none
VPN-Nutzer im RRAS feste IP zuweisen RRS feed

  • Allgemeine Diskussion

  • Hallo Leute,

    kann man einem Benutzer/Laptop, welches sich per VPN an einem W2012R2 anmeldet, der wiederum die VPN-IPs von einem DHCP-Server bezieht, eine feste IP zuweisen?

    Ich möchte, dass ein bestimmtes Laptop bei der VPN-Einwahl immer dieselbe feste IP bekommt und dies aber nicht auf dem Client in der VPN-Verbindung definieren, sondern am RAS-Server. Erkennung am Besten über Benutzername oder Hostname des einwählenden Laptops.


    Viele Grüße Dirk

    Dienstag, 2. Dezember 2014 14:42

Alle Antworten

  • Moin,

    über einen NPS (Network Policy Server) und entsprechende Richtlien lässt sich das umsetzen.

    http://blogs.msmvps.com/robwill/2009/11/15/static-ip-for-windows-vpn-client/


    This posting is provided AS IS with no warranties.

    Dienstag, 2. Dezember 2014 16:46
  • Danke Dir, das ist genau das, was ich gesucht habe.

    Weisst Du zufällig, ob das auch mit Computergruppen geht oder müssen es Usergruppen sein? Man kann auch im AD im Tab "Einwählen" für diesen User eine feste IP setzen. Was ist besser?


    Viele Grüße Dirk

    Mittwoch, 3. Dezember 2014 09:22
  • Du kannst auch eine NPS Richtlinie mit Benutzergruppen erstellen. Es geht auch beides, also Computer und Benutzer werden geprüft.

    Beim Design musst Du schauen, was Deine Anforderungen am besten erfüllt.

    .

    Steht in Artikel ganz am Anfang:

    > On occasion there is a need to assign a VPN client a static IP. In active directory under the Dial-in tab of a user’s profile there is an option to “Assign a Static IP Address”, but this only applies to true dial-in clients

    'true dial in clients' meint hier wirklich direkte Einwahlverbindungen mit Modem Bank usw. Es gab auch schon WAN-Kommunikation vor dem Internet ;)


    This posting is provided AS IS with no warranties.

    Mittwoch, 3. Dezember 2014 19:19
  • Hmm,

    also ich habe jetzt im AD eine Computergruppe erzeugt und den Client dort zum Mitglied gemacht. Am Netzwerkrichtlinienserver habe ich eine Richtlinie für diese Gruppe erzeugt und unter Einstellungen -> IP-Einstellungen beim Punkt "Statische IPv4-Adresse zuweisen" eine statische IP eingetragen.

    ?? Was passiert an der Stelle, wenn in der Gruppe mehrere PCs sind, die sich zeitgleich einwählen? Die müssten ja dann dieselbe Statische IP bekommen ??

    Wenn ich den Konfigdialog mit OK verlasse und wieder reingehe, dann sthet dort in der Zeile mit der IP plötzlich: -1062731430

    Normal? Sonderbar!

    Und: der Client bekommt bei der Einwahl die gestzte IP-Adresse leider nicht, sondern einen aus dem normalen Pool.
    Der VPN-Server ist ein 2012R2.

    Hast Du eine Idee, was ich falsch mache?

     


    Viele Grüße Dirk

    Freitag, 5. Dezember 2014 14:53
  • So, weist man den Benutzer einer Benutzergruppe zu, dann funktioniert es. Macht man das Ganze aber mit Computergruppen, dann funktioniert es nicht.

    Insofern muss ich die Frage nochmal öffnen: Ich möchte, dass bestimmte Computer - unabhängig davon wer sich dort anmeldet - eine feste IP bekommt.

    Wie kann ich das für Computergruppen hinbekommen?


    Es funktioniert übrigens auch über den AD-Reiter "Einwählen" ohne NPS auch (!) bei VPN, nicht bei reinem dial-in!. Hier allerdings auch wieder nur auf User-Ebene, nicht auf Computer-Ebene.


    Viele Grüße Dirk

    Dienstag, 9. Dezember 2014 13:43
  • Moin,

    > Was passiert an der Stelle, wenn in der Gruppe mehrere PCs sind, die sich zeitgleich einwählen? Die müssten ja dann dieselbe Statische IP bekommen

    Bei diesem Verfahren ist nur ein 1:1 Mapping von Client zu Computergruppe sinnvoll möglich. Das Verfahren ist nur für wenige Sonder-/Einzelfälle ausgelegt.

    Bei größerem Bedarf an granularen Zugriffsregeln müsste man den Gesamtkontext kennen und ein geeignetes Konzept entwickeln. VPN Policies alleine sind nur ein Baustein, jedoch kein Allheilmittel.

    > Wenn ich den Konfigdialog mit OK verlasse und wieder reingehe, dann sthet dort in der Zeile mit der IP plötzlich: -1062731430

    so ist es, warum auch immer

    > Und: der Client bekommt bei der Einwahl die gestzte IP-Adresse leider nicht, sondern einen aus dem normalen Pool.

    Der NPS arbeitet nach dem First-Match-Prinzip. Das bedeutet, die erste Regel, die zutrifft wird angewendet. I.d.R. sollten spezifische Regeln am Anfang und allgemeine Regeln am Ende der Verarbeitungsreihenfolge stehen.

    Im NPS Protokoll solltest sehen, welche Regel für die Verbindung angewendet wurde.


    This posting is provided AS IS with no warranties.

    Mittwoch, 10. Dezember 2014 09:39
  • Hi Dark,

    danke für Diene Antwort.

    Die entsprechende Regel ist die Erste (von zwei). Wenn ich dort eine Usergruppe nehme, geht's, wenn ich in derselben Regel die Usergruppe durch eine Computergruppe ersetze, dann nicht. Exakt selbes Verhalten, wenn ich im AD beim Benutzerobjekt unter "Einwählen" eine feste IP vergebe (und die NPS-Regel lösche). Beim Benutzerobjekt geht's, beim Computerobjekt nicht. Es sieht für mich so aus, als ob das Computerobjekt bei der Einwahl nicht (oder vielleicht erst später?) ausgewertet wird.

    Hattest Du das auch mal in einem Szenario oder kennst Du das so?


    Viele Grüße Dirk

    Mittwoch, 10. Dezember 2014 09:57
  • > sthet dort in der Zeile mit der IP plötzlich: -1062731430/
     
    Wenn ich raten muß: = 0xC0A8015A = 192.168.1.90
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 10. Dezember 2014 14:16
  • Perfekt Martin!

    Ich dachte, dass ein modernen OS wie 2012R2 sowas in Dezimalschreibweise darstellen kann...


    Viele Grüße Dirk

    Mittwoch, 10. Dezember 2014 14:20
  • > Ich dachte, dass ein modernen OS wie 2012R2 sowas in Dezimalschreibweise
    > darstellen kann...
     
    Na, dann informier Dich mal, was es für IPv4 alles für gültige
    Darstellungsweisen gibt :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 10. Dezember 2014 16:00
  • @Martin: Danke für die Aufklärung. Hatte mir so etwas gedacht, war aber zu faul zum nachhaken ;)

    @dirk:

    Wie wird die Verbindung hergestellt, Im Benutzer- oder im Computerkontext?

    Wenn Du eine Richtlinie auf Computerbasis anwenden möchtest, muss der initiale Verbindungsaufbau auch im Sicherheitskontext des Clients stattfinden.


    This posting is provided AS IS with no warranties.

    Mittwoch, 10. Dezember 2014 19:25
  • Hi Dark, danke, das würde passen. Kannst Du mich bitte aufklären, wie man eine VPN-Verbindung mit Bordmittel im Computer-Kontext herstellt? Ich höre das gerade zum ersten Mal...

    Viele Grüße Dirk

    Mittwoch, 10. Dezember 2014 19:36
  • Niemand eine Idee, wie sich ein VPN mit W2012R2-Bordmitteln im Computerkontext aufbauen lässt? Dark?

    Viele Grüße Dirk

    Donnerstag, 18. Dezember 2014 10:40
  • Für die Authentifizierung des Computerkontos bietet sich IKEv2 an.

    http://technet.microsoft.com/de-de/library/ff687731%28v=ws.10%29.aspx


    This posting is provided AS IS with no warranties.

    Donnerstag, 18. Dezember 2014 20:22