Saya memiliki domain yang bergabung dengan kotak Windows Server 2012 R2 yang memiliki perangkat lunak klien OpenVPN 2.3.13 diinstal di sana. Ketika koneksi VPN aktif, koneksi "Ethernet 2" (antarmuka TAP) ditempatkan ke dalam kategori Jaringan Domain di samping LAN NIC utama oleh NLA. Idealnya saya ingin dapat menetapkan antarmuka VPN ke kategori Publik. Saya sudah mencoba melalui PowerShell, tetapi mendapatkan kesalahan ini terus-menerus:
Tidak dapat mengatur NetworkCategory karena salah satu dari alasan berikut yang mungkin: tidak menjalankan PowerShell yang ditinggikan; NetworkCategory tidak dapat diubah dari 'DomainAuthenticated'; perubahan yang dilakukan pengguna terhadap NetworkCategory sedang dicegah karena pengaturan Kebijakan Grup 'Kebijakan Network List Manager'. Pada baris: 1 karakter: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI HASULT 2, Set-NetConnectionProfile
15 adalah nomor antarmuka "Ethernet 2"
Perlu dicatat, saya menjalankan perintah ini dalam sesi PowerShell yang ditinggikan dan saya telah mencoba semua kebijakan GPO yang tersedia tetapi kesalahannya terus-menerus terjadi. Sebagian besar informasi tentang NLA menyarankan beralih antara Swasta dan Publik harus bekerja, tetapi DomainAuthenicated tampaknya sedikit berbeda.
Metode registri tidak memiliki profil aktual untuk Ethernet 2, sehingga tidak dapat diubah dengan cara itu.
Apakah ada cara untuk memaksa adaptor TAP menjadi Publik? Koneksi OpenVPN sendiri tidak mengesampingkan gateway default NIC utama dan menggunakan subnet 10.0.0.0/8. Fakta yang saya gunakan route-nopull
dan timpa rute mungkin menjadi bagian dari masalah dengan cara NLA mendeteksi jaringan.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Alasan utama untuk perlu menetapkan profil Publik adalah untuk aturan firewall, saya mengalami masalah mencegah aplikasi tertentu hanya menggunakan antarmuka VPN, mampu menulis aturan firewall berbasis profil jaringan tampaknya berfungsi paling baik dalam hal ini, saya sudah mencoba menulis aturan berdasarkan alamat IP lokal tetapi ini tidak berhasil.
sumber
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies
- Ini tampaknya menyiratkan bahwa perubahan yang dilakukan pengguna dicegah melalui Kebijakan Grup. Untuk memungkinkan perubahan yang dilakukan pengguna, maka GPO harus dikonfigurasi untuk mengizinkannya. Sudahkah Anda menemukan domain GP tempat ini dikonfigurasi?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.
bukankah ini inti dari VPN? Jika Anda ingin meningkatkan keamanan bagi pengguna VPN, atur pengaturannya lebih tinggi diDomainAuthenticated
kategori, dan bahkan lebih tinggi diPublic
.gpupdate /force
saya tidak dapat mengatasi kesalahan itu, apa pun pengaturan yang saya ubah.Jawaban:
Di bawah ini akan menggunakan WMI / CIM.
sumber
Menghapus alamat adaptor 'publik' dari daftar alamat mendengarkan server DNS Anda akan melakukan trik.
sumber
Tinjau opsi ketiga "Menggunakan Firewall" di halaman ini: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Anda dapat mencegah profil jaringan DomainAuthenticated dengan menggunakan Windows Firewall untuk membuat aturan Outbound untuk memblokir layanan Windows "Kesadaran Lokasi Jaringan". Pastikan untuk menentukan IP Lokal dari adaptor VPN dalam aturan sehingga tidak mempengaruhi adaptor lain. Adaptor VPN sekarang harus diklasifikasikan sebagai profil jaringan "Publik".
sumber