AD Anbindung zum nutzen von VPN

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Scheuermann
Beiträge: 3
Registriert: Di 22.08.2017, 10:37

AD Anbindung zum nutzen von VPN

Beitrag von Scheuermann »

Hallo!

Ich habe folgende Frage, vieleicht wurde das auch schon mal geklärt und ich finde es nur nicht:

Ich möchte, bzw. ich habe eine Active Directory an die UTM mit der Version 11.7. angebunden. Nun möchte ich VPN einrichten.
Die Frage ist nun, muss ich jeden Nutzer einzeln von Hand anlegen oder kan nich die Nutzer aus der AD übernehmen?

Es wäre schön, wenn mir da jemand weiterhelfen könnte.

Danke im Voraus!!

Gruß
Scheuermann

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

welches VPN Protokoll wollen Sie den verwenden? (OpenVPN/SSL-VPN, IPSec, L2TP)

Gruß

Kenneth

Scheuermann
Beiträge: 3
Registriert: Di 22.08.2017, 10:37

Beitrag von Scheuermann »

Hallo Kenneth,
danke für die schnelle Antwort!

Ich möchte OpenVPN/SSL-VPN nutzen.

Gruß
Scheuermann

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

mit OpenVPN funktioniert es. Einfach einen Roadwarrior Server (nach Wiki) anlegen und die Authentifizierung auf "lokal" belassen.
Anschließend eine Usergruppe auf der UTM erstellen und mit dem AD verknüpfen. Es gibt dazu sogar ein inoffzielles Howto: Klick mich!
Allerdings gibt es da ein paar dinge zu beachten:

-> User dürfen nicht im AD und auf der UTM angelegt sein (der Lokale user hat immer vorrang)
-> Die Config für den VPN Client sollte nicht aus dem Userinterface heruntergeladen werden, sondern manuell aus dem Adminiterface.(Für jeden User manuell)
    Grund: Jeder User für das OpenVPN benötigt ein eigenes Zertifikat, auf der UTM können Sie aber nur ein globales in der Gruppe hinterlegen. Das kann zu Fehlern führen

Gruß

Kenneth

Scheuermann
Beiträge: 3
Registriert: Di 22.08.2017, 10:37

Beitrag von Scheuermann »

Hallo Kenneth,

wenn ich das richtig verstehe muss ich für jeden Nutzer ein Zertifikat manuell ausstellen und hierzu muss ich den Nutzer lokal auf der UTM einrichten.
Mein Plan war es eigentlich, die AD einzulesen und dann für die Nutzer ein Zertifikat anzulegen und ihnen einen Client mit Konfigurationsdatei zuweisen zu können. 
Mit anderen Worten, ich kann die AD zwar mit der UTM verbinden, jedoch muss ich dennoch jeden Nutzer einzeln anlegen?

Okay, danke für die Hilfe!

Gruß

Scheuermann

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

jain.
Vorweg: Ja jeder User benötigt ein eigenes Zertifikat für die Verbindung.
Um jetzt für jeden Benutzer die richtige Konfiguration aus dem Admininterface zu exportieren legen Sie einen dummy User an. Mit diesem exportieren Sie dann die Configs.

Beispiel:
Es gibt eine Gruppe auf der UTM die mit dem AD verknüpft (5 User)
Sie legen 5x zertifikate an: User1,User2, usw.
Dann legen Sie einen dummy User an, exportieren die Config mit dem Zertifikat "User1", beim Speichern einen wiedererkennbaren Namen geben. Danach das gleiche mit User2 (bis alle fertig sind)

Das ist zwar eine menge Handarbeit, sparrt Ihnen aber dann bei Problemen (geklautes Endgerät) eine menge Arbeit.

Gruß

Crintel
Beiträge: 4
Registriert: Do 24.08.2017, 22:07
Wohnort: Schömberg
Kontaktdaten:

Beitrag von Crintel »

Scheuermann hat geschrieben:Hallo!

Ich habe folgende Frage, vieleicht wurde das auch schon mal geklärt und ich finde es nur nicht:

Ich möchte, bzw. ich habe eine Active Directory an die UTM mit der Version 11.7. angebunden. Nun möchte ich VPN einrichten.
Die Frage ist nun, muss ich jeden Nutzer einzeln von Hand anlegen oder kan nich die Nutzer aus der AD übernehmen?

Es wäre schön, wenn mir da jemand weiterhelfen könnte.

Danke im Voraus!!

Gruß
Scheuermann
Es ist besser, jedes Mal manuell zu konfigurieren

tudirweh
Beiträge: 1
Registriert: Di 15.05.2018, 08:32

Beitrag von tudirweh »

Hallo!

Ja, Sie können AD-Benutzer verwenden. Obwohl Sie ein ausreichendes VPN benötigen. Macthemes wird zu dir passen.

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo zusammen,

kleine Anmerkung: Sie können für alle AD User nur ein Zertifikat verwenden. Diese können sich dann auch gleichzeitig mit dem Zertifikat verbinden, da dann zur Unterscheidung eine LDAP ID verwendet wird. 
Empfohlen wird allerdings die Variante die Kenneth schon beschrieben hat. So hat jeder Client ein eigenes Zertifikat, welches im Problemfall widerrufen werden kann.

Gruß
Christian 

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Hallo,

beide Varianten sind aus Adminsicht nahe am GAU. Wenn man nur ein Zertifikat verwendet, muss man im Falle eines Widerrufs alle Clients neu konfigurieren. Wenn man einzelne Zertifikate nutzen möchte, hat man schon bei einer Hand voll User stundenlange, fehlerträchtige Handarbeit auf Niveau eines fünfjährigen vor sich, und kann zudem die Features der UTM (Konfigurationsdownload für den User) nicht mehr nutzen, sondern muss die User auch noch von Hand damit versorgen.

Warum gibt es keine einfache Möglichkeit, die AD-User im Webinterface anzuzeigen, für eine Gruppe per einzelnem Klick individuelle Zertifikate zu erstellen und zuzuordnen sowie bei den einzelnen Usern dann die Möglichkeit, per einfachem Klick das Zertifikat zu wiederrufen und ein neues anzulegen?

Schöne Grüße
Nico

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Nachtrag: (Wie) ist es bei der Variante mit den einzelnen Zertifikaten möglich, für jeden User ein eigenes Kennwort anzulegen, ohne dass man für jeden User doch noch einen extra User in der UTM anlegen muss (womit die AD-Einbindung dann völlig sinnlos wird)? (Es soll natürlich so sein, dass das AD-Kennwort und dass Kennwort für die VPN-Verbindung übereinstimmen. Wenn ich manuell das Kennwort vom OpenVPN-Key auf das des Users ändere, bekomme ich im OpenVPN-GUI nun zwei Passwort-Prompts, wo ich zwei mal das gleiche Passwort angeben muss....)

Antworten