panguu
Goto Top

Anmeldung am Firmennetzwerk über VPN Verbindung

Hallo,

ich stehe auf dem Schlauch und wüßte nicht, wie ich das lösen sollte. Hoffe jemand kann helfen. Es gibt einige Außerndienstmitarbeiter, die sich über unsere VPN-Leitung am Firmennetzwerk verbinden können. Dazu nutzen sie den VPN-Client VPNGui.

Um die VPN-Verbindung jedoch starten zu können, müssen sie natürlich erstmal ihren Laptop starten. Sie loggen sich über die Anmeldemaske mit dem Firmenbenutzernamen an der Firmendomäne an (lokal natürlich auf ihrem Laptop, durch das lokalgespeicherte Profil) und nun befinden sie sich auf ihrem Desktop.

Erste jetzt starten sie den VPC-Client und stellen die Verbindung zum Firmennetzwerk her. Das Problem nun an der Sache:

sie kriegen gar nicht ihre zugewiesenen Laufwerksbuchstaben (Mappings) zugeordnet, da sie ja bereits an ihrem Windows durch das lokale Profil angemeldet sind. Es kommt also gar nicht erst dazu, dass ihr Loginskript abgearbeitet wird und somit auch die "net use foobar" Anweisungen.

Bisher haben wir das so gelöst, dass wir bei diesen Mitarbeitern auf ihrem Laptop die mitarbeitername.bat auf ihrem Desktop kopiert haben. Nachdem sie per VPN verbunden sind, doppelklicken Sie auf diese .bat um ihre Mappings durchzuführen. Das ist natürlich keine feine Lösung, und bei 2-3 Leuten noch überschaubar. Außerdem müssten wir bei jeder Anpassung des Loginskripts für diese Mitarbeiter immer wieder diese Änderung auch lokal auf ihren Desktop kopieren.

Wie löst man also so etwas profesionell und vor allem automatisiert? Ich kann ja schlecht die VPN-Verbindung durch einen automatischen Dienst oder so herstellen, da sie ja einen Schlüssel(Zertif.)+Passphrase verwenden, um die VPN-Verbindung erfolgreich herstellen zu können.

Ich freue mich auf Hilfestellung und bin schon gespannt auf eure Antworten.

Content-Key: 187525

Url: https://administrator.de/contentid/187525

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: kontext
kontext 05.07.2012 aktualisiert um 11:52:11 Uhr
Goto Top
HeyHo,

wie es mit dem VPN-Client VPNGui aussieht kann ich dir leider nicht sagen.
Wir setzen den Cisco AnyConnect ein - dort kannst du ein Script einbinden was automatisch ausgeführt wird wenn die Verbindung aufgebaut wurde ...

EDIT: wir haben dort ein Script eingefügt das auf unser Anmeldescript zeigt ...
... d.H. es ist nur eine Änderung des Anmeldescripts notwendig und alle Clients (egal ob im Netzwerk oder Zugriff via VPN) haben das aktuelle Script

Greetz
fabian (zanko)
Mitglied: panguu
panguu 05.07.2012 um 12:46:28 Uhr
Goto Top
Ja aber wenn ich ein Skript auf dem VPN-Server zum automatischen Ausführen reinschreibe, dann würden ja alle VPN-Clients dieses Skript ausgeführt bekommen. Ich hab aber für jeden Mitarbeiter ein eigenes loginskript. Am besten wäre es wenn ich es irgendwie schaffen würde, dass jeder Client automatisch das Skript \\meinserver\netlogon\%username%.bat ausführt ncahdem er erfolgreich verbunden ist. Die Frage ist wie ich das hinkriege, auch mit der Variable username.

Irgendeine idee?
Mitglied: Pjordorf
Pjordorf 05.07.2012 um 20:16:04 Uhr
Goto Top
Hallo,

Zitat von @panguu:
VPN-Client VPNGui.
Besonderen Grund?

Wie löst man also so etwas profesionell und vor allem automatisiert?
VPN vor dem Anmelden starten lassen. Ist in jedem Windows Client seit XP drin. Direct Access ist auch jetzt möglich.
http://htipe.wordpress.com/2010/02/11/connect-to-vpn-before-logging-in- ...
http://www.winvistatips.com/connecting-vpn-before-login-t599242.html
http://social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/ ...

Ich freue mich auf Hilfestellung
Die Suche mal benutzen? Oben die Drei sind nur ein Teil der gefunden 1.110.000 möglichen Antwortenface-smile

Gruß,
Peter
Mitglied: panguu
panguu 06.07.2012 um 08:45:41 Uhr
Goto Top
Hallo nochmal. Erstmal danke für dein freundliches feedback. Ich vergass hinzuzuügen, dass es sich nicht um eine VPN-Verbindung über IPSec oder ähnliches handelt, sondern um eine OpenVPN Verbindung. Die genannten Tutorials erklären nämlich, wir das innerhalb Windows angepasst werden kann.

Ich habe weiter gegoogelt und anscheined geht es auch über OpenVPN durch automatischen Diensstart. Leider finde ich keine passende GUI oder Installer mit dem ich so einen Dienst einrichten könnte. Das Blöde aber immer noch ist, daß der User ja gar keinen Schlüssel eingeben könnte. Klar kann ich ein Zertifikat ohne Passphrase erstellen, aber das ist ja auch nicht besonders sicher, oder?

Wer hat denn schonmal so eine automatische OpenVPN-Verbindung erfolgreich herstellen können? Mir gehts hauptsächlich und wirklich nur darum, dass die User auch ihr Loginprofil abgearbeitet bekommen.
Mitglied: Chonta
Chonta 06.07.2012 aktualisiert um 13:26:37 Uhr
Goto Top
Hallo,

wenn das Normale OpenVPN installiert ist, hast Du bereits einen Windowsdeist, der nur auf Automatisches starten gestellt werden muss.
ABER dieser Dienst greift auf die Config im OpenVPN Ordner zu und auch vor der Anmeldung des Benutzers.
DH Du musst dafür eine Einwahl ermöglichen, die keine Benutzerinteraktion benötigt z.B. Zertifikat ohne Passwort.

Dann steht das VPN schon bevor sich der benutzer anmeldet und kann sich gleich richtig mit dem Domänenkonto anmelden.
Da ich davon Ausgehe, das die Rechner incl. Systempartition verschlüsselt sind, braucht das Zertifikat auch kein extra Passwort.
Sollten die Geräte nicht verschlüpsselt sein, dann ist das jetzt die Gelegenheit.

Gruß

Chonta

PS: Wenn Du für die betroffenen Benutzer mit Servergespeicherten Profielen arbeitets... Stell sie um oder Du wird dich bald ärgern face-smile
Mitglied: panguu
panguu 06.07.2012 um 15:24:37 Uhr
Goto Top
Na da schau her. Den Dienst hatte ich wirklich. Hab mir neue Zertifikate erstellt ohne Passphrase und siehe da es funktioniert. Eine Verschlüsselung aller Notebooks ist vorhanden (Truecrypt) also sollte ich mir keine Sorgen machen.

Wie genau meintest du das jetzt aber noch bzgl. den servergespeicherten Profilen? ich nutze LDAP und kein AD, spielt das 'ne Rolle? Mein PDC ist Samba
Mitglied: Chonta
Chonta 06.07.2012 um 16:03:01 Uhr
Goto Top
Hallo,

auch mit Samba ist es möglich Servergespeicherte Profile zu verwenden.
Also wenn die nur Lokal sind ist ok, wenn die profile aber immer gesynct werden eiwei.
Netzlaufwerke ist egal, weil nur dann Daten übertragen werden wenn auf diese zugegriffen wird.

Gruß

Chonta
Mitglied: Pjordorf
Pjordorf 06.07.2012 aktualisiert um 16:51:31 Uhr
Goto Top
Hallo,

Zitat von @panguu:
Wie genau meintest du das jetzt aber noch bzgl. den servergespeicherten Profilen?
http://www.lmgtfy.com/?q=server+gespeicherte+profile face-smile

Und auch dies Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen? nicht vergessen. Danke.

Gruß,
Peter
Mitglied: panguu
panguu 06.07.2012 um 16:27:33 Uhr
Goto Top
ich verwende servergespeicherte Profile, eieiei. Die Frage ist nur, wie ich diesen VPN-Clients sagen kann, dass bei einer Anmeldung nicht das komplette Profil gesynct werden soll ? Ich kann mich erinnern, dass der Client trotzdem mit seinem lokalen Profil arbeiten konnte. Und wenn er wieder vor Ort in der Firma war und am Netzkabel angeschlossen war, wurde das Profil vom Notebook mit dem Server gesynct. Geht das nicht irgendwie ohne AD ?
Mitglied: Pjordorf
Pjordorf 06.07.2012 um 17:01:29 Uhr
Goto Top
Hallo,

Zitat von @panguu:
ich verwende servergespeicherte Profile, eieiei.
Siehste. Geht dochface-smile

Die Frage ist nur, wie ich diesen VPN-Clients sagen kann,
Es gibt die erkennung von langsame Verbindungen. Wieviel langsam ist kannst du slebst festlegen. Ebenso kannst du festlegen das bei erkannter langsamer Verbindung eben kein Roaming Profil übertragen werden soll. Alles in den Gruppenrichtlinien. Aber Fragen sollten dann in einem neuen seperaten Thread behandelt werden. Dieser ist ja gelöst. face-smile


Gruß,
Peter
Mitglied: Chonta
Chonta 06.07.2012 aktualisiert um 17:05:52 Uhr
Goto Top
Hallo,

wenn das Mobile Rechner sind, brauchen die kein Servergespeichertes Profil. Sobald der Rechner die Verbindung zum Server via VPN hat, wird bei der Anmeldung vom Benutzer ALLES abgearbeitet als wäre er bei Euch im LAN.
Du muss nur bei seinen Anmeldeinfos einstellen, das es kein Serverprofil mehr ist sondern ein lokales dann an und abmelden und nochmal anmelden und das Profiel sollte nur noch lokal verarbeitet werden (Profile haben manchmal ein gar sonderliches Verhalten).

Die Tests bitte machen, solange die Benutzer im LAN sind sonst heist es für den benutzer unterwegs, "Wenns mal wieder länger dauert.." und bei Verbindung über z.B. Modem, SERH lange face-smile

Gruß

Chonta

Da er kein AD verwendet wird das nicht greifen und selbst mit AD greift das mit der Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN.
(Lasse mich diesbezüglich gerne belehren)
Mitglied: panguu
panguu 06.07.2012 um 17:11:20 Uhr
Goto Top
@Pjordorf: ok danke für den Hinweis. Diese Einstellung kenne ich und weiß auch wo sie in den GPOs zu finden ist. Ich müsste aber wohl irgendwie an jedem einzelnen Notebook das durchführen, oder? Ich kann ja keine GPOs verteilen da kein AD im Einsatz.

@Chonta: Danke für den Tip. Ich würde das gerne genauso machen, so dass kein servergespeichertes Profil verwendet wird. Wie soll ich das explizit aber einstellen in dem Useraccount? Wenn ich den jeweiligen User im LDAP öffne, dann hab ich ein Feld namens "profile path" und dort steht normalerweise "\\meinpdc\profiles\maxmustermann" würde es genügen dieses Feld einfach zu leeren und der User hat somit kein servergespeichertes Profil mehr?
Mitglied: Chonta
Chonta 06.07.2012 um 17:30:10 Uhr
Goto Top
Hallo,

jo \\.... mus weg, dann wird das wieder zum lokalen Profil.
Teste das ganze aber sicherhaltshalber mit nem Testbenutzer face-smile.

Jo ohne AD musst Du das dann lokal an jeder Kiste machen, und wie gesagt ich glaube nicht, das es über eine nicht Microsoftschnittstelle funktioniert.

Gruß

Chonta
Mitglied: Pjordorf
Pjordorf 06.07.2012 um 17:42:41 Uhr
Goto Top
Hallo,

Zitat von @panguu:
da kein AD im Einsatz.
Sorry. Nicht mehr dran gedacht das du es uns gesagt hattest. Dan wird es dann mit den GPOs nichts.

würde es genügen dieses Feld einfach zu leeren
Das sollte reichen.

@Chonta,
Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN
Das habe ich selbst noch nicht mit nicht MS VPN getestet. Ich kann dazu aber auch keine Aussage finden. Der Vorgang zur Ermittlung ob es eine langsame Verbindung ist, ist aber recht trivial und sollte nicht nur auf MS eigene Verbindungen machbar sein. Auszug

How Group Policy Processing measures link speed?
  1. Ping the server with 0 bytes of data and time the number of milliseconds. This value is time#1. If it is less than 10 ms, exit (assume a fast link).
  2. Ping the server with 2 kilobytes (KB) of uncompressible data, and time the number of milliseconds. This value is time#2. The algorithm uses a compressed .jpg file to ping the server.
  3. DELTA = time#2 - time#1. This removes the overhead of session setup, with the result being equal to the time to move 2 KB of data.
  4. Calculate Delta three times, adding to TOTAL each DELTA value. Use the following calculations:
  5. TOTAL/3 = Average of DELTA in milliseconds.
  6. 2 * (2 KB) * (1000 ms/sec) / DELTA Average ms = X
  7. X = (4000 KB/sec) / DELTA Average
  8. Z Kbps = ((4000 KB) / DELTA Average) *(8 bits/byte)
  9. Z Kbps = 32000 kbps/Delta Average.
Two KB of data have moved in each direction (this is represented by the leading factor two on the left side in step six) through each modem, Ethernet card, or other device in the loop once. The resulting Z value is evaluated against the policy setting. A default of less than 500 Kbps is considered a slow link; faster than 500 Kbps is a fast link.

If Z is less than 500 Kbps the connection is considered slow, otherwise it is considered fast.

Also das sollte mit jeder Art Verbindung gehen. Leider werden hierzu aber Gruppenrichtlinien benötigt.

Gruß,
Peter
http://support.microsoft.com/kb/227260
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Slow_Link_Detec ...
Mitglied: panguu
panguu 06.07.2012 um 17:45:37 Uhr
Goto Top
Danke euch. Ich werde das testen und berichten. Schönes Wochenende erstmal an Alle face-smile
Mitglied: spacyfreak
spacyfreak 07.07.2012 aktualisiert um 20:30:30 Uhr
Goto Top
Am saubersten wäre es, wenn die VPN VErbindung aufgebaut wird BEVOR sich der Client überhaupt am Windows anmeldet. Geht z. B. mit Cisco.

Wir bieten den Anwendern ein manuell ausführbares Skript.
Dieses Skript enthält jedoch nicht die net use Befehle, sondern dient nur dazu, NACHTRÄGLICH das DC Startskript auf dem Client nach dem Aufbau der VPN Verbindung ausführen zu lassen.

Alternativ finde ich net use mapping mit /PERSISTENT:yes nicht schlecht - dann sind die Laufwerke IMMER gemappt, und nachdem die VPN Verbindung aufgebaut ist kann der User auch gleich zugreifen auf die tollen Daten. Macht aber nur Sinn wenn sich die Laufwerke nicht ständig ändern.
Säubern kann man das aber auch einfach mit

net use * /d /yes

dann sind alle netzlaufwerke ent-mappt.