61
German - Deutsch / Re: "Wireguard für alle" ... per OPNSense realisierbar?
« on: February 22, 2021, 04:48:16 pm »
Hallo pmhause,
nein, kein Xauth. Als Authentication method in Phase 1 wird "EAP-Radius" verwendet. Als Radius Server habe ich FreedRadius installiert. Dieser leitet Anfragen für die Windows Firmen-Domain an den Windows NPS Radius Server weiter. Dieser wiederum meldet mit dem User Zertifikat den Benutzer am AD an. Und wie ich bereits geschrieben habe, diese Konfiguriation hat auch funktioniert, als ich als VPN WireGuard verwendet habe.
Sobald die WireGuard VPN Verbindung steht, wird die Anmeldung nicht mehr über den Radius Server vorgenommen. Vielmehr meldet sich der Windows Client über die bestehende VPN Verbindung am AD Directory an. Dies geschieht vollkommen transparent sobald ein Windows Dienst verwendet wird. Hierzu muss in Windows unter Systemsteuerung -> Windows Anmeldeinformtionen das User Zertifikat für die Domain eingetragen werden. Einzig MS Outlook machte Probleme - konnte zwar eine Verbindung zum Exchange Server aufbauen, verlangte aber immer wieder ein Benutzeranmeldung. Wenn man mit Benutzer/Passwort arbeitet ist dies auch kein Problem, da man die Anmeldedaten auf dem Client speichern kann.
nein, kein Xauth. Als Authentication method in Phase 1 wird "EAP-Radius" verwendet. Als Radius Server habe ich FreedRadius installiert. Dieser leitet Anfragen für die Windows Firmen-Domain an den Windows NPS Radius Server weiter. Dieser wiederum meldet mit dem User Zertifikat den Benutzer am AD an. Und wie ich bereits geschrieben habe, diese Konfiguriation hat auch funktioniert, als ich als VPN WireGuard verwendet habe.
Sobald die WireGuard VPN Verbindung steht, wird die Anmeldung nicht mehr über den Radius Server vorgenommen. Vielmehr meldet sich der Windows Client über die bestehende VPN Verbindung am AD Directory an. Dies geschieht vollkommen transparent sobald ein Windows Dienst verwendet wird. Hierzu muss in Windows unter Systemsteuerung -> Windows Anmeldeinformtionen das User Zertifikat für die Domain eingetragen werden. Einzig MS Outlook machte Probleme - konnte zwar eine Verbindung zum Exchange Server aufbauen, verlangte aber immer wieder ein Benutzeranmeldung. Wenn man mit Benutzer/Passwort arbeitet ist dies auch kein Problem, da man die Anmeldedaten auf dem Client speichern kann.