HOWTO: Verteilung von IKEv2 VPN via GPO

Automatische Verteilung einer IKEv2 VPN Verbindung via Gruppenrichtlinien unter Windows

In Zeiten von Corona steigt der Anspruch an eine stabile und wartungsarme VPN Verbindung enorm. Unter Windows 10 können Sie mit Boardmitteln einen performanten IKEv2 Tunnel zu Ihrer WatchGuard aufbauen:

Die manuelle Installation am Client benötigt Admin-Berechtigungen und viele Funktionen sind nur über die Powershell mühsam konfigurierbar. Bei einer Anpassung der VPN-Parameter auf der WatchGuard Firewall, müssen alle Endpunkte entsprechend nachkonfiguriert werden (z.B. Tunnel Routen). Die Verwendung einer Gruppenrichtlinie erlaubt uns die VPN-Settings automatisiert an hunderte von Clients zu pushen.

Im nachfolgenden Beispiel zeige ich Ihnen, wie ein IKEv2 Tunnel automatisch via Gruppenrichtlinien installiert und aktualisiert werden kann.

Voraussetzungen: Active Directory + NPS oder noch besser AuthPoint (Beispiel NPS), Windows 10, WatchGuard Fireware v12.1 oder neuer

 

      1. Installieren Sie einen IKEv2-Tunnel (Beispiel IKEv2) und testen Sie die Verbindung
      2. Passen Sie die VPN-Einstellungen nach Ihren Bedürfnissen an
        1. Anzeigen von VPN Settings via Powershell
        2. Optional: Aktivierung von Split-Tunneling und Ergänzen von Tunnel-Routen (Subnetze 192.168.0.0/16 und 10.0.0.0/8 werden getunnelt)
        3. Optional: Einige Einstellungen können auch direkt im Netzwerkinterface angepasst werden
      3. Kopieren Sie die angepasste VPN-Datei in ein freigegebenes Verzeichnis
        Quelle: %appdata%\Microsoft\Network\Connections\Pbk

        Ziel: Freigabe
      4. Kopieren Sie das Server-Zertifikat des IKEv2 Installers ebenfalls in das Verzeichnis
      5. Erstellen Sie eine neue Gruppenrichtlinie und verknüpfen Sie diese mit der entsprechenden OU, welche die gewünschten Windows-Clients enthält.
        1. Erstellen Sie einen Kopiervorgang
          (Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Dateien)
          Quelle: VPN Datei (UNC-Pfad!)
          Ziel: Global Phonebook (C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk)

          Tipp: Unter “gemeinsame Optionen” können Sie die Verteilung z. B. auf Computergruppen oder Geräte mit Akku einschränken
        2. Verteilen Sie das Zertifikat der IKEv2 Zertifizierungsstelle
          (Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen -> Rechtsklick und Importieren)
      6. Führen Sie auf einem PC in der gewählten OU einen Neustart oder gpupdate aus und prüfen Sie, ob die VPN-Einstellungen entsprechend übernommen werden
      7. Start Before Logon:


      Zertifikat:

      VPN:

      Routen (route print bei aktivem VPN):

Weitere Infos finden Sie in diesem >>> Knowledgebase-Artikel von WatchGuard.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>