VPN und Active Directory

[jb_alvarado]

Hallo Allerseits,
wir verwenden schon länger openVPN bei uns, allerdings bis jetzt nur für Dateitransfer, Administration und Steuerung von lokalen Web Apps.

Jetzt würde ich allerdings gerne einige Client PCs über VPN mit der Active Directory verbinden. Ich bräuchte das, damit über Remote AD User Zugriff bekommen auf diverse Buchhaltungsdienste. Falls möglich hätte ich die Remote User auch gerne im gleichen Subnet (geht das?).

Für openVPN gibt es ein LDAP Paket, womit man VPN mit der AD verbinden kann, allerdings scheint das dann über Benutzer/Passwort Authentifizierung zu sein, und das würde ich gerne vermeiden wollen.

Ich könnte mir auch vorstellen Wireguard in eine VM zu installieren, das kann wohl auch in die AD eingebunden werden, habe dazu aber noch keine Anleitung gefunden. Wisst ihr ob man mit Wireguard eine Schlüssel Authentifizierung realisieren und zusätzlich den Client in der AD anmelden kann?

Würde mich freuen wenn ihr mir eure Erfahrungen und Ideen mitteilen würdet!

Grüße
Jonathan

 

[konkretor]

Hi Jonathan,

bei Wireguard hast halt das Problem das die Clients Admin sein müssen da du sonst keine Verbindung aufbauen kannst. Also fällt das schon mal raus.


OpenVPN könntest auch per Radius an privacyidea anbinden und somit einen zweiten Faktor zu etablieren.

Linux OSS Lösung

SSL VPN mit OCSERV

Als Alternative kannst du ocserv verwenden mit Radius kannst du einen zweiten Faktor anbinden als Beispiel
https://github.com/privacyidea/privacyidea


https://www.linuxbabe.com/ubuntu/openconnect-vpn-server-ocserv-ubuntu-20-04-lets-encrypt

OCSERV da kannst du den Cisco AnyConnect Client verwenden(Achtung Lizenz Produkt) oder OpenConnect Client,

SSL VPN mit Softether und integrietem Windows VPN SSTP

Du kannst auch https://www.softether.org/ verwenden und dort SSTP Verwenden und dort auch wieder über Radius an privacyidea anbinden für 2FA.

Mikrotik Lösung mit Windows VPN SSTP


Du kannst auch Mikrotik als Hardware/Software kaufen und dann dort auch SSTP VPN mit Zertifikaten machen. Die Zertifikate mußt halt von Hand auf die Kisten dann bringen.

https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/


Windows Server Lösung

Ansonsten kannst du auch mit einem Windows Server 2019 den du dann ins Internet stellst folgendes tun

SSTP VPN Einwahl mit Zertifikaten

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Always on VPN nutzen. Dazu brauchst du aber eine funktionierende PKI und noch etwas mehr.

https://docs.microsoft.com/de-de/wi...vpn/always-on-vpn/deploy/always-on-vpn-deploy

Dann brauchen die Mitarbeiter keine VPN Einwahl etc, da sich die Geräte verhalten wie sie im LAN wären. Achtung der Aufwand ist bei der letzten Lösung nicht zu unterschätzen. Von den erforderlichen Lizenzen ganz zu schweigen.




Du schreibst nix über deine verwendete Firewall.

 

[Tamron]

Habt ihr keine HW Firewall hinter eurem WAN?

 

[jb_alvarado]

Danke für deine ausführliche Liste @konkretor ! Da habe ich erst mal was zum stöbern. Zu Wireguard noch mal kurz: Das kann doch als Dienst ausgeführt werden, müsste dass dann nicht auch für normale User funktionieren? Hier wird ja auch explizit auf die Verwendung mit AD Bezug genommen: https://github.com/WireGuard/wireguard-windows/blob/master/docs/enterprise.md

Wir verwenden eine Linux Firewall.

Wir sind zwar ein gemeinnütziger Verein, wodurch wir recht günstig Windows Server Lizenzen bekommen, aber ich schätze meine Windows Server-Kenntnisse jetzt nicht so gut ein, dass ich mich ohne weiteres trauen würde einen Windows Server direkt mit dem Internet zu verbinden.

 

[konkretor]

So etwas ähnliches habe ich auch gefunden zu Wireguard

https://superuser.com/questions/148...ows-10-as-non-administrator-ui-is-only-access

Das war aber nicht so toll also für einen großen Rollout eher nicht so gut. Da müßtest ja für jeden Benutzer eine eigene Conf als Dienst installieren und verwalten. Für alle Benutzer die selben Daten zu verwenden ist jetzt nicht wirklich gut.

Das mit dem Wireguard Dienst muss ich mir gerade mal selber anschauen ob das so klappt wie beschrieben.


https://pritunl.com/ kann OpenVPN und Wireguard ist aber nur nutzbar finde ich in der Enterprise Version was dich mindestens 600 $ im Jahr kostet.


Dann gäbe es noch Tailscale die auf Wireguard aufbauen aber eine Lösung oben drauf gebaut haben das ist aber nicht ganz billig.

https://tailscale.com/

 

[jb_alvarado]

Das war aber nicht so toll also für einen großen Rollout eher nicht so gut. Da müßtest ja für jeden Benutzer eine eigene Conf als Dienst installieren und verwalten. Für alle Benutzer die selben Daten zu verwenden ist jetzt nicht wirklich gut.

Wäre nicht so schlimm, es würde sich nur um maximal 3 Arbeitsplätze handeln. Ist also überschaubar .

Habe mir auch das verlinkte Video angeschaut. Das Zertifikat was dort erstellt wurde, ist aber nicht zur Authentifizierung, sondern nur für den Tunnel, oder?
Könnte man das auch auf einer extra Installation problemlos einrichten und nicht auf der gleichen, wo auch die AD drauf läuft?

 

[konkretor]

Wenn es nur 3 Arbeitsplätze sind dann nimm die schnellste Lösung und installier dir Wireguard auf ner Linux Kiste mit Kernel 5.4 oder höher damit der Support schon direkt drin ist. Es macht doch wenig sinn Stunden in ein Produkt zu versenken das du nicht kennst.

Deine VM wo das drauf läuft sollte halt in einer DMZ oder etwas ähnlichem sein.

Dann gehst du hin und aktivierst das Routing auf der Linux Kiste

sysctl net.ipv4.ip_forward=1

Dann noch schauen ob das aktiv ist

vim /etc/iptables/rules.v4

# -A POSTROUTING -o ens160 -j MASQUERADE

Sonst werden alle IP Pakete von den Clients in die des Wireguard Servers umgeschrieben. Das ist halt etwas unschön da du hier dann nicht mehr einzeln filtern kann, wer wo hin darf.

Dann brauchst du auf deinem Linux Router noch eine statische Route zum Wireguard Server anlegen.

Fertig ist die Laube



Als Alternative kannst du dir auch dieses Produkt mal gerne anschauen

https://www.cybelesoft.com/thinfinity/remote-desktop/server/editions/


Dazu gibt es auch eine OOS Lösung

https://guacamole.apache.org/

 

[morcego]

Würde mich freuen wenn ihr mir eure Erfahrungen und Ideen mitteilen würdet!

Also ich täte die betreffenden 3 Rechner mal als Firmengerät definieren und dann sind die ohnehin ein Computer der Domäne. Ab dann ist es relativ egal ob man OpenVPN, den Router oder Windows VPN Dienst verwendet. Der Nutzer wählt sich am Rechner in den VPN ein, und ab dann ist der Domänencomputer so nah als wär man da.

 

[jb_alvarado]

Also mit Wireguard ging es tatsächlich sehr einfach, das hätte ich nicht gedacht. Einmal eingerichtet, installiert sich das Teil als Systemdienst und startet vor der Anmeldung. Somit ging das Anmelden in die Domain auch auf Anhieb.

Jetzt wäre nur noch schön, wenn Glasfaser verfügbar wäre ... Aber ich denke für einfache Büroarbeit sollte es ausreichen.

guacamole ist auch cool! Hatte ich vor ein paar Jahren mal installiert, aber nie so recht gebraucht. Mein Gedanke beim direkt anbinden an die AD war, dass das etwas performanter ist, als Remotedesktop. Da ist ja alles lokal installiert, und es werden eigentlich nur Datenbankanfragen gemacht. Schätze das die etwas schneller sind, als permanent einen Bildschirm zu übertragen. Aber das wird erst die Erfahrung zeigen.