Beim Betrieb eines Windows Remote Access Servers zur VPN Einwahl stehen mehrere VPN Protokolle zur Auswahl. Während L2TP und IKEv2 von Haus aus mehrere Authentifizierungsfaktoren verwenden können (Clientzertifikat + Usercredentials) ist dies bei SSTP nicht möglich (keine Zertifikat-basierte Authentifizierung, nur Benutzername+Passwort). Dies ist sehr schade, weil nur SSTP die Möglichkeit bietet, in eingeschränkten Netzwerken (in denen nur Port 80 & 443 ausgehend geöffnet sind, z.B. Hotels) eine Verbindung herzustellen.
Mittels dem Dienst von DUO Security kann der zweite Faktor nachgerüstet werden. Der Hersteller hat dafür sogar eine Step-by-Step Anleitung veröffentlicht: https://duo.com/docs/rras
Diese reicht zur erfolgreichen Konfiguration vollkommen aus, hinzufügen kann ich nur folgendes: Der Proxy muss zwingend auf einem weiteren Server installiert werden, die lokale Installation auf dem RAS-Server funktioniert nicht.
Somit hat man das beste aus zwei Welten, ein sicheres VPN welches in jedem Netzwerk funktioniert.
Keine Kommentare:
Kommentar veröffentlichen
Vielen Dank für Ihren Kommentar. Dieser wird vor Veröffentlichung geprüft.