none
Windows 2008 R2 + Mikrotik VPN

    Dotaz

  • Dobrý večer,

    Hjustne mam problém :-) Ve firmě využíváme Windows Server 2008 R2 kde máme uživatele naříklad "Pavel", současně každý uživatel ma vlastní VPN, která ma taky login "Pavel", heslo ale do VPN a Windows není stejné. Zde je kámen urazu. Když se někdo připojit do VPN tak se Windows automaticky snaží timto jmenem a heslem rvát do serveru a zamkne si účet. Má to nějaké řešení, než že bude muset mít každý jiný login do VPN a jiný do Windows ? Z hlediska bezpečnosti chci aby VPN služba fungovala na Mikrotiku a měla jiné hesla.

    Diky

    An account failed to log on.

    Subject:
    Security ID: NULL SID
    Account Name: -
    Account Domain: -
    Logon ID: 0x0

    Logon Type: 3

    Account For Which Logon Failed:
    Security ID: NULL SID
    Account Name: Pavel
    Account Domain: Domain

    Failure Information:
    Failure Reason: Account locked out.
    Status: 0xc0000234
    Sub Status: 0x0

    Process Information:
    Caller Process ID: 0x0
    Caller Process Name: -

    Network Information:
    Workstation Name: PC
    Source Network Address: 192.168.3.1
    Source Port: 60544

    Detailed Authentication Information:
    Logon Process: NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0

    This event is generated when a logon request fails. It is generated on the computer where access was attempted.

    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

    The Process Information fields indicate which account and process on the system requested the logon.

    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

    The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.



    • Upravený Warcz 24. října 2013 18:18 Překlep
    24. října 2013 18:16

Odpovědi

  • Hmm... Me uchvacuje, ze by se mel ucet z VPNuctu na stanici pouzivat jeste k cemukoliv dalsimu.

     Jak jsem rekl: mam nekolik nadefinovanych VPN pripojeni, kazdy s jinymi credentials  a nikdy s tim nebyl problem. Rozhodne zadny proces ucet pro VPN nezna. Kde by k nemu prisel?

    Mozna by to chtelo nejaky network scanner (wireshark) a dopidit se, ktery proces to dela, o co se snazi.

    25. října 2013 13:59

Všechny reakce

  • Mne prijde lepsi používat stejna hesla. Muzete pridat jiny bezpecnostni prvek.

    M.

    24. října 2013 18:52
  • V Mikrotiku nejsou hesla šifrována. Když mi někdo prolomi Mikrotik tak hurá do Windows.
    24. října 2013 19:06
  • Me spis prekvapuje, proc se Windows snazi o automaticke pripojeni k VPN.

    Na svem stroji mam cca 20 VPN pripojeni ruznych typu k zakaznikum a neni zadny problem. VPN "vytacim" kdyz je potreba. Pri vytvareni VPN pripojeni se definuje jmeno/heslo, rozhodne se nemusi pouzivat domenovy ucet.

    Jaky je to typ VPN?  PPTP, L2TP, IPSEC?

    24. října 2013 19:43
  • Nevim jestli jsem to špatně nepopsal.

    1) Vytočím VPN Login Pavel heslo 12345

    2) Pokusím se oteřít Windows server 2008 a on hlasi že vkladane už jméno a heslo je špatné, tedy Windows se snaží použít jmeno a heslo od VPN do Windows. uživatel ve Windows je taktéž Pavel a je součástí domény.

    25. října 2013 5:21
  • Zdravím,

    jak zde již padlo, hesla v MKT jsou nešifrované, to mi moc bezpečné nepřijde a výkonově někdy pokulhává při více připojeních... A když na to koukám PPTP je zlo, v dnešní době bych to raději nepoužíval... 

    Podobný problém jsem řešil také, po týdnu pokusů jsem rezignoval a udělal si OpenVPN na serveru ověřované vůči AD a vše šlape jak hodinky a je to mnohem bezpečnější jak PPTP... :)

    25. října 2013 7:12
  • Klidně tam nasadím něco jiného, ale mam nějaké podmínky. 

    1) Jiné heslo do VPN než do Windows

    2) Windows server není dostupný na žádném portu z venku

    Obecně když mam RB1100AHx2 tak mi přijde škoda dávat VPN někam jinam. Myslíte, že když použiji na VPN jiný protokol než PPTP tak to nebude zlobit ?

    25. října 2013 8:45
  • To TomasP:

    PPTP je zlo :) PPTP neni pekklo, jen to neni uplne nejbezpecnejsi technologie. Ale ve svem okoli neznam NIKOHO, kdo by na PPTP VPN dojel = nekdo ji napadnul/hacknul/apod.  Prijde mi to stejna debata, jako ze SHA2 je lepsi nez SHA1 v certifikatech, protoze SHA1 je napadnutelne. Je, ale velmi specifickych podminek, ktere obvykle nenastanou. To jen tak mimo hlavni tema.

    to Warcz:

    Trochu uz se orientuji. A ted dotaz: co znamena pokusim se otevrit Windows server? Sdileni? RDP?

    25. října 2013 8:48
  • potom to v Logach hlasi chybu připojení ( Logon Type: 3 ) a pořad dokola to zkouší.

    25. října 2013 9:48
  • Na me to pusobi tak, ze na vine neni VPN.

    Ze mate ve svem PC nejaky proces, ktery se snazi k serveru autentikovat lokalnim uctem. Ta stanice, ze ktere se pripojujete predpokladam neni v domene.

    Nebo pro forma muzete skusit pripojit VPNku jinym uctem nez Pavel. Tj VPN na Petr, k serveru Pavel. Chova se stejne, lepe?

    25. října 2013 13:30
  • Počítače jsou i nejsou v doméně. Většina zaměstnanců je má. Nejvíce problému dělal kolega s Windows 8 toho to zamklo snad při každém přihlášení. Ostatní mají Windows 7

    Když vytvořím účet VPNPavel tak to funguje, ale na Windows serveru jsou pořád neplatné přihlášení nicméně na učet VPNPavel, který zde neexistuje, takže už nedojde k uzamčení učtu Pavel pro mnoho neúspěšných pokusu. Je to řešení, ale snažím se najít něco efektivnějšího, abych neměl tak nekonečné logy o neúspěšném přihlášení.

    25. října 2013 13:53
  • Hmm... Me uchvacuje, ze by se mel ucet z VPNuctu na stanici pouzivat jeste k cemukoliv dalsimu.

     Jak jsem rekl: mam nekolik nadefinovanych VPN pripojeni, kazdy s jinymi credentials  a nikdy s tim nebyl problem. Rozhodne zadny proces ucet pro VPN nezna. Kde by k nemu prisel?

    Mozna by to chtelo nejaky network scanner (wireshark) a dopidit se, ktery proces to dela, o co se snazi.

    25. října 2013 13:59
  • Klidně tam Wireshark pustím, ale dozvím se něco ? vezmu NB, pustím Wireshark, spojím VPN a budu sledovat spojení na server. Předpokladám, že to je nějaký šifrovaný přenos a budu zase v haji... Mužu pustit sledovani sitě i za Mikrotikem, ale nevím co hledat.
    25. října 2013 14:20
  • Pustim-li Wireshark na stanici, ktera je pripojena VPNkou a nemam vedome spustenou zadnou komunikaci se serverem, nemely by na nej jit zadne pakety. Pokud tedy neni server zxaroven DNS apod. Ale to lze odfiltrovat.

    Pokud nejdou zadne takove pakety a presto na serveru pribyvaji LOGON eventy, pak za to muze Mikrotik, ktery je treba spatne nakonfigurovan.


    25. října 2013 14:52
  • S ničím podobným jsem se taky nesetkal, zatím se Win vždy chtěly připojit údaji z účtu uživatele. Jen mě napadá, jestli v počítači není nějaký aktivní správce hesel.
    25. října 2013 17:42
  • Teorie dobrá, zkusím vyzkoušet. On ten PC si bude na ten server šahat, protože tam má namapované síťové disky...
    25. října 2013 21:10
  • @Miroslav: pravda, též neznám nikoho, ale proč riskovat :)

    Jak jsem psal, to samé mi dělal VPN na Synology NASce, do serveru se sice ověřil, ale výpis složek na disku trval dlouho a vůbec nešlo kopírovat soubory, ale RDP šlapalo... na příčinu jsem nepřišel, nebyl čas ji hledat :(

    Jinak bych zkusil i jinou technologii VPN a jak píšete, odpojit sitove disky atd. případně otestovat z čistého PC (osobně na testy používám virtuály s různými OS) 

    25. října 2013 22:00
  • Začínám to zkoušet a zajalo mě že várka neúspěšných připojení je vždy na ruzných portech:

    1. Source Port: 53078

    2. Source Port: 53079

    3. Source Port: 53080

    4. Source Port: 53081

    5. Source Port: 53082

    6. Source Port: 53083

    Pokusy jsou co pul minuty: 15:32:36, 15:32:06, 15:31:36, 15:31:06


    • Upravený Warcz 26. října 2013 13:40 Font přes chrome
    26. října 2013 13:35
  • Takže co jsem vypozoroval.

    mam NB v doméně. Kde se přihlásím uživatelem Domena/Petr

    Následně vytočím VPN "Pavel"

    Zadám \\192.168.2.230

    a PC mi ukáže toto:

    Navic ještě než se mě zeptá tak to zkusí:

    26. října 2013 15:16
  • Ahoj,

    U klienta v souboru RASPHONE.BKP (%userprofile%\AppData\Roaming\Microsoft\Network\Connections\) najdi danou VPN a zmen radek UseRasCredentials na 0.

    MW.

    29. října 2013 6:41
  • Je nějaká šance to udělat i pomocí doménových politik ?
    30. října 2013 5:34
  • Scriptem ano. Politikou tezko.

    30. října 2013 7:17