Eu tenho um domínio ingressado na caixa do Windows Server 2012 R2 que possui o software cliente OpenVPN 2.3.13 instalado. Quando a conexão VPN está ativa, a conexão "Ethernet 2" (interface TAP) é colocada na categoria Rede de Domínio, ao lado da NIC da LAN principal da NLA. Idealmente, quero poder atribuir a interface VPN à categoria Pública. Eu tentei via PowerShell, mas receba esse erro constantemente:
Não foi possível definir a Categoria da Rede devido a um dos seguintes motivos possíveis: não executando o PowerShell elevado; a NetworkCategory não pode ser alterada de 'DomainAuthenticated'; as alterações iniciadas pelo usuário em NetworkCategory estão sendo evitadas devido à configuração de Diretiva de Grupo 'Diretivas do Gerenciador de Lista de Rede'. Na linha: 1 char: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 é o número da interface "Ethernet 2"
É importante notar que estou executando este comando em uma sessão elevada do PowerShell e tentei todas as políticas de GPO disponíveis, mas o erro é constantemente gerado. A maioria das informações sobre o NLA sugere que a alternância entre Privado e Público deve funcionar, mas o DomainAuthenicated parece um pouco diferente.
O método de registro não possui um perfil real para Ethernet 2, portanto também não pode ser alterado dessa maneira.
Existe alguma maneira de forçar o adaptador TAP a ser Público? A conexão OpenVPN em si não substitui o gateway padrão da NIC principal e usa a sub-rede 10.0.0.0/8. O fato de eu usar route-nopulle substituir as rotas pode fazer parte do problema com a maneira como o NLA detecta as redes.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
O principal motivo para a necessidade de atribuir o perfil Público é por regras de firewall. Estou com problemas para impedir que certos aplicativos usem apenas a interface VPN. Ser capaz de escrever regras de firewall baseadas em perfil de rede parece funcionar melhor nesse caso. Tentei escrever regras com base no endereço IP local, mas isso não funcionou.
fonte
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Isso parece implicar que as alterações iniciadas pelo usuário são impedidas por meio da Diretiva de Grupo. Para permitir alterações iniciadas pelo usuário, o GPO precisa ser configurado para permitir isso. Você localizou o domínio GP onde está configurado?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.esse não é o objetivo da VPN? Se você deseja aumentar a segurança dos usuários da VPN, defina as configurações mais altas naDomainAuthenticatedcategoria e ainda maisPublic.gpupdate /force. Não consigo contornar esse erro, independentemente das configurações que eu altero.Respostas:
O abaixo usará WMI / CIM.
fonte
Remover os endereços do adaptador 'público' da lista de endereços de escuta do servidor DNS faria o truque.
fonte
Revise a terceira opção "Usando o firewall" nesta página: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Você pode impedir o perfil de rede autenticado pelo domínio usando o Firewall do Windows para criar uma regra de saída para bloquear o serviço "Reconhecimento do local de rede" do serviço do Windows. Certifique-se de especificar o IP local do adaptador VPN na regra para que não afete outros adaptadores. O adaptador VPN agora deve ser classificado como perfil de rede "Público".
fonte