h4rdqu0r3
Goto Top

OpenVPN auf Windows mit AD Userlogin

Hallo,

ich habe mal eine Frage zum Thema OpenVPN.

Ich habe hier einen DC, DNS, DHCP, Exchange, Terminal und Fileserver in meinem C-Netz. (2 Server mit jeweils einer VM)
jetzt möchte ich mich per OpenVPN in das Netz einwählen.

Habe mir mal die Configfiles von OVPN angeguckt und verstehe nicht ganz, wie ich die Configfile umschreiben muss, damit für Domänennutzer standardmäßig ein Schlüsselpaar und ein Login erstellt wird....

Klar kann ich das per Hand eintippen...aber bei 200 Usern ist die Sehnenscheidenentzündung vorprogrammiert *g*

Hier mal meine Configfile, sollte euch noch was anderes auffallen, bitte gerne melden. (ich hab btw keine Subnetze drin)


Gruß,

H4rd


port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh dh1024.pem
server 192.168.2.1 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
push "dhcp-option DNS 192.168.2.1"
keepalive 10 120
tls-auth ta.key 0
cipher AES-128-CBC # AES
;max-clients 200
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
;mute 20

Content-Key: 302366

Url: https://administrator.de/contentid/302366

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: Chonta
Lösung Chonta 20.04.2016 um 14:41:00 Uhr
Goto Top
Hallo,

wie ich die Configfile umschreiben muss, damit für Domänennutzer standardmäßig ein Schlüsselpaar und ein Login erstellt wird
Genau....
OpenVPN ist kein im AD integrierter Dienst. Vor einem Login mit Benutzernamen und Password rate ich zwingend ab.
Der Login solle für Benutzer nur mit Zertifikat machbar sein und die erstellst Du für jeden Benutzer der das können soll MANUEL und BEVOR er sich einlgen soll selber und gibst ihm dan alles was er braucht.

Die Zertifikate werden von der durch eine eigene CA oder durch die Scripte von OpenVPN erstellt.

Gruß

Chonta
Mitglied: H4rdQu0r3
H4rdQu0r3 20.04.2016 um 15:38:36 Uhr
Goto Top
Erstmal Danke für die Antwort...ich muss sagen, dass ich gerade leicht überfordert bin.

Also ich habe mir nun mal angeguckt wie ich den VPN Tunnel per AD Logins erstellen kann....das ist doch auch ein gängiges Modell, oder sehe ich da was falsch ?

Jedenfalls kann man anscheinend mithilfe des RADUIS Dienstes OpenVPN der AD zuordnen.

Soweit so gut, ich habe den RADIUS Dienst (hoffentlich richtig) konfiguriert und muss jetzt über eine GUI im Webbrowser arbeiten, welche mein VPN Adminserver angeblich zur Verfügung stellen soll...tut er aber nicht.

Ich habe mich durch 90% der Dokumente auf der offiziellen OpenVPN gelesen und finde aber nichts in der Richtung, also keinen genauen Befehl, welcher eine Administration per Webinterface erlaubt aber so richtig will das alles noch nicht.

any suggestions ? Ich bin vielleicht auch komplett auf dem Holzweg, also bitte nicht zu ernst nehmen....es geht hier auch nicht um ein existierendes Netzwerk, sondern um ein Projekt im Rahmen meiner Abschlussprüfung....
Mitglied: Chonta
Lösung Chonta 20.04.2016 um 15:48:46 Uhr
Goto Top
Also meine OpenVPN Konstrunkte waren immer einfach und Funktionell.

OpenVPN auf dem Server installiert. (meistens Linux) und nur die Normale Version nicht die Bezahlversion.
OpenVPN auf den Clients installiert

Zertifikate erstellt (entwerder über die skripte die OpenVPN mitliefert oder durch eine eigene CA)
Konfis geschrieben und alle Dateien an den Richtigen Ort geschoben.
Das Serverzertifikat ist Ohne Passwort, die Benutzerzertifikte haben alle ein Passwort.

Auf den Clients wird Openvpn instlalirt und die Clientconfig mit dem Benutzerzertifikat hinterlegt.
Der Client startet openvpn gibt das Zertifikatspasswort ein und ist verbunden.
Alles läuft und ist sicher.

Gruß

Chonta
Mitglied: H4rdQu0r3
H4rdQu0r3 20.04.2016 um 15:59:35 Uhr
Goto Top
Das ist wohl die einfachere Variante, ich weiss aber nicht wie ich diese in einem stetig wachsenden 200+ Mann betrieb rechtfertigen soll. Eine Automatisierte Möglichkeit wäre schon super.

Von mir aus muss er nicht für die gesamte Gruppe in der AD automatisch Zertifikate erstellen und signen...aber es sollten am besten wenige klicks sein, und nicht, wie schon erwähnt, 200 Namen und Passworte die per Hand eingetippt werden müssen....
Mitglied: Chonta
Chonta 20.04.2016 um 16:10:11 Uhr
Goto Top
200+ Mann betrieb rechtfertigen soll.
Nicht jeder der 200+ Mann braucht auch VPN Zugriff.
Mit Powershell Scripten kann man die Zeritifikate ggf auch schnell mit einem Script /geplanten Task erstellen lassen.
Das Script überprüft jeden Tag ob die Mitgleidschaften für eine AD Gruppe und nach deaktivierten Konten.
Alle aktiven Konten bekommen ein Zertifikat und alle anderen werden deaktiviert (crl Liste)

Ansonsten ist mir nicht bekannt wie man OpenVPN an Radius und AD kopelt.

Gruß

Chonta