J'ai un domaine joint à Windows Server 2012 R2 sur lequel est installé le logiciel client OpenVPN 2.3.13. Lorsque la connexion VPN est active, la connexion "Ethernet 2" (interface TAP) est placée dans la catégorie Réseau de domaine aux côtés de la carte réseau LAN principale par NLA. Idéalement, je veux pouvoir attribuer l'interface VPN à la catégorie Public. J'ai essayé via PowerShell, mais obtenez constamment cette erreur:
Impossible de définir NetworkCategory pour l'une des raisons possibles suivantes: ne pas exécuter PowerShell elevated; la NetworkCategory ne peut pas être modifiée de «DomainAuthenticated»; les modifications de NetworkCategory initiées par l'utilisateur sont empêchées en raison du paramètre de stratégie de groupe «Stratégies de gestionnaire de liste de réseaux». À la ligne: 1 caractère: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 est le numéro d'interface de "Ethernet 2"
Il convient de noter que j'exécute cette commande dans une session PowerShell élevée et que j'ai essayé toutes les stratégies GPO disponibles, mais l'erreur est constamment levée. La plupart des informations sur NLA suggèrent que le basculement entre privé et public devrait fonctionner, mais DomainAuthenicated semble un peu différent.
La méthode de registre n'a pas de profil réel pour Ethernet 2, elle ne peut donc pas être modifiée de cette façon non plus.
Est-il possible de forcer l'adaptateur TAP à être public? La connexion OpenVPN elle-même ne remplace pas la passerelle par défaut de la carte réseau principale et utilise le sous-réseau 10.0.0.0/8. Le fait que j'utilise route-nopull
et remplace les routes peut être une partie du problème avec la façon dont NLA détecte les réseaux.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
La raison principale de devoir attribuer le profil public est pour les règles de pare-feu, j'ai du mal à empêcher certaines applications d'utiliser uniquement l'interface VPN, être capable d'écrire des règles de pare-feu basées sur le profil réseau semble fonctionner mieux dans ce cas, j'ai essayé écrire des règles basées sur l'adresse IP locale mais cela n'a pas fonctionné.
la source
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies
- Cela semblerait impliquer que les modifications initiées par l'utilisateur sont empêchées via la stratégie de groupe. Afin d'autoriser les modifications initiées par l'utilisateur, l'objet de stratégie de groupe doit être configuré pour autoriser cela. Avez-vous localisé le domaine GP où il est configuré?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.
n'est-ce pas là tout l'intérêt du VPN? Si vous souhaitez augmenter la sécurité des utilisateurs VPN, définissez leurs paramètres plus haut dans laDomainAuthenticated
catégorie, et encore plus haut dansPublic
.gpupdate /force
je ne peux pas contourner cette erreur, quels que soient les paramètres que je modifie.Réponses:
Ce qui suit utilisera WMI / CIM.
la source
Supprimer les adresses de l'adaptateur «public» de la liste des adresses d'écoute de votre serveur DNS ferait l'affaire.
la source
Consultez la troisième option "Utilisation du pare-feu" sur cette page: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Vous pouvez empêcher le profil de réseau DomainAuthenticated en utilisant le pare-feu Windows pour créer une règle sortante pour bloquer le service Windows "Network Location Awareness". Assurez-vous de spécifier l'adresse IP locale de l'adaptateur VPN dans la règle afin qu'elle n'affecte pas les autres adaptateurs. L'adaptateur VPN doit maintenant être classé comme profil de réseau "public".
la source