{"id":9110,"date":"2019-10-29T08:46:03","date_gmt":"2019-10-29T07:46:03","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=9110"},"modified":"2025-09-10T14:10:09","modified_gmt":"2025-09-10T12:10:09","slug":"howto-l2tp-vpn-via-radius-und-start-before-logon","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2019\/10\/howto-l2tp-vpn-via-radius-und-start-before-logon\/","title":{"rendered":"HOWTO: L2TP VPN via RADIUS und Start-Before-Logon"},"content":{"rendered":"<p>Mit L2TP k\u00f6nnen Sie Windows-Endger\u00e4te mit Boardmittel f\u00fcr eine VPN-Einwahl konfigurieren. Durch die RADIUS Anbindung k\u00f6nnen Sie nicht nur die Zug\u00e4nge via AD steuern, sondern auch Start-Before-Logon vern\u00fcnftig konfigurieren. Durch Start-Before-Logon haben Sie den Vorteil, dass Sie bereits vor der User-Anmeldung eine Verbindung zum AD herstellen k\u00f6nnen und so Netzlaufwerke, Richtlinien, \u2026 via VPN bereitgestellt werden.<br \/>\n<!--more--><\/p>\n<h3>Umsetzung<\/h3>\n<p>Testumgebung: Windows NPS (2016), Client mit Win 10<\/p>\n<ol>\n<li>Erstellen der AD-Gruppe L2TP-Users (entsprechende User hinzuf\u00fcgen)<\/li>\n<li>Erstellen eines RADIUS-Clients im NPS (IP der Firewall + Passwort):<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9111 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-1.jpg\" alt=\"\" width=\"448\" height=\"565\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-1.jpg 448w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-1-238x300.jpg 238w\" sizes=\"(max-width: 448px) 100vw, 448px\" \/><\/li>\n<li>Pr\u00fcfen ob eine passende Verbindungsanforderungsrichtlinie auf NPS konfiguriert ist.<br \/>\nIn meinem Beispiel greift die Default Verbindungsanforderungsrichtlinie \u201eWindows-Authentifizierung f\u00fcr alle Benutzer verwenden\u201c<\/li>\n<li>Erstellen einer Netzwerkrichtlinie auf dem NPS:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9112 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-2.jpg\" alt=\"\" width=\"715\" height=\"598\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-2.jpg 715w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-2-300x251.jpg 300w\" sizes=\"(max-width: 715px) 100vw, 715px\" \/><br \/>\nW\u00e4hlen Sie hier die erstellte AD-Gruppe:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9113 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-3.jpg\" alt=\"\" width=\"714\" height=\"601\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-3.jpg 714w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-3-300x253.jpg 300w\" sizes=\"(max-width: 714px) 100vw, 714px\" \/><br \/>\nUnter Einschr\u00e4nkungen als Authentifizierungsmethode MC-CHAP-v2 w\u00e4hlen:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9114 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-4.jpg\" alt=\"\" width=\"719\" height=\"596\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-4.jpg 719w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-4-300x249.jpg 300w\" sizes=\"(max-width: 719px) 100vw, 719px\" \/><br \/>\nSetzen Sie als RADIUS Attribut den AD-Gruppennamen entsprechend des Screenshots:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9115 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-5.jpg\" alt=\"\" width=\"707\" height=\"593\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-5.jpg 707w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-5-300x252.jpg 300w\" sizes=\"(max-width: 707px) 100vw, 707px\" \/><\/li>\n<li>Erstellen Sie einen RADIUS Authentication Server auf der WatchGuard (Passwort gem\u00e4\u00df der NPS Client Installation):<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9116 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-6.jpg\" alt=\"\" width=\"445\" height=\"434\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-6.jpg 445w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-6-300x293.jpg 300w\" sizes=\"(max-width: 445px) 100vw, 445px\" \/><\/li>\n<li>L2TP Authentication Servers konfigurieren (w\u00e4hlen Sie den konfigurierten RADIUS Server). Aktivieren Sie die Gruppe unter &#8220;Users and Groups&#8221;:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9117 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-7.jpg\" alt=\"\" width=\"555\" height=\"714\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-7.jpg 555w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-7-233x300.jpg 233w\" sizes=\"(max-width: 555px) 100vw, 555px\" \/><\/li>\n<li>Konfigurieren Sie Ihr Win10 L2TP-VPN via Powershell nach folgendem Muster:(<em>-SplitTunneling<\/em> nur, wenn gew\u00fcnscht)<br \/>\n<em>Add-VpnConnection -Name AM-T35W-SBL -ServerAddress [HierExtAdresse] -AllUserConnection $true -AuthenticationMethod MSChapv2 -TunnelType L2TP -L2TPPSK [HierL2TPKey] -EncryptionLevel Required -PassThru -SplitTunneling $true<\/em><br \/>\n(Bei Split-Tunneling hier entsprechende Routen setzen)<br \/>\n<em>Add-VpnConnectionRoute AM-T35W-SBL 192.168.88.0\/24<\/em><\/li>\n<li><span style=\"font-size: inherit;\">Bei Windows 10 erscheint folgendes Symbol am Anmeldebildschirm:<\/span>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9118 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-8.jpg\" alt=\"\" width=\"340\" height=\"212\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-8.jpg 340w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-8-300x187.jpg 300w\" sizes=\"(max-width: 340px) 100vw, 340px\" \/><\/li>\n<li>Melden Sich mit Ihren Zugangsdaten an. Windows wird den VPN aufbauen und Sie im Anschluss direkt am PC einloggen.<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9119 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-9.jpg\" alt=\"\" width=\"455\" height=\"568\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-9.jpg 455w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-9-240x300.jpg 240w\" sizes=\"(max-width: 455px) 100vw, 455px\" \/><\/li>\n<li>Die VPN Verbindung l\u00e4sst sich via Netzwerkmanager unter Windows 10 trennen aber auch aufbauen:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-9120 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-10.jpg\" alt=\"\" width=\"356\" height=\"619\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-10.jpg 356w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/10\/l2tp-vpn-via-radius-10-173x300.jpg 173w\" sizes=\"(max-width: 356px) 100vw, 356px\" \/><\/li>\n<\/ol>\n<p>Weitere Infos finden Sie in diesem <a href=\"https:\/\/watchguardsupport.secure.force.com\/publicKB?type=Article&amp;SFDCID=kA10H000000bopASAQ&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Knowledgebase-Artikel von WatchGuard<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit L2TP k\u00f6nnen Sie Windows-Endger\u00e4te mit Boardmittel f\u00fcr eine VPN-Einwahl konfigurieren. Durch die RADIUS Anbindung k\u00f6nnen Sie nicht nur die Zug\u00e4nge via AD steuern, sondern auch Start-Before-Logon vern\u00fcnftig konfigurieren. Durch Start-Before-Logon haben Sie den Vorteil, dass Sie bereits vor der User-Anmeldung eine Verbindung zum AD herstellen k\u00f6nnen und so Netzlaufwerke, Richtlinien, \u2026 via VPN bereitgestellt werden.<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[69,411,412,96,594,273],"class_list":["post-9110","post","type-post","status-publish","format-standard","hentry","category-howto","tag-active-directory","tag-l2tp","tag-l2tp-vpn","tag-radius","tag-start-before-logon","tag-vpn"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/9110"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=9110"}],"version-history":[{"count":10,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/9110\/revisions"}],"predecessor-version":[{"id":28967,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/9110\/revisions\/28967"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=9110"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=9110"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=9110"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}