Nyligen har jag infört Always On VPN-enhets tunnel.
Av ca 200 arbetsplatsskrivborden, kopplar ungefär 10-20 stycken varje dag till den, trots att det är inställt att inte göra det i XML-konfigurationen, särskilt denna del: <TrustedNetworkDetection>office.company.com</TrustedNetworkDetection> där office.company.com är det interna domännamnet. Det är inställt i DHCP-alternativ 015 och alla datorer får det lyckas – både de som kopplar upp sig mot VPN när de inte ska och de som inte gör det som de ska.
Jag har svårt att felsöka detta.
Jag ser inga loggar någonstans varken på klienten eller servern, och att söka i vanliga källor för svar om anything-alwaysonvpn (Richard Hicks blogg) ger inget tydligt svar på det här problemet.
Jag stötte på samma problem och ‘löste’ det genom att ta bort alltid på VPNs DNS-post från vår interna DNS. På så sätt kan det inte lösas om TND misslyckas, och anslutningen misslyckas när man är inne i nätverket.
Det kanske inte är svaret du söker, men som du redan har sett är den här typen av upptäckt inte särskilt tillförlitlig. Det är också sannolikt lätt att lura för en angripare, tänk dig att jag sätter upp ett nätverk med rätt DHCP-alternativ – kan jag få dina användare att inte använda VPN:n? Jag har inget direkt förslag på hur man fixar detta, men det kan vara värt att ställa frågan: kan du tolerera att de bara använder VPN hela tiden? Om det orsakar andra problem att vara på VPN, kanske det är bättre att fixa de problemen istället?
Kanske har du redan tänkt på detta. De VPN-upplägg jag sett som har tillförlitlig upptäckt brukar ha en slutpunktsagent som försöker att mutuaautentisera mot en NAC/802.1X-lösning med certifikat och sedan kräver VPN och/eller använder andra policys om det inte kan göras. Den gemensamma autentiseringen gör upptäckten mycket tydligare.
Aha, så i princip, oavsett vad VPN-värdnamnet är, som vpn.company.com till exempel, gör du det olösligt internt? Lite klumpigt men fungerar tydligen, tack så mycket.
Jag förstår vad du menar. Först och främst – den där icke-ska VPN-anslutningen orsakar inte problem, eller åtminstone har jag inte sett några hittills. Det är bara det att den inte borde vara som den är, och det är därför jag undersöker det, inte för att något är trasigt. En slags förebyggande åtgärder ifall det skulle störa något senare.
När det gäller VPN/säkerhetsgrejer – det är en enhets tunnel, det används främst för att logga in på fjärrplatser utan site-to-site VPN, för certifikatregistrering för WFH-användare och liknande – inte något användarna behöver för sin dagliga arbetsuppgift.