Сценарий подключения VPN для Windows 10

Обновлено: 06.07.2024

ФилипДАт

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Несмотря на ошибку, метод GPO Powershell работает. Невозможно изменить команду Powershell, чтобы избежать ошибки.

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

"-EncryptionLevel Optional" Согласно политике компании, это не вариант для нас, а также не соответствует тому, что Meraki говорит нам настроить (требуется шифрование).

ФилипДАт

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Давайте сразу проясним это.

В первую очередь раскупается соединение IPSec. Все, что идет по этому пути, зашифровано. L2TP работает через это соединение IPSec.

100 % всего, что отправляется, зашифровано.

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Я использую предоставленный вами сценарий PowerShell, и он отлично работает для моих требований.

Просто нужно немного подправить.

Можем ли мы включить сценарий проверки, чтобы, если установлен тот же клиентский VPN, он пропустил установку.

Что происходит, когда я отправляю скрипт на все компьютеры, на которых когда-либо уже был установлен клиентский VPN, отключается от VPN, и скрипт переустанавливает его снова на том же компьютере.

Мне нужно проверить сценарий, если на клиенте установлен такой же vpn, он пропустит установку на той же конечной точке и продолжит с другой конечной точкой, на которой не установлен такой же клиентский vpn,

Пожалуйста, предложите что-нибудь, я мало знаком с PowerShell.

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Я преуменьшил значение этого поста и теперь использую CMAK, поскольку локальный администратор не требуется, если вы не используете таблицу маршрутизации. Эти сценарии работают, но в итоге установщик был развернут через CMAK.

2 Сценарии используют объект групповой политики для создания оболочки Logon Power. Первый сценарий запускает второй сценарий

Я обнаружил, что этот метод не будет запрашивать UAC и даже запоминает логин после первого подключения.

первоначальный пункт назначения — клиентский пул vpn, второй — способ, которым я перенаправляю трафик обратно в локальную сеть из Azure

powershell -ExecutionPolicy ByPass -File '\\path\to\where\second\script\is\Clientvpn2.ps1'

$ServerAddress = "vpnaddress.mydomain.com"
$ConnectionName = "Meraki Secure Client VPN"
$PresharedKey = "putyoursecrethere"
$Destination = "10.0.2.0/24"
$Destination2 = "172.27.26.0/23"
Add-VpnConnection -Name "$ConnectionName" -ServerAddress "$ServerAddress" -DnsSuffix "mydnssuffix.com" -TunnelType L2tp -L2tpPsk "$PresharedKey" - AuthenticationMethod Pap -Force
Set-VpnConnection -Name "$ConnectionName" -SplitTunneling $True -RememberCredential $True -Force
Add-Vpnconnectionroute -Connectionname $ConnectionName -DestinationPrefix $Destination
Add-Vpnconnectionroute - Имя соединения $ConnectionName -DestinationPrefix $Destination2

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Мы используем метод powershell, но просто отметим, что иногда обновления Windows 10 приводят к сбросу настроек, и вам нужно будет повторно отправить и запустить скрипт.

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Теперь, когда у меня развернуто 3 MX (Hub Mesh), я обнаружил, что использование CMAK для установщика Windows VPN работает нормально. Мне не нужно иметь дело с маршрутами, а пользователям не нужен доступ администратора на устройстве для установки.

Пользователи, подключающиеся к клиентскому VPN на моем основном концентраторе, имеют доступ ко всем остальным концентраторам в сетке.

ФилипДАт

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

CMAK создает набор файлов. Как вы распространяете их среди пользователей? Заархивировать их?

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Я думал то же самое, но это просто исходные файлы для сборки или изменения .exe. так что вы просто распространяете файл Filename.exe, что я сделал, поместил файл на внутренний веб-сайт и просто дал URL-адрес

URL-адрес веб-сайта /файл vpn.exe

просто нужен один файл, который можно настроить с помощью логотипов компании, чтобы он не был таким универсальным.

ФилипДАт

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Я вижу, что он доступен (CMAK) в разделе «Управление дополнительными функциями» в Windows 10.Думаю, еще раз присмотрюсь к этому средству. Спасибо за совет.

  • Отметить как новое
  • Добавить в закладки
  • Подписаться
  • Отключить звук
  • Отправить сообщение другу

Перенос 100 локальных пользователей с ASA на их новый клиент Meraki VPN, подключенный к их AD.

Я хочу включить это в сценарий входа, чтобы, когда пользователь входит в систему, новый клиент Meraki Client VPN автоматически создавался на множестве компьютеров.

Расскажите, что вы думаете

Добавляет VPN-подключение в телефонную книгу диспетчера подключений.

Синтаксис

Описание

Командлет Add-VpnConnection добавляет VPN-подключение с указанными параметрами в телефонную книгу диспетчера подключений. Если при создании профиля VPN возникают ошибки, командлет возвращает информацию об ошибке.

Примеры

Пример 1. Добавление VPN-подключения

Эта команда добавляет VPN-подключение с именем Test1 к серверу с IP-адресом 10.1.1.1. Указав параметр PassThru, вы можете увидеть конфигурацию объекта VPN-подключения.

Пример 2. Добавление VPN-подключения с альтернативным методом аутентификации

Эта команда добавляет VPN-соединение с именем Test3 к серверу с IP-адресом 10.1.1.1. В этом подключении используется метод проверки подлинности MSCHAPv2, указанный в параметре AuthenticationMethod. Дополнительные параметры указывают, что соединение:

  • Использует учетные данные для входа в Windows (параметр UseWinlogonCredential)
  • Использует раздельное туннелирование (параметр SplitTunneling)
  • Хранится в глобальной телефонной книге (параметр AllUserConnection)
  • Кэширует учетные данные, использованные для первого успешного подключения (параметр RememberCredential)

Указав параметр PassThru, вы можете увидеть конфигурацию объекта VPN-подключения.

Пример 3. Добавление VPN-подключения, использующего аутентификацию EAP

Эта команда добавляет VPN-соединение с именем Test4 к серверу с IP-адресом 10.1.1.1. В этом подключении используется метод аутентификации EAP по умолчанию, указанный параметром AuthenticationMethod. Предварительно общий ключ для соединения указывается параметром L2tpPsk. Дополнительные параметры указывают, что соединение:

  • Использует раздельное туннелирование (параметр SplitTunneling)
  • Хранится в глобальной телефонной книге (параметр AllUserConnection)
  • Кэширует учетные данные, использованные для первого успешного подключения (параметр RememberCredential)

Указав параметр PassThru, вы можете увидеть конфигурацию объекта VPN-подключения.

Пример 4. Добавление VPN-подключения, использующего собственный метод аутентификации EAP

Этот набор команд добавляет VPN-подключение с помощью пользовательского метода аутентификации EAP. Дополнительные сведения о настраиваемых методах проверки подлинности EAP см. в командлете New-EapConfiguration.

Пример 5. Добавление VPN-подключения, использующего уже созданную XML-конфигурацию EAP

Этот набор команд добавляет VPN-подключение с использованием уже созданной XML-конфигурации EAP. Дополнительные сведения о создании XML-конфигурации EAP см. в разделе Конфигурация EAP.

Параметры

Указывает, что командлет добавляет VPN-подключение к записям глобальной телефонной книги.

Тип: SwitchParameter
Позиция:7
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Запускает командлет как фоновое задание. Используйте этот параметр для запуска команд, выполнение которых занимает много времени.

Тип: SwitchParameter
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:False
Допускать подстановочные знаки:False

Указывает метод проверки подлинности для VPN-подключения.

Тип: String [ ]
Допустимые значения:Pap, Глава, MSChapv2, Eap, MachineCertificate
Позиция:5
Значение по умолчанию:Нет
Принимать ввод конвейера:True
Допускать подстановочные знаки: Неверно

Запускает командлет в удаленном сеансе или на удаленном компьютере. Введите имя компьютера или объект сеанса, например выходные данные командлета New-CimSession или Get-CimSession. По умолчанию используется текущий сеанс на локальном компьютере.

Тип: CimSession [ ]
Псевдонимы:Сессия
Позиция:Имя
Значение по умолчанию:Нет
Принимать ввод конвейера:False
Допускать подстановочные знаки:False< /td>

Запрашивает подтверждение перед запуском командлета.

< /tr>

Определяет XML-документ, который позволяет поставщикам указывать пользовательскую информацию о конфигурации.

Тип: SwitchParameter
Псевдонимы:cf
Позиция:Имя
Значение по умолчанию:False
Принимать ввод конвейера:False
Допускать подстановочные знаки:False
Тип: XmlDocument
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает DNS-суффикс VPN-подключения.

Тип: Строка
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает содержимое XML-файла конфигурации EAP, который включает идентификатор метода EAP.

Тип: XmlDocument
Позиция:11
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает уровень шифрования для VPN-подключения.

Тип: String
Допустимые значения:NoEncryption, Необязательно, Обязательное, максимальное, пользовательское
Позиция:4
Значение по умолчанию: Нет
Принимать ввод конвейера:Истина
Допускать подстановочные знаки:Ложь

Указывает, что значение предварительного общего ключа (PSK) передается по незащищенному каналу, если используется L2TP.

Тип: SwitchParameter
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:False
Допускать подстановочные знаки:False

Указывает время в секундах, по истечении которого незанятое соединение будет закрыто.

Тип: UInt32
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает значение PSK, которое будет использоваться для аутентификации L2TP. Если этот параметр не указан, для L2TP используется сертификат.

Тип: Строка
Позиция:8
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает массив фильтров расширенного использования ключа (EKU) для выбора сертификата машины Internet Key Exchange версии 2 (IKEv2).

Тип: Строка [ ]
Позиция:Имя
Значение по умолчанию:Нет
Принять ввод конвейера:True< /td>
Допускать подстановочные знаки:False

Указывает сертификат X509 фильтра издателя для выбора сертификата компьютера IKEv2.

Тип: X509Certificate2
Позиция:Имя
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает имя этого профиля VPN-подключения.

< /tr>

Возвращает объект, представляющий элемент, с которым вы работаете. По умолчанию этот командлет не создает никаких выходных данных.

Тип: String
Псевдонимы:ConnectionName
Позиция:1
Значение по умолчанию:Нет
Принимать ввод конвейера:Истина
Допускать подстановочные знаки:Ложь
Тип: SwitchParameter
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:False
Допускать подстановочные знаки:False

Указывает идентификатор для стороннего приложения.

Тип: Строка
Позиция:10
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает, что учетные данные, предоставленные во время первого успешного подключения, хранятся в кеше.

Тип: SwitchParameter
Позиция:9
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает адрес удаленного VPN-сервера, к которому подключается клиент. Вы можете указать адрес как URL, адрес IPv4 или адрес IPv6.

Тип: String
Псевдонимы:ServerName, DefaultServer
Позиция:2
Значение по умолчанию:Нет
Принимать ввод конвейера:True
Допускать подстановочные знаки:False< /td>

Указывает массив VPN-серверов. Клиент VPN может подключаться к этим серверам.

Тип: CimInstance [ ]
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:True< /td>
Допускать подстановочные знаки:False

Указывает, что командлет включает раздельное туннелирование для этого профиля VPN-подключения. При включении раздельного туннелирования трафик к пунктам назначения за пределами интрасети не проходит через VPN-туннель. Если вы не укажете этот параметр, раздельное туннелирование будет отключено.

Тип: SwitchParameter
Позиция:6
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает максимальное количество одновременных операций, которое может быть установлено для запуска командлета. Если этот параметр опущен или введено значение 0, Windows PowerShell® вычисляет оптимальный предел регулирования для командлета на основе количества командлетов CIM, запущенных на компьютере. Предел регулирования применяется только к текущему командлету, а не к сеансу или компьютеру.

Тип: Int32
Позиция:Именованный
Значение по умолчанию:Нет
Принять ввод конвейера:False
Допускать подстановочные знаки:False

Указывает тип туннеля, используемого для VPN-подключения.

Тип: String
Допустимые значения:Pptp, L2tp, Sstp, Ikev2, Автоматический
Позиция:3
Значение по умолчанию: Нет
Принимать ввод конвейера:Истина
Допускать подстановочные знаки:Ложь

Указывает, что в качестве метода аутентификации используется MSCHAPv2 или EAP MSCHAPv2 и что учетные данные для входа в Windows используются автоматически при подключении с этим профилем VPN-подключения.

Тип: SwitchParameter
Позиция:10
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Показывает, что произойдет, если командлет запустится. Командлет не запущен.

< /tr>

Результаты

Этот командлет возвращает объект VpnConnection, содержащий параметры конфигурации VPN-подключения.

Нажмите Win + R, введите ms-settings:network-vpn и нажмите Enter.

Настройка встроенного в Windows клиента VPN

<р>2. Нажмите "Добавить VPN-подключение".

– Установите для параметра «Поставщик VPN» значение «Windows (встроенный)»,
– Установите для параметра «Имя подключения» значение «GPN»,
– Установите для параметра «Тип VPN» значение «L2TP/IPsec с общий ключ".

– Имя или адрес сервера: VPN-сервер
– Общий ключ: Общий секрет
– Имя пользователя: Логин
– Пароль: Пароль
– Нажмите «Сохранить».

Настройка встроенного VPN-клиента Windows

<р>3. Откройте Windows PowerShell:

- Нажмите кнопку "Пуск" (или нажмите Win), введите PowerShell, а затем нажмите Windows PowerShell.

<р>4. Выполните следующую команду, чтобы проверить свойства подключения:

Get-VpnConnection -Name "GPN" -erroraction 'silentlycontinue'; Get-VpnConnection -AllUserConnection -Name "GPN" -erroraction 'silentlycontinue'

Настройка встроенного в Windows клиента VPN

<р>5. Проверьте свойство AllUserConnection в выводе предыдущей команды. Он указывает, находится ли VPN-подключение в глобальной (машинной) или локальной (пользовательской) телефонной книге. Если "Верно", запустите:

Set-VpnConnection -Name "GPN" -EncryptionLevel "Необязательно" -AuthenticationMethod CHAP, MSCHAPv2 -SplitTunneling $True -AllUserConnection -PassThru

Set-VpnConnection -Name "GPN" -EncryptionLevel "Необязательно" -AuthenticationMethod CHAP, MSCHAPv2 -SplitTunneling $True -PassThru

Эта команда настраивает дополнительные параметры, такие как AuthenticationMethod и SplitTunneling. Первая версия команды имеет параметр "-AllUserConnection", указывающий, что указанное VPN-подключение находится в глобальной телефонной книге.

<р>6. Наконец, добавьте маршрут для VPN-подключения, выполнив:

Теперь вы можете подключиться к VPN:

– Выбрав «GPN» и нажав «Подключиться» рядом с ним в разделе «VPN» в настройках Windows (Win + R, ms-settings:network-vpn, Enter);

- Щелкнув значок сети на панели задач, выбрав "GPN" и нажав "Подключиться" рядом с ним;

Следующие примеры файлов доступны в MicrosoftVPN.zip:

Требуется при установке VPN-подключения.

Этот файл не включен в ZIP-файл. Выполните шаги, перечисленные ниже в Rasphone.pbk, чтобы создать этот файл для вашей среды

Zip содержит сценарии с теми же именами, что и сценарии для других сценариев VPN-подключения. Убедитесь, что вы используете правильные версии, или измените образцы сценариев в соответствии со своими сценариями.

Расфон.pbk

Для последовательностей задач с поддержкой WSA требуется сетевой доступ к 1E Shopping, миграции приложений и серверной инфраструктуре Configuration Manager. Для поддержки удаленных пользователей последовательность задач должна установить подключение виртуальной частной сети (VPN) к корпоративной сети. Это достигается путем создания профиля Microsoft Windows VPN (определенного в файле с именем rasphone.pbk , который необходимо добавить в пакет сценариев WSA), а затем выполнения ConnectVPN.ps1 в последовательности задач для установления соединения с использованием rasdial.exe с профилем. определенные в rasphone.pbk, и учетные данные, введенные пользователем при запуске Windows Servicing Assistant.
В настоящее время VPN-подключение в WSA поддерживается только с использованием встроенного VPN-клиента Windows с аутентификацией по имени пользователя и паролю. Если пользователи не могут подключиться к вашему текущему VPN-решению с помощью VPN-клиента Windows с аутентификацией по имени пользователя и паролю, вам потребуется изменить ConnectVPN.ps1, чтобы установить подключение из командной строки в соответствии с рекомендациями поставщика. Обратите внимание, что единственными параметрами, которые помощник по обслуживанию Windows в настоящее время может передавать в последовательность задач, являются имя пользователя и пароль VPN (они записываются в переменные последовательности задач с именами 1EWSA_VPNUserName и 1EWSA_VPNPassword соответственно). Мы намерены расширить поддержку других решений VPN, таких как Cisco Anyconnect, в будущих выпусках Windows Servicing Suite.

Создание rashone.pbk

Rasphone.pbk — это обычный текстовый файл с парами "имя=значение". Имя профиля указано в квадратных скобках вверху файла. В файле rasphone.pbk можно определить несколько профилей (например, если у вас разные VPN-серверы для разных стран). Вы можете использовать следующий файл в качестве минимального файла rasphone.pbk для включения в пакет сценариев WSA.

[Мой профиль VPN]
MEDIA=rastapi
Port=VPN2-0
Device=WAN Miniport (IKEv2)
DEVICE=vpn
PhoneNumber=

Читайте также:

Тип: SwitchParameter
Псевдонимы:wi
Позиция:Имя
Значение по умолчанию:False
Принимать ввод конвейера:False
Допускать подстановочные знаки:False