none
Windows Server & 7 - VPN

    Dotaz

  • Zdravím vás všechny.

    Delší dobou přemýšlím nad myšlenkou, jak spravovat notebooky, které v organizaci máme a napadla mě jedna myšlenka, u níž vůbec netuším, jestli se dá realizovat. Doufám, že vy byste mohli vědět a mohli byste mě "nakopnout" tím správným směrem.

     

    Rád bych udělal přihlašování do naší interní sítě z venku pomocí VPN. Ale to tak, že pokud by se notebook připojil k nějaké Wifi nebo k drátové síti, aby se automaticky připojil k nakonfigurované VPN, natáhl si adresy DNS z VPN a uživatelé by se mohli normálně přihlásit svým doménovým účtem a pracovat se svými daty, jako by byli uvnitř organizace...

    Chtěl bych to realizovat tak, že uživatel si přinese NB domů, kde má jen Wifi. Tam se přihlásí lokálním účtem v notebooku, aby se vůbec k wifi připojil. Jakmile toto udělá, tak bych byl rád, aby se NB připojil automaticky ihned po startu OS, připojil se k VPN a fungoval tak, jako by byl připojený na Wifi nebo ethernet přímo v budově... Je možné toho nějak docílit pomocí Windows 7 a Windows Server 2008 R2 ??? Vůbec nejlepší by bylo, kdyby se k té drátové síti nebo Wifi síti mohl uživatel doma připojit, aniž by v PC musel existovat lokální účet, ze kterého by se provedlo manuální připojení.

     

    Díky moc všem za rady

    4. října 2011 21:25

Odpovědi

  • Ahoj,

    přesně na tohle tu máme Direct Access. Bohužel se obávám, že je to dost složité na implementaci..ale jakmile to zaimplementuješ tak už jsi v pohodě :) a je to velmi funkční... více info na TechNET blogu - byl tam o tom i seriál..

    Další možností je použít OpenVPN které dokáže běžet jako služba - tam pak nic neřešíš a ono samo se to připojuje, reconnectuje, atd..

    Klasické VPN na to myslím použít nejde - IKEv2 myslím nedokáže bežet nezávisle...

    4. října 2011 22:41
  • No ja bych rekl, ze klasicka VPN by to resit mohla. Nebude to sice automaticke, ale pokud uzivatel zvoli moznost prihlasit se pomoci VPN (v XP se to jmenovalo tusim "Telefonicke pripojeni k siti"), pak by mohlo byt docileno kyzeneho stavu. Pokud bude nutne napriklad autentizace k lokalni WiFi, pak nejprve prihlaseni domenovym uctem pomoc "cached credentials", pripojeni k WiFi a pote VPNka . . .

    Vyse uvedene samozrejme plati za predpokaldu, ze automatizace procesu neni neprekecitelnou podminkou.


    BB
    5. října 2011 6:16
  • 1. Moznosti, ktere dava Windows 2008 R2 a Windows 7 z hlediska VPN jsou popsane take v knize, ktera je volne dostupna na dowloadu MS pod jmenem windows_server_2008_r2_e-book.pdf

    2. Video, ktere ukazuje konfiguraci DirectAccess je zde  http://technet.microsoft.com/en-us/edge/Video/ff710879

    3. Reseni problemu s DirectAccess http://www.microsoft.com/download/en/details.aspx?id=23801

    4. Prehledy a navody

    http://www.microsoft.com/download/en/details.aspx?id=17039

    http://technet.microsoft.com/en-us/network/dd420463.aspx



    5. října 2011 7:48
    Moderátor
  • kdyžtak bych se přidal k disputaci s nějakými názory:

    a) OpenVPN? proč? čistě kvůli tomu, že se to umí nahazovat nějak automaticky? zažil jsem miliony problémů s různými cizími VPNkami typu OpenVPN a Cisco a vřele doporučuju MS zabudovaného klienta

    b) na Windows 7 a Windows 2008 se dá udělat SSTP, což je TCP 443 VPNka ověřovaná taky certifikáty a průchozí dokonale. jen to opravdu neumí "automatické nahazování"

    c) proč vůbec potřebujete "automatické nahazování"? samozřejmě by bylo super to mít, ale předpokládám, že OpenVPN je také "connection oriented" VPNka podobně jako SSTP a PPTP. Tudíž přes to stejně doménové komunikace typu sdílené soubory, Group Policy, WMI, DCOM apod. pojedou děsivě (pokud vůbec), speciálně v situacích ADSL/WiFi/mobil. Pokud chcete něco alespoň trošku plynulejšího, potřebujete něco nad IPSec, jako je L2TP například.

    d) co přesně chcete na klientech "dělat vzdáleně"?

    ondra.

     

    6. října 2011 19:17

Všechny reakce

  • Ahoj,

    přesně na tohle tu máme Direct Access. Bohužel se obávám, že je to dost složité na implementaci..ale jakmile to zaimplementuješ tak už jsi v pohodě :) a je to velmi funkční... více info na TechNET blogu - byl tam o tom i seriál..

    Další možností je použít OpenVPN které dokáže běžet jako služba - tam pak nic neřešíš a ono samo se to připojuje, reconnectuje, atd..

    Klasické VPN na to myslím použít nejde - IKEv2 myslím nedokáže bežet nezávisle...

    4. října 2011 22:41
  • No ja bych rekl, ze klasicka VPN by to resit mohla. Nebude to sice automaticke, ale pokud uzivatel zvoli moznost prihlasit se pomoci VPN (v XP se to jmenovalo tusim "Telefonicke pripojeni k siti"), pak by mohlo byt docileno kyzeneho stavu. Pokud bude nutne napriklad autentizace k lokalni WiFi, pak nejprve prihlaseni domenovym uctem pomoc "cached credentials", pripojeni k WiFi a pote VPNka . . .

    Vyse uvedene samozrejme plati za predpokaldu, ze automatizace procesu neni neprekecitelnou podminkou.


    BB
    5. října 2011 6:16
  • 1. Moznosti, ktere dava Windows 2008 R2 a Windows 7 z hlediska VPN jsou popsane take v knize, ktera je volne dostupna na dowloadu MS pod jmenem windows_server_2008_r2_e-book.pdf

    2. Video, ktere ukazuje konfiguraci DirectAccess je zde  http://technet.microsoft.com/en-us/edge/Video/ff710879

    3. Reseni problemu s DirectAccess http://www.microsoft.com/download/en/details.aspx?id=23801

    4. Prehledy a navody

    http://www.microsoft.com/download/en/details.aspx?id=17039

    http://technet.microsoft.com/en-us/network/dd420463.aspx



    5. října 2011 7:48
    Moderátor
  • NEKTERE (napr. Intel) WiFi drivery maji moznost pre-logon wifi autentikace po instalaci celeho olbrimiho baliku (nejen driveru ale i proset ci jak se ten moloch jmenuje)

     

    MP

    5. října 2011 8:00
    Moderátor
  • Díky za info.

     

    Direct Access bohužel použít nemůžu, protože mi nevyhovuje hned první požadavek -> aby měl server 2 NIC s tím, že by dělal bránu do internetu... Na to mám Linux, kde běží další služby, vč. monitoringu přes Nagios.

     

    Docela se mi líbí ta implementace OpenVPN. To se dá udělat model klient - server, přičemž na notebooky bych nainstaloval OpenVPN jako službu, která by automaticky dělala tunel do organizace a na linuxu nebo WS bych hodil OpenVPN server, který by ty notebooky ověřoval ??

    S OpenVPN jsem to totiž takhle podobně zkoušel, ale klient OpenVPN mi nestartoval ihned po bootu systému.

     

     

    Bohdan: Tohle by mi celkem vyhovovalo a plně by to taky stačilo. Přihlášení buď pomocí kešnutého účtu nebo lokálně k notebooku, připojení k wifi, odhlášení a přihlášení do sítě v organizaci. Jen nevím, jak toho ve Windows 7 docílit.

    5. října 2011 11:51
  • Vypada to na to, ze z hlediska Windows neni co resit. Doporucuji vam forum OpenVPN, ktere najdete zde 

    http://forums.openvpn.net/

    Start clienta W XP

     http://forums.untangle.com/tip-day/3645-making-openvpn-client-connection-startup-windows-xp.html

    Problem s W 7 je reseny zde 

    https://community.openvpn.net/openvpn/ticket/71

    5. října 2011 14:16
    Moderátor
  • OpenVPN je nyní velmi stabilní platforma. Ověřuješ pomocí certifikátů, což je IMHO dost bezpečné. Navíc nejseš limitovaný porty - jednoduše nastavíš OpenVPN aby používalo TCP 443 a jsi v pohodě a uživatel se připojí kdekoli.

    To co píše BB je vlastně obyčejná VPN - tedy jednoduše třeba bude mít uživatel na ploše zástupce, dvakrát na něj poklepe, připojí se to a je hotovo...

    6. října 2011 16:46
  • kdyžtak bych se přidal k disputaci s nějakými názory:

    a) OpenVPN? proč? čistě kvůli tomu, že se to umí nahazovat nějak automaticky? zažil jsem miliony problémů s různými cizími VPNkami typu OpenVPN a Cisco a vřele doporučuju MS zabudovaného klienta

    b) na Windows 7 a Windows 2008 se dá udělat SSTP, což je TCP 443 VPNka ověřovaná taky certifikáty a průchozí dokonale. jen to opravdu neumí "automatické nahazování"

    c) proč vůbec potřebujete "automatické nahazování"? samozřejmě by bylo super to mít, ale předpokládám, že OpenVPN je také "connection oriented" VPNka podobně jako SSTP a PPTP. Tudíž přes to stejně doménové komunikace typu sdílené soubory, Group Policy, WMI, DCOM apod. pojedou děsivě (pokud vůbec), speciálně v situacích ADSL/WiFi/mobil. Pokud chcete něco alespoň trošku plynulejšího, potřebujete něco nad IPSec, jako je L2TP například.

    d) co přesně chcete na klientech "dělat vzdáleně"?

    ondra.

     

    6. října 2011 19:17
  • Ja mam trochu opacny problem mam Windows 2008 SBS a Mikrotik GW s VPN PPTP a resim jak udelat aby se server spojil s mikrotikem (automaticky) drive jsem to delal mezi dvouma Windows 2003 servery pres Směrování a vzdálený přístup ovsem u SBS tam nemam na vyber PPTP u Windows 2011 SBS ano (sice nefunguje ,ale to je asi otazkou konfigurace). 

    Jak tedy spojit Windows 2008 SBS VPN Klient  s Stanice VPN Server (je ted jedno jestli je to druhy SBS,Mikrotik,Zyxel atd...) aby se spojeni provedlo automaticky a trvale (vytoceni funguje ,ale padne u remote apps atd..)

    7. října 2011 0:36
  • Po ciste instalci OpenVPN je sluzba OpenVPN nastavena na spousteni rucne.

    Pokud ve sluzbach nastaveni rucne zmenis na automaticky, bude se spoustet automaticky po startu pocitace.

     


    JCH
    7. října 2011 4:54