Přihlášení do domény přes VPN (pptp)

ZAJDAN

  • *****
  • 2 060
    • Zobrazit profil
    • E-mail
Přihlášení do domény přes VPN (pptp)
« kdy: 08. 01. 2013, 12:33:40 »
Ahojte,
řeším problém zda lze připojit počítač do domény skrze VPN(pptp) připojení. Pokud vezmu notebook, který je standartně součástí domény a i jeho user account je v doméně zaveden a tento notebook odnesu mimo a spojím se třeba z jiného města všechno funguje, ale lze tohoto docílit i s počítačem, který není v doméně zaveden, ale má spojení pouze do VPN? Kolega mi tvrdí, že toto viděl realizované pomocí Cisca, ale nejde mi to do hlavy, že je to možné. Jako router jsem použil Mikrotik, kde běží zmíněné VPN(pptp).
« Poslední změna: 08. 01. 2013, 14:59:14 od Petr Krčmář »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


copper

Re:Přihlášení do domény přes VPN(pptp)
« Odpověď #1 kdy: 08. 01. 2013, 12:45:27 »
pres ipsec i pptp to funguje.

ZAJDAN

  • *****
  • 2 060
    • Zobrazit profil
    • E-mail
Re:Přihlášení do domény přes VPN(pptp)
« Odpověď #2 kdy: 08. 01. 2013, 13:15:30 »
nefunguje...do VPN se sice připojím, server na kterým běží doména opingám jak přes jeho IP tak přes hostname ale na jeho složky už se nedostanu, pač nemám oprávnění... nejsem připojen k doméně
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Přihlášení do domény přes VPN(pptp)
« Odpověď #3 kdy: 08. 01. 2013, 13:21:06 »
Pokud je ten tunel pro zařízení transparentní, jako že by být měl ;-) tak je to jen otázka nastavení politik, třeba odlišné chování pro stroje v místní a vzdálené síti...  Samotný tunel jako je pptp se z hlediska aplikací chová jako zcela normální síť.

To, že tě server nepustí do nějaké složky už není otázka tunelu, ale právě těch politik - jestli je přístup bez přihlašování povolen jen pro lokální síť, ale ne VPN, tak se samozřejmě nepřipojíš.

ZAJDAN

  • *****
  • 2 060
    • Zobrazit profil
    • E-mail
Re:Přihlášení do domény přes VPN(pptp)
« Odpověď #4 kdy: 08. 01. 2013, 13:26:29 »
Ano to je mi jasné, ale otázkou mi je, zda vzdálený stroj přihlášený do VPN musí být předem přihlášen do domény a to ještě účtem, který doménová řadič zná. Viděl jsem řešní (možná jsem něco přehlídl), kdy se vzdálený stroj s účtem, který nebyl vedený v doméně do domény přihlásil, ale spojení dělal cisco router.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


ZAJDAN

  • *****
  • 2 060
    • Zobrazit profil
    • E-mail
Re:Přihlášení do domény přes VPN(pptp)
« Odpověď #5 kdy: 08. 01. 2013, 13:35:38 »
Pokud je ten tunel pro zařízení transparentní, jako že by být měl ;-) tak je to jen otázka nastavení politik, třeba odlišné chování pro stroje v místní a vzdálené síti...  Samotný tunel jako je pptp se z hlediska aplikací chová jako zcela normální síť.

To, že tě server nepustí do nějaké složky už není otázka tunelu, ale právě těch politik - jestli je přístup bez přihlašování povolen jen pro lokální síť, ale ne VPN, tak se samozřejmě nepřipojíš.

pokud to tedy dobře chápu, na doménovém řadiči lze nastvait, že pokud přijde spojení ze subnetu 192.168.6.0/24 aplikuj "policy with account" a pokud přijde spojená ze subnetu 192.168.50.0/24 aplikuj "policy kde login is nor required"

???
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Přihlášení do domény přes VPN(pptp)
« Odpověď #6 kdy: 08. 01. 2013, 13:59:55 »
Tak nějak. S doménou sice jen sem tam lehce experimentuju ve virtuálu, ale přijde mi to jako nejpravděpodobnější důvod popisovaného chování (pokud jsem ho dobře pochopil). Ale vždycky v tom může být zamotaný ještě nějaký firewall, který se otevře pro PC co se přihlásí do domény, nebo něco jiného takového... :)

Re:Přihlášení do domény přes VPN (pptp)
« Odpověď #7 kdy: 08. 01. 2013, 15:18:29 »
Obávám se, že se ti to nějak všechno plete dohromady...

Virtual Private Network, jak název napovídá, slouží k tomu, aby byl počítač virtuálně přímo zapojen do sítě, do které fyzicky přímo zapojený není. Dělá se to tak, že se na počítači vytvoří virtuální síťová karta, která se tváří, jakoby byla fyzicky zapojená v té vzdálené síti. Může mít IP přímo z daného subnetu, nebo v jiném. Žádný počítač, který je v dané síti, nemá možnost zjistit, jestli jsi k ní připojen fyzicky, nebo skrz VPN. Pozná jenom, z jakého komunikuješ subnetu.

Přihlašování do domény je pak něco úplně jiného - jakási proprietární záležitost firmy Microsoft, která se způsobem připojení do sítě vůbec nesouvisí - maximálně může souviset s tím, z jakého subnetu tvůj počítač komunikuje. Jestli VPNku zprostředkovává prvek Cisco, Mikrotik nebo FrantůvMegaRouter, nemá na přihlašování do domény žádný vliv.

Kromě toho, když se přihlašuješ do Windows, máš na výběr, jestli se chceš přihlásit do domény, nebo jenom k počítači. Vůbec jsi nenapsal, jakou možnost sis vybral. Pokud se přihlásíš jenom k počítači, tak samozřejmě v doméně přihlášený nejsi. Pokud se přihlásíš do domény, jsou pak dvě možnosti:
1. máš zapnuté cached credentials (default) - přihlásíš se jakoby do domény i když její server není dostupný
2. máš CC vypnuté - do domény se nepřihlásíš, pokud její server není dostupný (hláška něco ve stylu "doména XXX není dostupná").

Pokud tu situaci chceš řešit sám, měl by sis trochu udělat jasno v pojmech. Pokud si jasno v pojmech dělat nechceš a systém se chová jinak, než bys očekával, měl by ses obrátit na jeho výrobce - firmu Microsoft.



ZAJDAN

  • *****
  • 2 060
    • Zobrazit profil
    • E-mail
Re:Přihlášení do domény přes VPN (pptp)
« Odpověď #8 kdy: 08. 01. 2013, 16:21:07 »
děkuji za pomoc
víše jsem psal, že VPN je mi jasné, ale není mi jasné jen to, zda je nutné být přihlášen do domény (i když je server nedostupný) už před samotným spojením do VPN. Nyní se mi podařilo vše realizovat a můžu říct, že být v doméně předem před přihlášením není potřeba.
Muj model:
dva domenové servery - jeden ve Vídni jeden v Česku
PC_station_Vienna je připojen do své mateřské domény "Vienna" (cílem bylo ji spojit přes VPN do domény "Znojmo")
na ní jsem vytvořil VPN směrem do Czech, kde jsem mimo povinné parametry jako IP, user a podobné zatrhl i možnost přihlásit do domény
a tam jsem vyplnil doménu bežící v Czech "Znojmo"
Na doménovém řadiči "Znojmo" jsem vytvořil stejneho uživatele jako na station_Vienna a udělil mu potřebná oprávnění
spojil jsem se z této stanice do VPN a šup dostanu přístup na složky co jsou pod kontrolou domeny "Znojmo"
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Přihlášení do domény přes VPN (pptp)
« Odpověď #9 kdy: 08. 01. 2013, 16:24:57 »
Na doménovém řadiči "Znojmo" jsem vytvořil stejneho uživatele jako na station_Vienna a udělil mu potřebná oprávnění
spojil jsem se z této stanice do VPN a šup dostanu přístup na složky co jsou pod kontrolou domeny "Znojmo"
AFAIK tohle nemá s přihlášením do domény nic společného. Pokud na *jakémkoli* windows stroji je účet uživatele se stejným jménem a heslem, tak se do jeho složek dostaneš.

ZAJDAN

  • *****
  • 2 060
    • Zobrazit profil
    • E-mail
Re:Přihlášení do domény přes VPN (pptp)
« Odpověď #10 kdy: 08. 01. 2013, 16:50:44 »
ja ale nemluvím o složkách uživatele , ale o složkách které jsou přímo na serveru kde beží doména a pokud se do této domény přihlásím uživatelem kterého má doménový řadič v seznamu s nastavenými právy funguje to jak potřebuji.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Přihlášení do domény přes VPN (pptp)
« Odpověď #11 kdy: 08. 01. 2013, 17:08:03 »
Jistě, to byla zkratka. "složky uživatele" = sdílené složky, ke kterým má daný uživatel právo přístupu. K přístupu k nim není afaik potřeba být přihlášen do domény.

Rax

Re:Přihlášení do domény přes VPN (pptp)
« Odpověď #12 kdy: 08. 01. 2013, 17:26:28 »
ale lze tohoto docílit i s počítačem, který není v doméně zaveden, ale má spojení pouze do VPN?

Normálně se přihlásíte do VPN a následně všude tam kde se přihlašujete na doménový prostředek psát jméno ve tvaru DOMAIN\LOGIN, funguje takhle sdílení souborů i RDP.