HOWTO: L2TP VPN via RADIUS und Start-Before-Logon

Mit L2TP können Sie Windows Endgeräte mit Boardmittel für eine VPN Einwahl konfigurieren. Durch die RADIUS Anbindung können Sie nicht nur die Zugänge via AD steuern, sondern auch Start-Before-Logon vernünftig konfigurieren. Durch Start-Before-Logon haben Sie den Vorteil, dass Sie bereits vor der User-Anmeldung eine Verbindung zum AD herstellen können und so Netzlaufwerke, Richtlinien, … via VPN bereitgestellt werden.

Testumgebung: Windows NPS (2016), Client mit Win 10

1. Erstellen der AD-Gruppe L2TP-Users (entsprechende User hinzufügen)
2. Erstellen eines RADIUS-Clients im NPS (IP der Firewall + Passwort)
   
3. Prüfen ob eine passende Verbindungsanforderungsrichtlinie auf NPS konfiguriert ist.
   In meinem Beispiel greift die Default Verbindungsanforderungsrichtlinie „Windows-Authentifizierung für alle Benutzer verwenden“
4. Erstellen einer Netzwerkrichtlinie auf dem NPS
   
   Wählen Sie hier die erstellte AD-Gruppe:
   
   Unter Einschränkungen als Authentifizierungsmethode MC-CHAP-v2 wählen:
   
   Setzen Sie als RADIUS Attribut den AD-Gruppennamen entsprechend des Screenshots:
   
5. Erstellen Sie einen RADIUS Authentication Server auf der WatchGuard (Passwort gemäß der NPS Client Installation)
   
6. L2TP Authentication Servers konfigurieren (wählen Sie den konfigurierten RADIUS Server). Aktivieren Sie die Gruppe unter “Users and Groups”.
   
7. Konfigurieren Sie Ihr Win10 L2TP-VPN via Powershell nach folgendem Muster:

   (-SplitTunneling nur, wenn gewünscht)
   Add-VpnConnection -Name AM-T35W-SBL -ServerAddress [HierExtAdresse] -AllUserConnection $true -AuthenticationMethod MSChapv2 -TunnelType L2TP -L2TPPSK [HierL2TPKey] -EncryptionLevel Required -PassThru -SplitTunneling $true
   (Bei Split-Tunneling hier entsprechende Routen setzen)
   Add-VpnConnectionRoute AM-T35W-SBL 192.168.88.0/24

    

8. Bei Windows 10 erscheint folgendes Symbol am Anmeldebildschirm:
   
9. Melden Sich mit Ihren Zugangsdaten an. Windows wird den VPN aufbauen und Sie im Anschluss direkt am PC einloggen.
   
10. Die VPN Verbindung lässt sich via Netzwerkmanager unter Windows 10 trennen aber auch aufbauen:
    

Weitere Infos finden Sie in diesem >>> Knowledgebase-Artikel von WatchGuard.