Tengo un dominio unido a Windows Server 2012 R2 box que tiene instalado el software de cliente OpenVPN 2.3.13. Cuando la conexión VPN está activa, la conexión "Ethernet 2" (interfaz TAP) se coloca en la categoría Red de dominio junto con la NIC LAN principal por NLA. Idealmente, quiero poder asignar la interfaz VPN a la categoría Público. He intentado a través de PowerShell, pero recibo este error constantemente
No se puede establecer la NetworkCategory debido a uno de los siguientes motivos posibles: no se ejecuta PowerShell elevado; NetworkCategory no se puede cambiar de 'DomainAuthenticated'; los cambios iniciados por el usuario en NetworkCategory se impiden debido a la configuración de la Política de grupo 'Políticas del Administrador de lista de red'. En línea: 1 carácter: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: Permiso denegado: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULTADO 2, Set-NetConnectionProfile
15 es el número de interfaz de "Ethernet 2"
Vale la pena señalar, estoy ejecutando este comando en una sesión elevada de PowerShell y he probado todas las políticas de GPO disponibles, pero el error se produce constantemente. La mayoría de la información sobre NLA sugiere que cambiar entre Privado y Público debería funcionar, pero DomainAuthenicated parece un poco diferente.
El método de registro no tiene un perfil real para Ethernet 2, por lo que tampoco se puede cambiar de esa manera.
¿Hay alguna forma de forzar que el adaptador TAP sea público? La conexión OpenVPN en sí no anula la puerta de enlace predeterminada de la NIC principal y utiliza la subred 10.0.0.0/8. El hecho de que use route-nopull
y anule las rutas podría ser parte del problema con la forma en que NLA detecta las redes.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
La razón principal para la necesidad de asignar el perfil Público es para las reglas del firewall, tengo problemas para evitar que ciertas aplicaciones solo usen la interfaz VPN, poder escribir reglas de firewall basadas en el perfil de red parece funcionar mejor en este caso, lo he intentado escribir reglas basadas en la dirección IP local pero esto no funcionó.
fuente
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies
- Esto parece implicar que los cambios iniciados por el usuario se evitan mediante la Política de grupo. Para permitir cambios iniciados por el usuario, el GPO debe configurarse para permitirlo. ¿Has localizado el dominio GP donde está configurado?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.
¿no es este el objetivo de VPN? Si desea aumentar la seguridad para los usuarios de VPN, establezca su configuración más arriba en laDomainAuthenticated
categoría, e incluso más arribaPublic
.gpupdate /force
No puedo evitar ese error sin importar qué configuración cambie.Respuestas:
Lo siguiente usará WMI / CIM.
fuente
Eliminar las direcciones del adaptador 'público' de la lista de direcciones de escucha de su servidor DNS sería el truco.
fuente
Revise la tercera opción "Uso del firewall" en esta página: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Puede evitar el perfil de red autenticado por dominio utilizando el Firewall de Windows para crear una regla de salida para bloquear el servicio de Windows "Conocimiento de ubicación de red". Asegúrese de especificar la IP local del adaptador VPN en la regla para que no afecte a otros adaptadores. El adaptador VPN ahora debe clasificarse como perfil de red "Público".
fuente