Mam domenę przyłączoną do systemu Windows Server 2012 R2, na którym jest zainstalowane oprogramowanie klienckie OpenVPN 2.3.13. Gdy połączenie VPN jest aktywne, połączenie „Ethernet 2” (interfejs TAP) jest umieszczane w kategorii Network Domain obok głównej karty sieciowej LAN przez NLA. Idealnie chciałbym móc przypisać interfejs VPN do kategorii Public. Próbowałem za pomocą programu PowerShell, ale ciągle pojawia się ten błąd:
Nie można ustawić NetworkCategory z jednego z następujących możliwych powodów: nie uruchomiono programu PowerShell z podwyższonym poziomem uprawnień; NetworkCategory nie można zmienić z „DomainAuthenticated”; inicjowane przez użytkownika zmiany w NetworkCategory są zapobiegane z powodu ustawienia zasad grupy „Network List Manager Policies”. W wierszu: 1 znak: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Publiczny + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 to numer interfejsu „Ethernet 2”
Warto zauważyć, że uruchamiam to polecenie w podwyższonej sesji PowerShell i próbowałem wszystkich dostępnych zasad GPO, ale błąd jest ciągle zgłaszany. Większość informacji o NLA sugeruje, że przełączanie między prywatnym a publicznym powinno działać, ale DomainAuthenicated wydaje się nieco inny.
Metoda rejestru nie ma rzeczywistego profilu dla Ethernetu 2, więc też nie można go zmienić w ten sposób.
Czy w ogóle istnieje wymuszenie, aby adapter TAP był publiczny? Samo połączenie OpenVPN nie zastępuje domyślnej bramy głównej karty sieciowej i korzysta z podsieci 10.0.0.0/8. Fakt, że używam route-nopull
i zastępuję trasy, może być częścią problemu ze sposobem, w jaki NLA wykrywa sieci.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Głównym powodem konieczności przypisania profilu publicznego są reguły zapory, mam problem z uniemożliwieniem niektórym aplikacjom korzystania tylko z interfejsu VPN, ponieważ pisanie reguł zapory opartych na profilu sieci wydaje się działać najlepiej w tym przypadku, próbowałem pisanie reguł na podstawie lokalnego adresu IP, ale to nie działało.
źródło
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies
- Wydaje się to sugerować, że zmiany zainicjowane przez użytkownika są zapobiegane przez zasady grupy. Aby umożliwić zmiany inicjowane przez użytkownika, należy skonfigurować GPO, aby na to zezwalać. Czy zlokalizowałeś GP domeny, w której jest to skonfigurowane?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.
czy to nie jest cały punkt VPN? Jeśli chcesz zwiększyć bezpieczeństwo użytkowników VPN, ustaw ich ustawienia wyżej wDomainAuthenticated
kategorii, a jeszcze wyżej wPublic
.gpupdate /force
Nie mogę obejść tego błędu bez względu na to, jakie ustawienia zmienię.Odpowiedzi:
Poniżej użyje WMI / CIM.
źródło
Usunięcie adresów „publicznego” adaptera z listy adresów nasłuchujących twojego serwera DNS załatwi sprawę.
źródło
Przejrzyj trzecią opcję „Korzystanie z zapory” na tej stronie: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Można zapobiec profilowi sieciowemu DomainAuthentified za pomocą Zapory systemu Windows w celu utworzenia reguły wychodzącej w celu zablokowania usługi Windows „Rozpoznawanie lokalizacji sieciowej”. Upewnij się, że w regule podałeś Lokalny adres IP karty VPN, aby nie wpływał on na inne karty. Adapter VPN należy teraz zaklasyfikować jako profil sieci „Publiczny”.
źródło