OpenVPN auf Windows mit AD Userlogin
Hallo,
ich habe mal eine Frage zum Thema OpenVPN.
Ich habe hier einen DC, DNS, DHCP, Exchange, Terminal und Fileserver in meinem C-Netz. (2 Server mit jeweils einer VM)
jetzt möchte ich mich per OpenVPN in das Netz einwählen.
Habe mir mal die Configfiles von OVPN angeguckt und verstehe nicht ganz, wie ich die Configfile umschreiben muss, damit für Domänennutzer standardmäßig ein Schlüsselpaar und ein Login erstellt wird....
Klar kann ich das per Hand eintippen...aber bei 200 Usern ist die Sehnenscheidenentzündung vorprogrammiert *g*
Hier mal meine Configfile, sollte euch noch was anderes auffallen, bitte gerne melden. (ich hab btw keine Subnetze drin)
Gruß,
H4rd
port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh dh1024.pem
server 192.168.2.1 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
push "dhcp-option DNS 192.168.2.1"
keepalive 10 120
tls-auth ta.key 0
cipher AES-128-CBC # AES
;max-clients 200
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
;mute 20
ich habe mal eine Frage zum Thema OpenVPN.
Ich habe hier einen DC, DNS, DHCP, Exchange, Terminal und Fileserver in meinem C-Netz. (2 Server mit jeweils einer VM)
jetzt möchte ich mich per OpenVPN in das Netz einwählen.
Habe mir mal die Configfiles von OVPN angeguckt und verstehe nicht ganz, wie ich die Configfile umschreiben muss, damit für Domänennutzer standardmäßig ein Schlüsselpaar und ein Login erstellt wird....
Klar kann ich das per Hand eintippen...aber bei 200 Usern ist die Sehnenscheidenentzündung vorprogrammiert *g*
Hier mal meine Configfile, sollte euch noch was anderes auffallen, bitte gerne melden. (ich hab btw keine Subnetze drin)
Gruß,
H4rd
port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh dh1024.pem
server 192.168.2.1 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
push "dhcp-option DNS 192.168.2.1"
keepalive 10 120
tls-auth ta.key 0
cipher AES-128-CBC # AES
;max-clients 200
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
;mute 20
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 302366
Url: https://administrator.de/contentid/302366
Ausgedruckt am: 29.03.2024 um 11:03 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
OpenVPN ist kein im AD integrierter Dienst. Vor einem Login mit Benutzernamen und Password rate ich zwingend ab.
Der Login solle für Benutzer nur mit Zertifikat machbar sein und die erstellst Du für jeden Benutzer der das können soll MANUEL und BEVOR er sich einlgen soll selber und gibst ihm dan alles was er braucht.
Die Zertifikate werden von der durch eine eigene CA oder durch die Scripte von OpenVPN erstellt.
Gruß
Chonta
wie ich die Configfile umschreiben muss, damit für Domänennutzer standardmäßig ein Schlüsselpaar und ein Login erstellt wird
Genau....OpenVPN ist kein im AD integrierter Dienst. Vor einem Login mit Benutzernamen und Password rate ich zwingend ab.
Der Login solle für Benutzer nur mit Zertifikat machbar sein und die erstellst Du für jeden Benutzer der das können soll MANUEL und BEVOR er sich einlgen soll selber und gibst ihm dan alles was er braucht.
Die Zertifikate werden von der durch eine eigene CA oder durch die Scripte von OpenVPN erstellt.
Gruß
Chonta
Also meine OpenVPN Konstrunkte waren immer einfach und Funktionell.
OpenVPN auf dem Server installiert. (meistens Linux) und nur die Normale Version nicht die Bezahlversion.
OpenVPN auf den Clients installiert
Zertifikate erstellt (entwerder über die skripte die OpenVPN mitliefert oder durch eine eigene CA)
Konfis geschrieben und alle Dateien an den Richtigen Ort geschoben.
Das Serverzertifikat ist Ohne Passwort, die Benutzerzertifikte haben alle ein Passwort.
Auf den Clients wird Openvpn instlalirt und die Clientconfig mit dem Benutzerzertifikat hinterlegt.
Der Client startet openvpn gibt das Zertifikatspasswort ein und ist verbunden.
Alles läuft und ist sicher.
Gruß
Chonta
OpenVPN auf dem Server installiert. (meistens Linux) und nur die Normale Version nicht die Bezahlversion.
OpenVPN auf den Clients installiert
Zertifikate erstellt (entwerder über die skripte die OpenVPN mitliefert oder durch eine eigene CA)
Konfis geschrieben und alle Dateien an den Richtigen Ort geschoben.
Das Serverzertifikat ist Ohne Passwort, die Benutzerzertifikte haben alle ein Passwort.
Auf den Clients wird Openvpn instlalirt und die Clientconfig mit dem Benutzerzertifikat hinterlegt.
Der Client startet openvpn gibt das Zertifikatspasswort ein und ist verbunden.
Alles läuft und ist sicher.
Gruß
Chonta
200+ Mann betrieb rechtfertigen soll.
Nicht jeder der 200+ Mann braucht auch VPN Zugriff.Mit Powershell Scripten kann man die Zeritifikate ggf auch schnell mit einem Script /geplanten Task erstellen lassen.
Das Script überprüft jeden Tag ob die Mitgleidschaften für eine AD Gruppe und nach deaktivierten Konten.
Alle aktiven Konten bekommen ein Zertifikat und alle anderen werden deaktiviert (crl Liste)
Ansonsten ist mir nicht bekannt wie man OpenVPN an Radius und AD kopelt.
Gruß
Chonta