<\/p>\n
L\u00f6sung:<\/h4>\n
In meinem Setup nutze ich den Windows Built-In IKEv2 und alt. den SSLVPN Client (OpenVPN Technologie) von WatchGuard. Beide Clients sind kostenfrei erh\u00e4ltlich und der Standard bei WatchGuard Kunden. Als Personal-Firewall konfigurieren wir die Windows-Defender Firewall via Gruppenrichtlinie.<\/p>\n
Testaufbau:<\/h4>\n\n- Windows Domain-Controller (Server 2016)<\/li>\n
- Windows 10 und Windows 11 als Clients<\/li>\n
- VPN-Clients: IKEv2 Windows Built-In und SSLVPN-Client von WatchGuard (12.10)<\/li>\n
- WatchGuard T40 mit Fireware v12.10<\/li>\n<\/ul>\n
Technische Umsetzung:<\/h4>\n
Sie sollten vorab pr\u00fcfen, ob die bevorzugte VPN-Verbindung reibungslos funktioniert. W\u00e4hlen Sie sich \u00fcber ein \u00f6ffentliches Netz (z. B. Mobile-Hotspot des Smartphones) in den VPN ein. Mit dem Powershell Befehl \u201eGet-NetConnectionProfile\u201c k\u00f6nnen Sie pr\u00fcfen, ob die Netze als \u201ePublic\u201c oder \u201eDomainAuthenticated\u201c eingestuft wurden. Im VPN muss der FQDN Ihrer Dom\u00e4ne als DNS-Suffix konfiguriert sein (siehe weiterf\u00fchrende Links).<\/p>\n
Notebook im \u00f6ffentlichen Netz (ohne VPN-Verbindung):
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement1.png\")
\nNotebook im \u00f6ffentlichen Netz (mit VPN-Verbindung)
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement2.png\")
<\/p>\n
1. Windows Firewall<\/h5>\n
a) Grundeinstellung
\n<\/strong>Die Windows Firewall kann entweder manuell oder auch mit GPO konfiguriert werden. Das folgende Beispiel zeigt die Konfiguration via Gruppenrichtlinie. In meinem Fall nutze ich die Richtlinie \u201eVPN-Enforcement\u201c und habe diese der passenden OU zugeordnet.
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement3.png\")
\nNavigieren Sie in der Computerkonfiguration zu Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter Sicherheit und wechseln Sie in den Reiter \u201e\u00d6ffentliches Profil\u201c:
\n-\u00c4ndern Sie den Status der Firewall wie auf dem nachfolgenden Screenshot.
\n-Unter Einstellungen -> Anpassen -> Sollten Sie in der Regelzusammenf\u00fchrung ein \u201enein\u201c ausw\u00e4hlen -> Somit werden die lokalen Firewall-Policies im \u00d6ffentlichen Netz ignoriert.
\n– Optional: Aktivieren Sie das Logging abgelehnter Pakete \u00fcber Protokollierung -> Anpassen -> \u201ePfad und Gr\u00f6\u00dfenlimit anpassen\u201c
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement4.png\")
<\/p>\nb) Firewall-Policies (ausgehend)
\n<\/strong>Ausgehend wird nun jeglicher Traffic blockiert. Definieren Sie die notwendigen Ausnahmen wie folgt in dem GPO:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement5.png\")
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement6.png\")
<\/p>\nAnbei die Policies in Textform f\u00fcr Copy-Paste. Ich empfehle ein Prefix f\u00fcr den Namen, um auf dem Endger\u00e4t die Policies von der Gruppenrichtlinie schnell identifizieren zu k\u00f6nnen.<\/p>\n
Technische Umsetzung:<\/h4>\n
Sie sollten vorab pr\u00fcfen, ob die bevorzugte VPN-Verbindung reibungslos funktioniert. W\u00e4hlen Sie sich \u00fcber ein \u00f6ffentliches Netz (z. B. Mobile-Hotspot des Smartphones) in den VPN ein. Mit dem Powershell Befehl \u201eGet-NetConnectionProfile\u201c k\u00f6nnen Sie pr\u00fcfen, ob die Netze als \u201ePublic\u201c oder \u201eDomainAuthenticated\u201c eingestuft wurden. Im VPN muss der FQDN Ihrer Dom\u00e4ne als DNS-Suffix konfiguriert sein (siehe weiterf\u00fchrende Links).<\/p>\n
Notebook im \u00f6ffentlichen Netz (ohne VPN-Verbindung):
\n
\nNotebook im \u00f6ffentlichen Netz (mit VPN-Verbindung)
\n<\/p>\n
1. Windows Firewall<\/h5>\n
a) Grundeinstellung b) Firewall-Policies (ausgehend) Anbei die Policies in Textform f\u00fcr Copy-Paste. Ich empfehle ein Prefix f\u00fcr den Namen, um auf dem Endger\u00e4t die Policies von der Gruppenrichtlinie schnell identifizieren zu k\u00f6nnen.<\/p>\n
\n<\/strong>Die Windows Firewall kann entweder manuell oder auch mit GPO konfiguriert werden. Das folgende Beispiel zeigt die Konfiguration via Gruppenrichtlinie. In meinem Fall nutze ich die Richtlinie \u201eVPN-Enforcement\u201c und habe diese der passenden OU zugeordnet.
\n
\nNavigieren Sie in der Computerkonfiguration zu Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter Sicherheit und wechseln Sie in den Reiter \u201e\u00d6ffentliches Profil\u201c:
\n-\u00c4ndern Sie den Status der Firewall wie auf dem nachfolgenden Screenshot.
\n-Unter Einstellungen -> Anpassen -> Sollten Sie in der Regelzusammenf\u00fchrung ein \u201enein\u201c ausw\u00e4hlen -> Somit werden die lokalen Firewall-Policies im \u00d6ffentlichen Netz ignoriert.
\n– Optional: Aktivieren Sie das Logging abgelehnter Pakete \u00fcber Protokollierung -> Anpassen -> \u201ePfad und Gr\u00f6\u00dfenlimit anpassen\u201c
\n<\/p>\n
\n<\/strong>Ausgehend wird nun jeglicher Traffic blockiert. Definieren Sie die notwendigen Ausnahmen wie folgt in dem GPO:
\n
\n<\/p>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement7.png\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement8.png\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement9.png\")
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement10.png\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement11.png\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/10\/howto-vpn-enforcement12.png\")
<\/p>\n