HOWTO: OpenVPN / WatchGuard SSLVPN und „Start Before Logon“ konfigurieren

2 Comments

Seit der Version 2.6 von OpenVPN (>> Changelog OpenVPN) gibt es die Möglichkeit ein „Start Before Logon“ (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet für Domain-Computer einige Vorteile (Passwortänderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, …) und ist ein häufig gewünschtes Feature.

Da WatchGuard für deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl für WatchGuard als auch für alle anderen OpenVPN fähigen VPN-Gateways verwendet werden.

Testumgebung:

  • Windows 11 Client als Domain-Member (gilt auch für Windows 10)
  • OpenVPN Client (Version 2.6.8)
  • Firebox T40 (Firmware 12.10.1 U1)
  • Funktionierendes SSLVPN Setup (>> Dokumentation WatchGuard)

Installation unter Windows

  1. Laden Sie das OpenVPN Profil von Ihrer WatchGuard:
    a) Variante 1: https://<FQDN>:<Port>/sslvpn_logon.shtml

    b) ODER Variante 2: „Policy Manager“ -> „VPN“ -> „Mobile VPN“ -> „Get Started“:

  2. Laden Sie sich den aktuellen OpenVPN Client herunter (>> OpenVPN Community Downloads)
  3. Installieren Sie OpenVPN:
    a) Wählen Sie „Customize“:

    b) Aktivieren Sie „Enable OpenVPN Pre-Logon Access Provider“ und klicken auf „Install Now“:
  4. Legen Sie die OpenVPN Datei in das Verzeichnis „c:\Program Files\OpenVPN\config-auto\“.
    Ich empfehle den Namen der OpenVPN Datei sinnig anzupassen (erscheint am Windows Logon-Screen)
  5. Passen Sie die OpenVPN Datei wie folgt an:
    a) PLAP-Anpassungen. Der Port 25340 wird im Default verwendet:

    Der tatsächlich verwendete Port kann über die OpenVPN Konfiguration ausgelesen werden:

    b) In Verbindung mit WatchGuard muss noch folgende Zeile angepasst werden:
    (Details in unserem Blog unter >> OpenVPN data-ciphers ab OpenVPN 2.6.x)

Test / Look and Feel

  1. Klicken Sie auf das Symbol für die Netzwerkanmeldung:
  2. Klicken Sie auf den markierten Pfeil, um die Einwahl vorzunehmen:
  3. Tragen Sie die Credentials ein und drücken auf „OK“:
  4. Am Logon-Screen sehen Sie jetzt den verbundenen VPN:
  5. Melden Sie sich nun wie gewohnt am Benutzerkonto an:
  6. Ansicht in Windows:

Fazit

Leider kann Start-Before-Logon (noch) nicht direkt mit dem WatchGuard SSLVPN Client umgesetzt werden. Sollten Sie SBL via SSLVPN nutzen wollen, kann OpenVPN Client eine gute Alternative sein. Die nötigen Anpassungen der OpenVPN Datei sind nur einmalig durchzuführen, da die Config-Datei nicht personenbezogen ist und damit global ausgerollt werden kann. Für den Roll-Out kann z. B. eine Gruppenrichtline, WatchGuard Systems Management, … verwendet werden.

Wer SBL mit Windows Boardmitteln lösen möchte und dazu ggf. von SSO profitieren will, kann auch gerne einen Blick in unseren Blog-Artikel mit IKEv2 werfen:
>> HOWTO: Verteilung von IKEv2 VPN via GPO

2 Kommentare zu “HOWTO: OpenVPN / WatchGuard SSLVPN und „Start Before Logon“ konfigurieren”

    1. Johannes Wolfsteiner Post Author

      Hallo Hr. Lebens,

      mir persönlich ist nichts dazu bekannt, ob SBL auch mit OpenVPN Connect V3 möglich ist. Primär nutzen unsere Kunden IKEv2. Sollten Sie Details bzgl. dem V3 Client herausfinden, hinterlassen Sie hier gerne einen weiteren Kommentar für alle Interessierten.

      Besten Dank

      Johannes Wolfsteiner

      Reply »

Leave a Reply

Your email address will not be published. Required fields are marked *