我不知道从哪里开始,所以我会描述需求,希望有人能帮助我找出需要组装的构建块。
我们目前正在运行 Windows 2016 Server RAS/VPN 服务器,并且我们有 Windows、macOS 和 Linux 客户端,它们使用 L2TP over IPSec 连接到 VPN 端点。用户识别使用 Windows AD 登录名/密码。机器身份验证使用共享密钥。
从那里,我们希望更好地控制哪些客户端计算机可以连接到 VPN 端点。这不再需要使用共享密钥进行机器身份验证。
目前,我不知道我们是否可以/应该继续使用 LT2P,或者我们是否应该转向 IKEv2。由于我的知识有限,我甚至不确定现有的 Windows 2016 Server RAS/VPN 是否允许我们限制允许连接哪些客户端计算机。
有人能帮我拼一下这个拼图吗?谢谢!
PS:理想情况下,我们希望继续使用 Windows 2016 Server RAS,因为它使我们能够在客户端计算机上使用库存网络设置,而不是部署 OpenVPN
编辑
当我写作时
我们希望获得更多控制权客户端计算机可以连接到 VPN 端点
我的意思是我们不希望人们重复使用他们的凭证将个人设备连接到 VPN。我们只希望受信任/工作机器进行连接。
答案1
您可以使用网络策略服务器 (NPS)。这是 Windows 的一项功能,您可以将其添加到任何 Windows Server、网络策略和访问服务 (NPAS) 功能。然后,您可以向连接的客户端添加策略,例如检查它们是否已完全修补。当然,您可以继续使用 Windows 2016 Server RAS。
我以前在 Windows 2008 R2 服务器上使用过它,效果很好。后来我们改用了 OpenVPN。
IPSec 上的 L2TP 应该没问题,它仍然被广泛使用;然而 IKEv2 更为现代,被认为更安全、更快速。
答案2
关于你的澄清,
我们不希望人们重复使用他们的凭证将个人设备连接到 VPN。我们只希望受信任/工作机器连接
您可以使用证书而不是凭据在客户端上设置 VPN 连接。证书可以以不可导出的方式安装,至少在 Windows 客户端计算机上是如此,这样它们就无法导出并用于个人设备。这样您就可以确保只有受信任/工作机器才能连接。