Schlagwort-Archive: VPN Tunnel, virtuelles Privates Netzwerk

Der sich daraus ergebende Nutzen eines VPNs kann je nach verwendetem VPN-Protokoll durch eine Verschlüsselung ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglicht.

Namensauflösung über VPN mit Split Horizon DNS

Mit Split Horizon DNS in VPN-Verbindungen können Clients die Netzwerk Ressourcen oft nicht auflösen, mit diesen die VPN-Clients verbunden sind. Das ist vor allem bei einer Active Directory Domäne problematisch, weil die Clients dann keine Domänen-Controller zur Anmeldung erreichen können. Die Anmeldung erfolgt dann lediglich über den lokalen Lsass-Cache, die Gruppenrichtlinien und Anmeldeskripts werden dabei nicht ausgeführt.

In diesem Tutorial beschreibe ich, wie man bei VPN Clients die Namens Auflösung ermöglicht, innerhalb der Netzwerk Infrastruktur der Organisation.

Schnittstellenmetrik anpassen in Split Horizon DNS VPN-Verbindungen

Um die Windows Schnittstellenmetrik zu steuern und den DNS-Server nach der Einwahl der VPN-Verbindung zu bevorzugen, kann der VPN-Schnittstelle eine höhere Priorität und damit niedrigere Metrik zuweisen werden, über die TCP/IP-Einstellungen der Netzwerkadapter mit den Tasten Windows+R und der Eingabe ncpa.cpl

In den Eigenschaften des entsprechenden Netzwerkadapter öffnet man mit einem Doppelklick, Internetprotokoll, Version 4 (TCP/IPv4), dann über die Schaltfläche Erweitert, hier findet man das Feld für den Wert der Schnittstellenmetrik.

Split Horizon DNS VPN TCP/IP-Einstellung Schnittstellenmetrik

Hier sollte für die VPN-Schnittstelle „Automatische Metrik“ nicht aktiviert sein, es kann ein niedriger Wert eingetragen werden. Nach einer erneuten Imitierung sollte die Namensauflösung über das VPN-Netzwerk stattfinden.

Multicastnamensauflösung deaktivieren

Mit Windows 10 und 11 wurde Smart Multi-Homed Name Resolution (SMHNR) eingeführt, um die Namensauflösung zu beschleunigen werden die DNS-Anfragen an mehrere DNS-Server gleichzeitig gesendet.

Das hat einen unerwünschten Nebeneffekt, denn es werden die Anfragen zur internen Namensauflösung an externe DNS-Server („DNS Leakage“) gesendet. Deren Betreiber können hierdurch eine detaillierte Übersicht der IT-Ressourcen des Unternehmens erhalten.

Die betreffende Einstellung Multicastnamensauflösung deaktivieren („Turn off smart multi-homed name resolution“) unter Computer Configuration => Administrative Templates => Network > DNS Client.

GPO Multicastnamensauflösung deaktivieren

Schnittstellenmetrik in PowerShell anpassen

Die Schnittstellenmetriken der verschiedenen Netzwerk­verbindungen lassen sich in der PowerShell sortiert anzeigen, mit folgendem Befehl.

PS C:\> Get-NetIPInterface | Sort-Object Interfacemetric

Die PowerShell zeigt nun übersichtlich alle Schnittstellen Metriken.

Get-NetIPInterface Sort-Object Interfacemetric

Alternativ lassen sich die Metriken mit dem Dienstprogramm netsh.exe ausgeben, wenn auch nicht so detailiert wie in der PowerShell.

C:\> netsh int ip show interfaces

Idx     Met         MTU          State                Name
---  ----------  ----------  ------------  ---------------------------
  1          75  4294967295  connected     Loopback Pseudo-Interface 1
 10           5       65535  disconnected  OpenVPN Wintun
 12          40        1500  connected     WLAN
 15           5        1500  disconnected  Ethernet
  8          25        1500  disconnected  OpenVPN TAP-Windows6
 11          65        1500  disconnected  Bluetooth-Netzwerkverbindung
 17          25        1500  disconnected  OpenVPN Data Channel Offload
 16          25        1500  disconnected  LAN-Verbindung* 3
 22          25        1500  disconnected  LAN-Verbindung* 12
  4          35        1500  connected     VMware Network Adapter VMnet1
  6          35        1500  connected     VMware Network Adapter VMnet8

Die Schnittstellenmetrik wird in der PowerShell wie folgt geändert.

PS C:\> Set-NetIPInterface -InterfaceIndex <ifIndex Wert> -InterfaceMetric <Metrik>

Die Identifizierung des Netzwerkadapters erfolgt über den Parameter -InterfaceIndex, den man bei der Abfrage mit dem Cmdlet Get-NetIPInterface in der Spalte ifIndex erhält.

Fazit

In diesem Tutorial zeigen wir, wie die Namensauflösung bei VPN-Clients, über die getunnelte VPN-Verbindungen ermöglicht werden kann. Die Netzwerk Ressourcen werden aufgelöst und die Domänen-Controller zur Authentifizierung werden erreichbar. Die Anmeldung kann über Local Security Authority Subsystem Service (LSASS) erfolgen, dabei Gruppenrichtlinien und Anmeldeskripts ausgeführt werden.

Credential or ssl-vpn configuration is wrong in Windows

Credential or ssl-vpn configuration is wrong (-7200) bei FortiClient in Windows

Bei dem Versuch mit dem FortiClient eine SSL-VPN Verbindung auf Windows 10, Windows Server 2016 oder 2019 zu starten, kann es sein das die Fehlermeldung „Credential or ssl vpn configuration is wrong (-7200)“ erscheint. Die Ursache für den Abbruch bei der Initialisierung der Verbindung zum Endpunkt liegt in der Verschlüsselung, diese in den Einstellungen der Internetoptionen zu finden ist.

Ein weiteres Symptom kann festgestellt werden, so wird die SSL-VPN Verbindung und Authentifizierung zwar erfolgreich aufgebaut, jedoch sind entfernte Geräte nicht erreichbar, ICMP antworten bleiben aus und führen in Time Out.

SSL-VPN Credential Fehler in Windows

Gemäss Fortinet-Support werden die Einstellungen aus den Windows Internetoptionen übernommen. Die Internetoptionen der Systemsteuerung kann über den Internet Explorer (IE) geöffnet werden, oder mit dem direkten Aufruf von inetcpl.cpl.

Windows-Logo + R

Mit drücken der Tasten Win+R und der Eingabe inetcpl.cpl mit OK ausführen.

inetcpl.cpl Ausführen
Windows Systemsteuerung Netzwerk und Internet Einstellungen zuruecksetzen, Credential ssl-vpn

Wähle das Register Erweitert.

Klicke auf die Schaltfläche Zurücksetzen. Erscheint die Schaltfläche bei Internet Explorer-Einstellungen zurücksetzen nicht, weiter gehen zum nächten Schritt.

Klicke auf die Option Persönliche Einstellungen löschen

Klicke auf Zurücksetzen

Internetoptionen erneut öffnen.

Zurück zu Register Erweitert.

TLS 1.0 verwenden deaktivieren (wird nicht mehr unterstützt)

Beheben des Ereignis mit Windows Fehleranzeige, Credential or ssl vpn configuration is wrong.

Website zu Vertrauenswürdige Sites hinzufügen

Die SSL-VPN Gateway URL zu den vertrauenswürdigen Sites (Trusted Sites) hinzuzufügen. Normalerweise ist der SSL-VPN Gateway die FortiGate am Endpunkt.

Windows Internetoptionen Sicherheit Trusted Sites, Credential ssl-vpn

In den Internetoptionen zum Register Sicherheit gehen und bei Vertauenswürdige Sites die Schaltfläche Sites klicken. Mit der Schaltfläche Hinzufügen die URL https://sslvpn_gateway:10443 hier als Platzhalter.

Hinweis: Hier wurde das Fortinet Standardzertifikat für SSL VPN verwendet – die Verwendung eines validierten gültigen Zertifikates wird jedoch keinen Unterschied machen.

Weiter muss unter Zertifikate der SSL-Status gelöscht werden, dazu geht man zum Register Inhalt und klickt auf die Schaltfläche SSL-Status löschen.

Credential ssl-vpn windows, Internetoptionen SSL-Status löschen

SSL-VPN Credential in Windows

Die SSL-VPN Verbindung sollte nun mit dem FortiClient Version 6 oder neuer, auf einem Windows Server 2016 oder neuer, und Windows 10 möglich sein. Die Windows Fehleranzeige, Credential or ssl-vpn configuration is wrong, sollte nicht mehr erscheinen.