У меня есть домен, присоединенный к Windows Server 2012 R2, на котором установлено клиентское программное обеспечение OpenVPN 2.3.13. Когда соединение VPN активно, соединение "Ethernet 2" (интерфейс TAP) помещается в категорию доменной сети вместе с основным сетевым адаптером LAN посредством NLA. В идеале я хочу иметь возможность отнести VPN-интерфейс к категории Public. Я пробовал через PowerShell, но постоянно получаю эту ошибку:
Невозможно установить NetworkCategory по одной из следующих возможных причин: не работает PowerShell с повышенными привилегиями; нельзя изменить NetworkCategory с «DomainAuthenticated»; Инициированные пользователем изменения в NetworkCategory предотвращаются из-за настройки групповой политики «Политики диспетчера списков сетей». В строке: 1 символ: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 - номер интерфейса «Ethernet 2»
Стоит отметить, что я запускаю эту команду в сеансе PowerShell с повышенными правами и пробовал ли я все доступные политики GPO, но ошибка постоянно возникает. Большая часть информации о NLA предполагает, что переключение между Private и Public должно работать, но DomainAuthenicated кажется немного другим.
Метод реестра не имеет фактического профиля для Ethernet 2, поэтому его тоже нельзя изменить.
Есть ли способ заставить адаптер TAP быть публичным? Само соединение OpenVPN не отменяет шлюз по умолчанию основной сетевой карты и использует подсеть 10.0.0.0/8. Тот факт, что я использую route-nopull и переопределение маршрутов может быть частью проблемы с тем, как NLA обнаруживает сети.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Основная причина необходимости назначать общедоступный профиль - это правила брандмауэра, у меня возникают проблемы с предотвращением использования некоторыми приложениями только интерфейса VPN, в этом случае лучше всего работает возможность писать правила брандмауэра на основе сетевого профиля, я пробовал писать правила на основе локального IP-адреса, но это не сработало.
Ниже будет использоваться WMI / CIM.
get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}
Просмотрите третий вариант «Использование брандмауэра» на этой странице: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Вы можете предотвратить сетевой профиль DomainAuthenticated, используя брандмауэр Windows для создания правила для исходящего трафика, чтобы заблокировать службу Windows «Распознавание сетевого расположения». Обязательно укажите в правиле локальный IP-адрес адаптера VPN, чтобы он не влиял на другие адаптеры. Теперь адаптер VPN должен быть классифицирован как «Общедоступный» сетевой профиль.
Удаление адресов «общедоступного» адаптера из списка адресов прослушивания вашего DNS-сервера сделает свое дело.