Hallo TH,
das mit dem dynamischen Gegenstellennamen hängt an der Art wie der interne Windows Client sich authentifiziert. Meines Wissens gibt es da im Windows keine Möglichkeit das zu ändern. Der LANCOM VPN-Client ist da deutlich komfortabler und kann das beeinflussen.
Der LANCOM VPN-Stack unterstützt eine ganze Menge an RADIUS-Attributen. Leider ist da der Name eine Firewall-Regel aktuell nicht dabei. Man kann es aber anders lösen: Man hängt an den AD-Benutzer ein RADIUS-Attribut, z.B. Framed-IP-Address (IETF-Attribut, siehe Referenz-Handbuch 11.20.3 RADIUS-Unterstützung für IKEv2), um den VPN-User eine feste Adresse zuzuweisen. Das hat Vorrang vor dem lokalen Pool. Mit der festen IP-Adresse stellst Du einen Bezug zu der passenden Firewall-Regel her.
Leider habe ich das in der Praxis noch nicht gemacht, wie man das auf dem AD/NPS genau macht.
Alternativ gibt es noch das Vendor-Specific-Attribut LCS-Routing-Tag, womit man einen VPN-User in einen Routing-Kontext schubst. Auf dem Free-RADIUS ist das kein Problem. Das wird aber vmtl. komplizierter als mit der Framed-IP-Address.
Mit dem RADIUS-Trace kannst Du prüfen, ob das Attribut korrekt vom NPS kommt. Das IKEv2 übernimmt das Attribut, wenn es kommt ohne besondere Config.
Routen kannst Du mit "Framed-Route" übertragen. Dann setzt der LANCOM einen Routing-Eintrag zu diesem Client. Ist aber vmtl. nicht was Du suchst.
Viel Erfolg.
das mit dem dynamischen Gegenstellennamen hängt an der Art wie der interne Windows Client sich authentifiziert. Meines Wissens gibt es da im Windows keine Möglichkeit das zu ändern. Der LANCOM VPN-Client ist da deutlich komfortabler und kann das beeinflussen.
Der LANCOM VPN-Stack unterstützt eine ganze Menge an RADIUS-Attributen. Leider ist da der Name eine Firewall-Regel aktuell nicht dabei. Man kann es aber anders lösen: Man hängt an den AD-Benutzer ein RADIUS-Attribut, z.B. Framed-IP-Address (IETF-Attribut, siehe Referenz-Handbuch 11.20.3 RADIUS-Unterstützung für IKEv2), um den VPN-User eine feste Adresse zuzuweisen. Das hat Vorrang vor dem lokalen Pool. Mit der festen IP-Adresse stellst Du einen Bezug zu der passenden Firewall-Regel her.
Leider habe ich das in der Praxis noch nicht gemacht, wie man das auf dem AD/NPS genau macht.
Alternativ gibt es noch das Vendor-Specific-Attribut LCS-Routing-Tag, womit man einen VPN-User in einen Routing-Kontext schubst. Auf dem Free-RADIUS ist das kein Problem. Das wird aber vmtl. komplizierter als mit der Framed-IP-Address.
Mit dem RADIUS-Trace kannst Du prüfen, ob das Attribut korrekt vom NPS kommt. Das IKEv2 übernimmt das Attribut, wenn es kommt ohne besondere Config.
Routen kannst Du mit "Framed-Route" übertragen. Dann setzt der LANCOM einen Routing-Eintrag zu diesem Client. Ist aber vmtl. nicht was Du suchst.
Viel Erfolg.
Statistik: Verfasst von Frühstücksdirektor — vor 9 Minuten
