{"id":18651,"date":"2023-12-21T10:53:27","date_gmt":"2023-12-21T09:53:27","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=18651"},"modified":"2024-08-28T15:01:32","modified_gmt":"2024-08-28T13:01:32","slug":"howto-openvpn-watchguard-sslvpn-und-start-before-logon-konfigurieren","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2023\/12\/howto-openvpn-watchguard-sslvpn-und-start-before-logon-konfigurieren\/","title":{"rendered":"HOWTO: OpenVPN \/ WatchGuard SSLVPN und \u201eStart Before Logon\u201c konfigurieren"},"content":{"rendered":"<p>Seit der Version 2.6 von OpenVPN (<a href=\"https:\/\/github.com\/OpenVPN\/openvpn\/blob\/release\/2.6\/Changes.rst\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Changelog OpenVPN<\/a>) gibt es die M\u00f6glichkeit ein \u201eStart Before Logon\u201c (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet f\u00fcr Domain-Computer einige Vorteile (Passwort\u00e4nderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, \u2026) und ist ein h\u00e4ufig gew\u00fcnschtes Feature.<\/p>\n<p>Da WatchGuard f\u00fcr deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl f\u00fcr WatchGuard als auch f\u00fcr alle anderen OpenVPN f\u00e4higen VPN-Gateways verwendet werden.<\/p>\n<p><!--more--><\/p>\n<h4>Testumgebung:<\/h4>\n<ul>\n<li>Windows 11 Client als Domain-Member (gilt auch f\u00fcr Windows 10)<\/li>\n<li>OpenVPN Client (Version 2.6.8)<\/li>\n<li>Firebox T40 (Firmware 12.10.1 U1)<\/li>\n<li>Funktionierendes SSLVPN Setup (<a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/mvpn\/ssl\/mvpn_ssl_about_c.html\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Dokumentation WatchGuard<\/a>)<\/li>\n<\/ul>\n<h4>Installation unter Windows<\/h4>\n<ol>\n<li>Laden Sie das OpenVPN Profil von Ihrer WatchGuard:<br \/>\na) Variante 1: <a href=\"https:\/\/&lt;FQDN&gt;:&lt;Port&gt;\/sslvpn_logon.shtml\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/&lt;FQDN&gt;:&lt;Port&gt;\/sslvpn_logon.shtml<\/a><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18654 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn1.png\" alt=\"\" width=\"516\" height=\"405\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn1.png 516w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn1-300x235.png 300w\" sizes=\"(max-width: 516px) 100vw, 516px\" \/><br \/>\nb) <u>ODER<\/u> Variante 2: \u201ePolicy Manager\u201c -&gt; \u201eVPN\u201c -&gt; \u201eMobile VPN\u201c -&gt; \u201eGet Started\u201c:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18655 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn2.png\" alt=\"\" width=\"605\" height=\"364\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn2.png 605w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn2-300x180.png 300w\" sizes=\"(max-width: 605px) 100vw, 605px\" \/><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18656 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn3.png\" alt=\"\" width=\"605\" height=\"316\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn3.png 605w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn3-300x157.png 300w\" sizes=\"(max-width: 605px) 100vw, 605px\" \/><\/li>\n<li>Laden Sie sich den aktuellen OpenVPN Client herunter (<a href=\"https:\/\/openvpn.net\/community-downloads\/\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; OpenVPN Community Downloads<\/a>)<\/li>\n<li>Installieren Sie OpenVPN:<br \/>\na) W\u00e4hlen Sie \u201eCustomize\u201c:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18657 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn4.png\" alt=\"\" width=\"536\" height=\"427\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn4.png 536w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn4-300x239.png 300w\" sizes=\"(max-width: 536px) 100vw, 536px\" \/><br \/>\nb) Aktivieren Sie \u201eEnable OpenVPN Pre-Logon Access Provider\u201c und klicken auf \u201eInstall Now\u201c:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18658 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn5.png\" alt=\"\" width=\"535\" height=\"427\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn5.png 535w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn5-300x239.png 300w\" sizes=\"(max-width: 535px) 100vw, 535px\" \/><\/li>\n<li>Legen Sie die OpenVPN Datei in das Verzeichnis \u201ec:\\Program Files\\OpenVPN\\config-auto\\\u201c.<br \/>\nIch empfehle den Namen der OpenVPN Datei sinnig anzupassen (erscheint am Windows Logon-Screen)<\/li>\n<li>Passen Sie die OpenVPN Datei wie folgt an:<br \/>\na) PLAP-Anpassungen. Der Port 25340 wird im Default verwendet. Kopieren Sie den gr\u00fcn markierten Block (Zeile 5-10) in Ihre OpenVPN-Konfiguration:<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\" data-enlighter-highlight=\"5-10\">dev tun\r\nclient\r\nproto tcp\r\n\r\n### PLAP Anpassung\r\nmanagement 127.0.0.1 25340\r\nmanagement-query-passwords\r\nmanagement-hold\r\nauth-retry interact\r\n###\r\n\r\n&lt;ca&gt;\r\n-----BEGIN CERTIFICATE-----<\/pre>\n<p>Der tats\u00e4chlich verwendete Port kann \u00fcber die OpenVPN Konfiguration ausgelesen werden:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18660 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn7.png\" alt=\"\" width=\"357\" height=\"493\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn7.png 357w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn7-217x300.png 217w\" sizes=\"(max-width: 357px) 100vw, 357px\" \/><br \/>\nb) In Verbindung mit WatchGuard muss noch folgende Zeile angepasst werden:<br \/>\n(Details in unserem Blog unter <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2023\/02\/openvpn-data-ciphers-ab-openvpn-2-6-x\/\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; OpenVPN data-ciphers ab OpenVPN 2.6.x<\/a>)<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">### cipher AES-256-CBC muss durch data-ciphers AES-256-CBC ersetzt werden\r\n#cipher AES-256-CBC\r\ndata-ciphers AES-256-CBC\r\n###<\/pre>\n<\/li>\n<\/ol>\n<h4>Test \/ Look and Feel<\/h4>\n<ol>\n<li>Klicken Sie auf das Symbol f\u00fcr die Netzwerkanmeldung:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18662 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn9.png\" alt=\"\" width=\"605\" height=\"352\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn9.png 605w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn9-300x175.png 300w\" sizes=\"(max-width: 605px) 100vw, 605px\" \/><\/li>\n<li>Klicken Sie auf den markierten Pfeil, um die Einwahl vorzunehmen:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18663 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn10.png\" alt=\"\" width=\"490\" height=\"413\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn10.png 490w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn10-300x253.png 300w\" sizes=\"(max-width: 490px) 100vw, 490px\" \/><\/li>\n<li>Tragen Sie die Credentials ein und dr\u00fccken auf \u201eOK\u201c:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18664 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn11.png\" alt=\"\" width=\"580\" height=\"390\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn11.png 580w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn11-300x202.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn11-272x182.png 272w\" sizes=\"(max-width: 580px) 100vw, 580px\" \/><\/li>\n<li>Am Logon-Screen sehen Sie jetzt den verbundenen VPN:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18665 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn12.png\" alt=\"\" width=\"269\" height=\"88\" \/><\/li>\n<li>Melden Sie sich nun wie gewohnt am Benutzerkonto an:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18666 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn13.png\" alt=\"\" width=\"407\" height=\"522\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn13.png 407w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn13-234x300.png 234w\" sizes=\"(max-width: 407px) 100vw, 407px\" \/><\/li>\n<li>Ansicht in Windows:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-18667 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn14.png\" alt=\"\" width=\"404\" height=\"205\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn14.png 404w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2023\/12\/howto-openvpn14-300x152.png 300w\" sizes=\"(max-width: 404px) 100vw, 404px\" \/><\/li>\n<\/ol>\n<h4>Fazit<\/h4>\n<p>Leider kann Start-Before-Logon (noch) nicht direkt mit dem WatchGuard SSLVPN Client umgesetzt werden. Sollten Sie SBL via SSLVPN nutzen wollen, kann OpenVPN Client eine gute Alternative sein. Die n\u00f6tigen Anpassungen der OpenVPN Datei sind nur einmalig durchzuf\u00fchren, da die Config-Datei nicht personenbezogen ist und damit global ausgerollt werden kann. F\u00fcr den Roll-Out kann z. B. eine Gruppenrichtline, WatchGuard Systems Management, \u2026 verwendet werden.<\/p>\n<p>Wer SBL mit Windows Boardmitteln l\u00f6sen m\u00f6chte und dazu ggf. von SSO profitieren will, kann auch gerne einen Blick in unseren Blog-Artikel mit IKEv2 werfen:<br \/>\n<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2020\/05\/howto-verteilung-von-ikev2\/\">&gt;&gt; HOWTO: Verteilung von IKEv2 VPN via GPO<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit der Version 2.6 von OpenVPN (&gt;&gt; Changelog OpenVPN) gibt es die M\u00f6glichkeit ein \u201eStart Before Logon\u201c (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet f\u00fcr Domain-Computer einige Vorteile (Passwort\u00e4nderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, \u2026) und ist ein h\u00e4ufig gew\u00fcnschtes Feature. Da WatchGuard f\u00fcr deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2023\/12\/howto-openvpn-watchguard-sslvpn-und-start-before-logon-konfigurieren\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">HOWTO: OpenVPN \/ WatchGuard SSLVPN und \u201eStart Before Logon\u201c konfigurieren<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[1016,528,1017,1018,89,594],"class_list":["post-18651","post","type-post","status-publish","format-standard","hentry","category-howto","tag-gina","tag-openvpn","tag-plap","tag-pre-logon-access-provider","tag-sslvpn","tag-start-before-logon"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/18651"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=18651"}],"version-history":[{"count":18,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/18651\/revisions"}],"predecessor-version":[{"id":24191,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/18651\/revisions\/24191"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=18651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=18651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=18651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}