У мене домен приєднався до вікна Windows Server 2012 R2, на якому встановлено клієнтське програмне забезпечення OpenVPN 2.3.13. Коли активне VPN-з'єднання, з'єднання "Ethernet 2" (інтерфейс TAP) розміщується в категорії доменних мереж поряд з основним NIC LAN від NLA. В ідеалі я хочу мати можливість присвоїти інтерфейс VPN категорії "Громадський". Я пробував через PowerShell, але постійно отримую цю помилку:
Неможливо встановити категорію Network через одну з наступних можливих причин: не працює PowerShell підвищено; мережеву категорію не можна змінити з "DomainAuthentication"; Ініційовані користувачем зміни в NetworkCategory запобігаються завдяки налаштуванню групової політики "Політики мережевого списку". У рядку: 1 char: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 - номер інтерфейсу "Ethernet 2"
Варто зауважити, я запускаю цю команду на підвищеному сеансі PowerShell і чи я спробував усі доступні політики GPO, але помилка постійно кидається. Більшість інформації про NLA пропонують переключитися між приватним та загальнодоступним, але DomainAuthenicated здається дещо іншим.
Метод реєстру не має фактичного профілю для Ethernet 2, тому його також неможливо змінити.
Чи потрібно змусити адаптер TAP бути загальнодоступним? Підключення OpenVPN саме по собі не скасовує шлюз за замовчуванням основної NIC і використовує підмережу 10.0.0.0/8. Те, що я використовую route-nopullі переосмислюю маршрути, може бути частиною проблеми з тим, як NLA визначає мережі.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Основна причина необхідності призначати загальнодоступний профіль - це правила брандмауера, у мене виникають проблеми з тим, щоб певні програми не використовували лише інтерфейс VPN, а можливість записувати правила брандмауера на основі мережевих профілів в цьому випадку найкраще працює, я намагався правила написання на основі локальної IP-адреси, але це не спрацювало.
When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. чи не в цьому суть VPN? Якщо ви хочете збільшити безпеку для користувачів VPN, встановіть їх налаштування вище в DomainAuthenticatedкатегорії і навіть вище в Public.
gpupdate /forceЯ не можу обійти цю помилку, незалежно від налаштувань, які я змінюю.
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Це, мабуть, означає, що ініційовані користувачем зміни запобігаються груповою політикою. Щоб дозволити зміни, ініційовані користувачем, тоді потрібно налаштувати групову групу, щоб це дозволило. Ви знаходили доменний GP, де це налаштовано?