Я совершенно не знаю, с чего начать, поэтому опишу потребности в надежде, что кто-то поможет мне разобраться в строительных блоках, которые необходимо собрать.
В настоящее время мы используем сервер RAS / VPN для Windows 2016, и у нас есть клиенты для Windows, macOS и Linux, которые подключаются к конечной точке VPN с помощью L2TP через IPSec. Для идентификации пользователя используется логин / пароль Windows AD. А машинная аутентификация использует общий секрет.
Оттуда мы хотели бы получить больший контроль над тем, какие клиентские машины может подключиться к конечной точке VPN. Это отход от использования общего секрета для аутентификации компьютера.
На данный момент я не знаю, можем ли мы / должны продолжать использовать LT2P или нам следует перейти на IKEv2. Из-за моих ограниченных знаний я даже не уверен, что стандартный Windows 2016 Server RAS / VPN позволит нам ограничить, каким клиентским машинам разрешено подключаться.
Может кто-нибудь помочь мне собрать эту головоломку? Спасибо!
PS: В идеале мы хотели бы продолжать использовать Windows 2016 Server RAS, поскольку это позволяет нам использовать настройки стандартных сетей на клиентских машинах по сравнению, например, с развертывание OpenVPN
Когда я пишу
мы хотели бы получить больший контроль над тем, какие клиентские машины может подключиться к конечной точке VPN
Я имею в виду, что мы не хотим, чтобы люди повторно использовали свои учетные данные для подключения личных устройств к VPN. Мы хотим, чтобы подключались только доверенные / рабочие машины.
Вы можете использовать сервер политики сети (NPS). Это функция Windows, вы можете добавить ее к любой функции Windows Server, Network Policy and Access Services (NPAS). Затем вы можете добавить политики для подключенных клиентов, например, чтобы проверить, полностью ли они пропатчены. Конечно, вы можете продолжать использовать Windows 2016 Server RAS.
Раньше я эффективно использовал его на сервере Windows 2008 R2. Позже мы перешли на OpenVPN.
L2TP через IPSec должен быть в порядке, он все еще широко используется; тем не менее, IKEv2 более современный, считается более безопасным и быстрым.
Что касается вашего разъяснения,
мы не хотим, чтобы люди повторно использовали свои учетные данные для подключения личных устройств к VPN. Нам нужны только доверенные / рабочие машины для подключения
Вы можете использовать сертификаты вместо учетных данных для настройки VPN-соединений на клиентах. Сертификаты могут быть установлены без возможности экспорта, по крайней мере, на клиентских машинах Windows, чтобы их нельзя было экспортировать и использовать на личных устройствах. Таким образом, вы можете быть уверены, что подключатся только доверенные / рабочие машины.