PS: finde ich mutig wireguard im unternhemen einzusetzen, mir währe es noch nicht zu früh.(privat setze ich es ein, aber das ist ja auch eine ganz andere sache)
den Zugang zum heimischen Netz
Hallo pmhause,nein, kein Xauth. Als Authentication method in Phase 1 wird "EAP-Radius" verwendet. Als Radius Server habe ich FreedRadius installiert. Dieser leitet Anfragen für die Windows Firmen-Domain an den Windows NPS Radius Server weiter. Dieser wiederum meldet mit dem User Zertifikat den Benutzer am AD an. Und wie ich bereits geschrieben habe, diese Konfiguriation hat auch funktioniert, als ich als VPN WireGuard verwendet habe. Sobald die WireGuard VPN Verbindung steht, wird die Anmeldung nicht mehr über den Radius Server vorgenommen. Vielmehr meldet sich der Windows Client über die bestehende VPN Verbindung am AD Directory an. Dies geschieht vollkommen transparent sobald ein Windows Dienst verwendet wird. Hierzu muss in Windows unter Systemsteuerung -> Windows Anmeldeinformtionen das User Zertifikat für die Domain eingetragen werden. Einzig MS Outlook machte Probleme - konnte zwar eine Verbindung zum Exchange Server aufbauen, verlangte aber immer wieder ein Benutzeranmeldung. Wenn man mit Benutzer/Passwort arbeitet ist dies auch kein Problem, da man die Anmeldedaten auf dem Client speichern kann.
Hallo pmhausen,da gebe ich Dir Recht. Deshalb würde ich auch WireGuard nur verwenden, wenn für jeden User ein extra Key generiert wird - sehr aufwendig.