HOWTO: Verteilung, Update und Konfiguration des WatchGuard SSLVPN Clients via Gruppenrichtlinien
Immer häufiger kommen Kundenanfragen, wie der SSLVPN zentral verteilt, mit Updates versorgt oder aus der Ferne konfiguriert werden kann. In diesem Blog-Artikel möchte ich einen Weg beschreiben, welcher sich bisher gut bewährt hat. Selbstverständlich gibt es viele verschiedene Möglichkeiten, um an sein Ziel zu gelangen.
Testumgebung
- Windows Active Directory (Server 2016)
- Test-Client (Windows 11 Professional)
- WatchGuard Firewall (T45-CW mit Firmware 12.10.4 U1)
- WatchGuard SSLVPN Client (12.10 und 12.10.4) als MSI (>> HOWTO: Konvertierung von EXE zu MSI für die Softwareverteilung am Beispiel WatchGuard SSLVPN)
Verteilung
- Erstellen Sie eine Gruppenrichtlinie “Deploy_WG-SSLVPN-Client” und verknüpfen Sie diese mit der AD-Organisationseinheit, welche die relevanten Arbeitsplätze/Notebooks enthält (Computerrichtlinie):
- Mit einem Rechtsklick auf die Policy und anschließend einem Klick auf “bearbeiten” können Sie den Editor öffnen und in den Pfad Computerkonfiguration -> Richtlinien -> Softwareinstallation wechseln:
- Das auszurollende Setup-File (Bsp. 12.10) muss im Netzwerk erreichbar sein. Achten Sie unbedingt darauf, dass es sich um die UNC Schreibweise handelt (kein Laufwerksbuchstabe, sondern \\servername\pfad):
WICHTIG: Stellen Sie sicher, dass der Computer Leserechte für die entsprechenden Pfade besitzt! - Wählen Sie bei der Bereitstellungsmethode “Zugewiesen” aus:
- Optional: Wenn Sie möchten, können Sie die Installation noch auf eine Gruppenzugehörigkeit einschränken.
- In meinem Beispiel habe ich unter “Active Directory-Benutzer und -Computer” eine AD-Gruppe “Grp_Install_WG-SSLVPN” erstellt und meinen Test-PC “ELF05” aufgenommen:
- In der Gruppenrichtlinie wurde bei “Sicherheitsfilterung” die erstellte Gruppe hinterlegt und “Authentifizierte Benutzer” gelöscht:
- Stellen Sie im Reiter “Delegierung” sicher, dass Authentifizierte User das Leserecht und die Installationsgruppe das Leserecht sowie die Checkbox “Gruppenrichtlinie übernehmen” gesetzt haben:
- In meinem Beispiel habe ich unter “Active Directory-Benutzer und -Computer” eine AD-Gruppe “Grp_Install_WG-SSLVPN” erstellt und meinen Test-PC “ELF05” aufgenommen:
- Führen Sie auf dem Testclient einen oder ggf. auch zwei Neustarts durch und prüfen Sie, ob der SSLVPN Client erfolgreich installiert wurde:
Update WatchGuard SSLVPN Client
Neben der Softwareverteilung können Sie zusätzlich Produktaktualisierungen konfigurieren.
- Fügen Sie der vorhandenen Gruppenrichtlinie erneut ein Paket hinzu:
- Wählen Sie den SSLVPN Client als MSI in der neuen Version (Bsp. 12.10.4):
- Wählen Sie diesmal die Bereitstellungsmethode “Erweitert”:
- Springen Sie in den Reiter “Aktualisierungen” und wählen Sie die zu aktualisierende Version aus (in unserem Bsp. 12.10):
- Die Aktualisierung wird in der Liste aufgenommen:
- Update durch Reboot des Test-Clients testen. Via CMD können Sie mit dem Befehl “gpresult /r” prüfen, ob die Gruppenrichtlinie angewendet wurde oder Fehler aufgetreten sind. Beachten Sie bei Computerrichtlinien, dass Sie gpresult als Administrator ausführen müssen:
Konfiguration der SSLVPN Settings
Da die Settings des SSLVPN Clients in der Registry abgelegt sind, können Sie diese gezielt per GPO setzen. Ich empfehle einen SSLVPN am Test-Client zu konfigurieren und im Anschluss die Settings für eine GPO zu verwenden.
Pfad: Computer\HKEY_CURRENT_USER\Software\WatchGuard\SSLVPNClient\Settings:
- Erstellen Sie ein Gruppenrichtlinienobjekt “VPN_SSLVPN-Settings” und verknüpfen Sie es mit einer OU, in welcher die VPN-Benutzer liegen (Benutzerrichtlinie!):
- Erstellen Sie sich die gewünschten Registry-Schlüssel. Es kann z.B. auch mit einer Variable wie %username% gearbeitet werden:
- Optional: Je nach Belieben kann analog dem ersten Beispiel wieder eine Berechtigungsgruppe erstellt und die Verteilung auf die Gruppe eingeschränkt werden. In meinem Beispiel verwende ich die AuthPoint-Gruppe, welche für Mobile-VPN verwendet wird:
- Prüfen Sie die Gruppenrichtlinie. Nach einem Neustart sollte der SSLVPN mit entsprechenden Werten befüllt sein:
Bei Problemen können Sie wieder via CMD mit dem Befehl “gpresult /r” prüfen, ob die Gruppenrichtlinie angewendet wurde oder Fehler aufgetreten sind. Beachten Sie bei Benutzerrichtlinien, dass Sie gpresult als User ausführen müssen:
Fazit
Die gezeigten Verteilungsmethoden dienen der Inspiration und können über viele verschiedene Wege erweitert oder angepasst werden. Für ein Initialsetup, Update oder auch nach der Änderung eines Servernamens können Sie den SSLVPN sehr schnell und unkompliziert den Bedürfnissen anpassen.
Das könnte Sie auch interessieren: