1::/64
  6. Fenster schließen

In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > DNS
  3. DC1\Forward Lookup Zones erweitern
  4. In der Zone intern.einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
    1. Name: DirectAccess-ISATAP
    2. IP address: 192.168.150.10 (IP-Adresse von Netzwerkadapter Intern1 auf DA1)
      DA_ISATAP-010
  5. Fenster schließen

Gruppenrichtlinien für ISATAP konfigurieren

  1. Server Manager > Tools > Group Policy Management
  2. Das GPO DirectAccess Custom zum Bearbeiten öffnen
  3. Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security erweitern
  4. Inbound Rules rechts anklicken > New Rule…
    DA_ISATAP-001
  5. New Inbound Rule Wizard
    1. Rule Type: Custom > Next
      DA_ISATAP-002
    2. Program: All Programs > Next
    3. Protocol and Ports
      1. Protocol type: ICMPv6 > Next
        DA_ISATAP-003
    4. Scope
      1. Remote IP addresses > Add…
        1. This IP address or subnet: 2002:836b:a:1:0:5efe:0.0.0.0/96
          <IPv6-Intranetpräfix>
          + :5efe:0.0.0.0/96 ist das gesamte ISATAP-Netzwerk des Unternehmens
          DA_ISATAP-012 DA_ISATAP-013
    5. Action: Allow the connection > Next
    6. Profile: Private, Public > Next
      DA_ISATAP-005
    7. Name: DirectAccess: Allow ICPMv6 > Finish
      DA_ISATAP-006
  6. Die neu erstellte Regel zum Bearbeiten öffnen
  7. Auf den Reiter Advanced wechseln
  8. Edge traversal
    1. Allow edge traversal > OK
      DA_ISATAP-008
      Weiterlesen „Teil 27g: DirectAccess-Clients mittels ISATAP erreichen“