Windows: OpenVPN und Netzwerkkategorie

Wird von Windows aus eine OpenVPN-Verbindung aufgebaut, so landet diese Netzwerkverbindung in der Kategorie “Öffentliches Netzwerk”. Für den klasssichen Roadwarrior mag das keine Schwierigkeiten bereiten, in einem Kunden-Szenario ging es allerdings darum, einen entfernen Backup-Server anzubinden, folglich muss von der anderen Seite aus auf Diesen zugegriffen werden können.

Potentielle Abhilfe gibt es einige. Eine Variante wäre die Windows-Firewall für die OpenVPN-TAP-Schnittstelle zu deaktivieren, das wiederrum provoziert allerdings eine Warnmeldung durch das Sicherheits-Center bzw. Windows Defender Security Center. Für die Sicherheit ist das zudem nicht zuträglich.

Andere Optionen die man im Netz so findet bestehen darin, irgendein Gateway zuzuweisen. Allerdings zeigte die Erfahrung, das es damit andere Überraschungen geben kann.

Ein relativ einfacher Weg besteht darin, die Netzwerkkategorie für die OpenVPN-Verbindung zu ändern. Leider merkt sich Windows diese Einstellung nicht, so das sie nach jedem Verbindungsaufbau erneut gesetzt werden muss. Das gilt dann auch für etwaige Verbindungsabbrüche.

Per Batch-Skript lässt sich die Angelegenheit recht simple lösen:

@echo off

powershell get-netconnectionprofile -interfaceindex 11 | find "Private"
if %errorlevel%==1 powershell set-netconnectionprofile -InterfaceIndex 11 -NetworkCategory Private

Zuvor muss man natürlich schauen, welchen Index die Verbindung hat. Dieser bleibt glücklicherweise der bisherigen Beobachtung nach immer gleich.

Damit nicht manuell nach jedem automatischen Verbindungsaufbau das Skript ausgeführt werden muss, wurde dieses als Aufgabe mit einem Intervall von fünf Minuten hinterlegt.

Unter Windows 10 klappt die Änderung allerdings zunächst nicht, da die Powershell anmeckert, das sie nicht privilegiert wäre (d.h. keine Admin-Rechte hat). Das geschieht auch dann, wenn der für die Aufgabe verwendete Benutzer Administrator-Berechtigungen hat. Abhilfe kann dadurch geschaffen werden, in dem das System-Konto (“SYSTEM” bzw. “NT AUTORITÄT\SYSTEM”) verwendet wird oder der Bord-eigene Administrator aktiviert und mit einem Kennwort versehen die entsprechende Aufgabe ausführt.

By the way: Versuche, das Ändern der Netzwerkkategorie beim Verbindungsaufbau anzutriggern klappten leider nicht, daher erschien mir der Weg über die Aufgabe als einfache Lösung.

2 Kommentare

  1. Daniel

    Wieso nicht als Benutzer System ausführen lassen? Da muss man nichts freischalten und auch kein Kennwort setzen…

  2. andy

    Habe ich gerade mal getestet, geht natürlich auch. Der Beitrag wurde entsprechend geändert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑