HOWTO: L2TP VPN via RADIUS und Start-Before-Logon
Mit L2TP können Sie Windows Endgeräte mit Boardmittel für eine VPN Einwahl konfigurieren. Durch die RADIUS Anbindung können Sie nicht nur die Zugänge via AD steuern, sondern auch Start-Before-Logon vernünftig konfigurieren. Durch Start-Before-Logon haben Sie den Vorteil, dass Sie bereits vor der User-Anmeldung eine Verbindung zum AD herstellen können und so Netzlaufwerke, Richtlinien, … via VPN bereitgestellt werden.
Testumgebung: Windows NPS (2016), Client mit Win 10
- Erstellen der AD-Gruppe L2TP-Users (entsprechende User hinzufügen)
- Erstellen eines RADIUS-Clients im NPS (IP der Firewall + Passwort)
- Prüfen ob eine passende Verbindungsanforderungsrichtlinie auf NPS konfiguriert ist.
In meinem Beispiel greift die Default Verbindungsanforderungsrichtlinie „Windows-Authentifizierung für alle Benutzer verwenden“ - Erstellen einer Netzwerkrichtlinie auf dem NPS
Wählen Sie hier die erstellte AD-Gruppe:
Unter Einschränkungen als Authentifizierungsmethode MC-CHAP-v2 wählen:
Setzen Sie als RADIUS Attribut den AD-Gruppennamen entsprechend des Screenshots:
- Erstellen Sie einen RADIUS Authentication Server auf der WatchGuard (Passwort gemäß der NPS Client Installation)
- L2TP Authentication Servers konfigurieren (wählen Sie den konfigurierten RADIUS Server). Aktivieren Sie die Gruppe unter “Users and Groups”.
- Konfigurieren Sie Ihr Win10 L2TP-VPN via Powershell nach folgendem Muster:
(-SplitTunneling nur, wenn gewünscht)
Add-VpnConnection -Name AM-T35W-SBL -ServerAddress [HierExtAdresse] -AllUserConnection $true -AuthenticationMethod MSChapv2 -TunnelType L2TP -L2TPPSK [HierL2TPKey] -EncryptionLevel Required -PassThru -SplitTunneling $true
(Bei Split-Tunneling hier entsprechende Routen setzen)
Add-VpnConnectionRoute AM-T35W-SBL 192.168.88.0/24 - Bei Windows 10 erscheint folgendes Symbol am Anmeldebildschirm:
- Melden Sich mit Ihren Zugangsdaten an. Windows wird den VPN aufbauen und Sie im Anschluss direkt am PC einloggen.
- Die VPN Verbindung lässt sich via Netzwerkmanager unter Windows 10 trennen aber auch aufbauen:
Weitere Infos finden Sie in diesem >>> Knowledgebase-Artikel von WatchGuard.
Das könnte Sie auch interessieren: