У меня есть домен, присоединенный к Windows Server 2012 R2, на котором установлено клиентское программное обеспечение OpenVPN 2.3.13. Когда VPN-соединение активно, соединение «Ethernet 2» (интерфейс TAP) помещается NLA в категорию «Доменная сеть» рядом с основной сетевой картой LAN. В идеале я хочу иметь возможность назначить интерфейс VPN для категории Public. Я пробовал через PowerShell, но постоянно получаю эту ошибку:
Невозможно установить NetworkCategory по одной из следующих возможных причин: не запущен PowerShell с повышенными правами; Сетевая категория не может быть изменена с 'DomainAuthenticated'; Изменения, инициированные пользователем в NetworkCategory, предотвращаются из-за параметра групповой политики «Политики диспетчера списка сетей». В строке: 1 символ: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 - номер интерфейса «Ethernet 2»
Стоит отметить, что я запускаю эту команду в сеансе PowerShell с повышенными правами и перепробовал все доступные политики GPO, но постоянно выдается ошибка. Большая часть информации о NLA предполагает, что переключение между Private и Public должно работать, но DomainAuthenicated выглядит немного иначе.
Метод реестра не имеет фактического профиля для Ethernet 2, поэтому его нельзя изменить таким же образом.
Есть ли способ заставить адаптер TAP быть общедоступным? Само соединение OpenVPN не переопределяет шлюз по умолчанию основного сетевого адаптера и использует подсеть 10.0.0.0/8. Тот факт, что я использую route-nopullи переопределяю маршруты, может быть частью проблемы, связанной с тем, как NLA обнаруживает сети.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Основная причина необходимости назначения общего профиля - правила брандмауэра. У меня возникают проблемы с тем, чтобы некоторые приложения не могли использовать только интерфейс VPN, в этом случае лучше всего подходит возможность написания правил брандмауэра на основе сетевого профиля, я пробовал написание правил на основе локального IP-адреса, но это не сработало.
источник
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Это может означать, что инициируемые пользователем изменения предотвращаются с помощью групповой политики. Чтобы разрешить инициируемые пользователем изменения, необходимо настроить GPO, чтобы разрешить это. Вы нашли домен GP, где это настроено?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.разве это не весь смысл VPN? Если вы хотите повысить безопасность для пользователей VPN, установите их настройки выше вDomainAuthenticatedкатегории и еще выше вPublic.gpupdate /forceя не могу обойти эту ошибку, независимо от того, какие настройки я изменяю.Ответы:
Ниже будет использоваться WMI / CIM.
источник
Удаление адресов «публичного» адаптера из списка адресов прослушивания вашего DNS-сервера поможет вам.
источник
Просмотрите третий вариант «Использование брандмауэра» на этой странице: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html.
Вы можете предотвратить использование сетевого профиля DomainAuthenticated с помощью брандмауэра Windows, чтобы создать правило для исходящих сообщений, чтобы заблокировать службу Windows «Информация о расположении сети». Убедитесь, что в правиле указан локальный IP-адрес адаптера VPN, чтобы он не влиял на другие адаптеры. Адаптер VPN теперь следует классифицировать как «общедоступный» сетевой профиль.
источник