SonicWALL SSL-VPN ActiveX RDP instellen

By Frank Mazzone | 17 april 2017

SonicWALL ActiveX RDP

Sonicwall Appliances bieden de mogelijkheid om een thuiswerkportal in te richten.
Hierop kunnen gebruikers inloggen d.m.v. bijvoorbeeld een LDAP koppeling.
Na het inloggen komt men dan terecht in een virtueel kantoor met bijvoorbeeld bookmarks naar een Terminal Server om daar op te kunnen werken.

SSL VPN Inrichten

Om het virtuele kantoor te laten werken, dien je eenmalig een activex plugin te installeren voor RDP.
Dit werkt alleen met Internet Explorer !

En het installeren van deze plugin lukt helaas niet altijd in 1 keer, er moeten wat zaken vooraf geregeld worden.

Stap 1 : Voeg de URL van de SSL-VPN appliance toe aan vertrouwde websites

Ga in de Internet Explorer naar Internet Opties (Het tandwieltje aan de rechterkant bij 1)
Druk dan op het tabblad Beveiliging bij 2, ga dan naar Vertrouwde websites (3) en klik op de knop Websites (4).
Dan popt een nieuw venster op. Geef het adres op bij 5 en druk op Toevoegen (6)

Dan is dit klaar en kun je op OK klikken bij 7.
Misschien kun je het beveiligingsniveau nog op laag zetten voor vertrouwde websites om e.e.a. soepeler te laten verlopen.
Maar dat kan een risico zijn, hoewel dit risico wel klein is.

Stap 2 : Internet Explorer opnieuw starten

Om de vertrouwde websites te activeren, moet Internet Explorer opnieuw gestart worden.
Klik op het kruisje rechtsboven in het IE scherm om te sluiten, vervolgens start je Internet Explorer weer op.

Stap 3 : Inloggen op de Portal en ActiveX Plugin

Nu ga je naar de URL van de SSL-VPN appliance.
Onderstaand scherm zie je dan :

Vul je gebruikersnaam en wachtwoord in (welke je van de beheerder gekregen hebt), zorg dat Domain goed staat en druk op Login.

Nu ben je ingelogged en zie je het Virtuele Kantoor met informatie en bookmarks, klik op een bookmark :

Er popt dan een venster op die je verteld dat er een plugin geinstalleerd moet worden.
Klik op het pijltje bij Installeren en kies Installeren voor alle gebruikers.

De installatie zal starten en er komt nog een Windows waarschuwing of je zeker weet dat je deze software wilt installeren. Bevestig dit.
Vervolgens is de plugin geïnstalleerd en wordt je gevraagd om een gebruikersnaam en wachtwoord.
Het formaat van de gebruikersnaam is domeinnaam\gebruikersnaam.

Wanneer de installatie niet goed gaat :

Het kan wel eens gebeuren dat de installatie om welke reden dan ook niet goed gaat. Je krijgt dan een melding dat de installatie gestopt werd.
Druk in het scherm zoals hierboven dan op F5 (vernieuwen) en probeer de installatie nogmaals uit te voeren. Meestal gaat het de tweede keer wel goed.

Installatie gelukt, RDP werkt !

Als alles goed gaat kun je nu op de Terminal Server (Of Remote Desktop Services) inloggen via de bookmark.
Je kunt performance problemen ondervinden wanneer je met een Windows 10 computer een SSL-VPN RDP Bookmark opent naar een Windows Server 2008 RDS Server. Dit is bekend en er is niet echt een oplossing voor.

Om met Windows 10 tóch goed te kunnen werken, volg dan dit artikel

Sonicwall : SSL-VPN niet mogelijk om AD Wachtwoord te wijzigen

By Frank Mazzone | 14 februari 2017

SonicWall SSL-VPN Wachtwoord problemen

Een goed beleid binnen een bedrijfsnetwerk is het periodiek wijzigen van alle gebruikers wachtwoorden.
De gebruiker krijgt een melding om zijn wachtwoord te wijzigen en het is geregeld.
Bij SonicWALL kan door een misconfiguratie het wijzigen van wachtwoorden fout gaan waardoor de gebruiker niet meer kan inloggen.
Dit is tamelijk eenvoudig op te lossen door de authenticatie iets aan te passen.

Wat gebeurd er ?

Je wilt inloggen op de SSL-VPN Portal en typt netjes je gebruikersnaam en wachtwoord in.

Vervolgens krijg je de melding dat je je wachtwoord moet wijzigen door je huidige wachtwoord in te vullen en daarna 2x het nieuwe wachtwoord.
Daarna druk je op Change Password en tot zover gaat alles nog naar verwachting.

Maar dan krijg je onderstaand scherm voorgeschoteld :

Lekker duidelijk : Error: Configuration error
Je wachtwoord wordt dus niet gewijzigd, maar je kunt ook niet inloggen omdat je steeds je wachtwoord moet wijzigen wat niet mogelijk is.
Frustrerend, zeker aangezien de foutmelding zegt dat er een Configuration error is wat letterlijk ontelbare oorzaken kunnen zijn.
Toch is het eenvoudig om dit probleem op te lossen als je de netwerkbeheerder bent en admin toegang hebt tot de SonicWall en Active Directory.

De oplossing !

We gaan er van uit dat de SonicWALL LDAP authenticatie uitvoert op een Domain Controller.

Op de eerste tab zie je onderstaande configuratie.
Om wachtwoord wijziging mogelijk te maken, dienen we een paar zaken aan te passen.
Namelijk de Poort, login methode en TLS.

Laten we beginnen bij de login methode. De gebruikte methode is middels Give login name/location in tree.
Dit dienen we te wijzigen in Give bind distinguished name waarbij we een andere login naam/notatie nodig hebben.
We moeten nu uit de Active Directory de Distinguished Name van de LDAPUser achterhalen.
Dat kan via de ADUC waarbij je Advanced Features aanzet en dan de Distinguished Name onder de Attribute Editor kunt vinden bij de eigenschappen van de LDAPUser.
Echter lang niet altijd is deze Attribute Editor te zien, dus moeten we op een andere manier de DN achterhalen.

Dat kan met een tooltje AD Info die behalve deze informatie nog véél meer Active Directory informatie kan geven.
Start AD Info en start een query op all users en zet een vinkje bij attribuut Distinguished Name:

Laat de Query lopen en zoek vervolgens de LDAPUser in de resultaten op.
In de rechter kolom zie je de Distinguished Name. Klik hier met de rechtermuisknop op en selecteer copy.

Nu gaan we weer terug naar de SonicWALL admin en passen de wijzigingen toe :
Zet een vinkje aan bij Use TLS, het Port number wijzigt automatisch.
Vervolgens zet je de radiobutton aan bij Give bind distinguished name en plakt daar de DN die je zojuist in AD Info gekopieerd hebt.
Druk dan op Apply en de wijzigingen zijn opgeslagen.
Nu kun je voor alle zekerheid op het tabblad Test even testen of de authenticatie nog steeds werkt.

Nu kunnen we het admin gedeelte afsluiten aangezien we verder geen wijzigingen hoeven te doen.
We kunnen door met het testen !

Testen of wachtwoord wijziging nu werkt

Ga nu weer naar de SSL-VPN Login pagina van de Sonicwall en probeer weer in te loggen

We krijgen weer de melding om ons wachtwoord te wijzigen, we gaan dit braaf doen:

Na een paar tellen zien we onderstaand scherm.
Het is dus gelukt !

Klik op continue waarna we in onderstaand schermpje terecht komen.
Hier moeten we dan nog een keer klikken om opnieuw in te loggen met het nieuwe wachtwoord.

Wanneer we inloggen met het nieuwe wachtwoord, kunnen we verder !

Nu hebben we via de SSL-VPN Portal ons wachtwoord gewijzigd.
Dit wachtwoord is gewijzigd in de Active Directory, dus ook wanneer je op de zaak bent en je wilt inloggen in Windows, zul je het nieuwe wachtwoord moeten gebruiken.

Wachtwoord wijzigen via de SSL-VPN portal werkt dus nu !

SonicWALL Site-to-Site VPN Tunnel in main mode Server 2012R2

By Frank Mazzone | 16 januari 2017

Site-to-Site VPN Tunnel inrichten

In dit artikel gaan we een Site-to-Site VPN tunnel in main mode opzetten tussen een Sonicwall UTM en een Server 2012R2.

Situatie

Wanneer we gebruik maken van een Site-to-Site tunnel in main mode is een vereiste dat de endpoints routeerbare vaste WAN IP adressen hebben.

Netwerk Situatie :

Uit te voeren stappen :
1) Address Objects aanmaken voor de VPN Subnets
2) Het configureren van een VPN Policy op Site A SonicWALL
3) Het configureren van een VPN Policy op Site B Windows Server 2012R2
4) Hoe dit scenario te testen

Aan de slag !

Stap 1 : Address Object maken voor de VPN Subnets

Login op de Management Interface van de SonicWALL
Ga naar Network –> Address Objects, scroll naar beneden en klik op ADD

Configureer het Address Object volgens bovenstaande gegevens, klik Add en daarna Close.

Stap 2 : VPN Policy maken op Site A SonicWALL

Navigeer naar VPN –> Settings en klik op de Add knop. Het VPN Policy scherm zal dan verschijnen.

Klik op de General Tab
– Selecteer IKE using Preshared Secret vanuit het Authentication Method menu.
– Voer een naam in voor de policy in het name veld
– Voer het WAN IP Address in van de remote connectie in het IPsec Primary Gateway Name or Address veld (Site B’s Server 2012 R2 WAN IP address).
– Voer een Shared Secret wachtwoord in. Deze moet minimaal uit 4 karakters bestaan.

Klik op de Network tab

Onder Local Networks, selecteer a lokaal netwerk vanuit het Choose local network from list en selecteer het adres X0 Subnet
Onder Destination Networks, selecteer Choose destination network from list en selecteer het Address Object Remote network (Welke we aangemaakt hebben)

Klik op de Proposals tab :

Onder IKE (Phase 1) Proposal, selecteer Main Mode. Aggressive Mode wordt over het algemeen alleen gebruikt bij dynamische WAN IP adressen.
De default instellingen voor de waarden DH Group, Encryption, Authentication en Life Time zijn voor algemeen gebruik prima.

NB : De Windows 2000 en Windows XP L2TP client werkt alleen met DH Group 2 !

Onder IPsec (Phase 2) Proposal zijn de default waardes voor Protocol, Encryption, Authentication, Enable Perfect Forward Secrecy en Lifetime acceptabel voor de meeste configuraties.
Wees er zeker van dat Phase 2 Opties aan beide kanten overeen komen !

Klik op de Advanced Tab :

Selecteer Enable Keep Alive om heartbeat berichten te gebruiken tussen de peers binnen deze tunnel. Wanneer 1 zijde van de tunnel faalt, zal Keepalive ervoor zorgen dat de connectie opnieuw geïnitieerd wordt.
Selecteer Enable Windows Networking (NetBIOS) om in Windows het netwerk te kunnen browsen.
Om de SonicWALL remote te kunnen beheren, selecteer Management via this SA:
Indien gewenst, vul een Default LAN Gateway in wanneer je gebruik maakt van onbekende netwerken op Site B
Selecteer de Interface of Zone welke gebonden zal worden aan deze policy. WAN Zone heeft de voorkeur.
Klik op OK om de instellingen toe te passen.

Stap 3 : Een VPN Policy configureren op Site B Server 2012R2

Installeer RRAS

Nu zijn we klaar om de Server 2012R2 machine in te richten als netwerk router.

Open de Server Manager en klik op Add roles and Features

Volg de instructies zoals aangegeven in de afbeeldingen :

Server selectie :

Vanuit de Server Manager kun je de Remote Access role starten.

We gaan geen DirectAccess configureren, maar we willen wel dat VPN en Routing ingeschakeld worden. Doorloop de wizard.

RRAS Configureren

Open de Routing and Remote Access console (NIET de Remote Access Management welke specifiek voor DirectAccess is)

Klik met de Rechtermuisknop op Configure and Enable Routing and Remote Access. Selecteer dan Custom configuration

Schakel LAN Routing in en klik op Next. Het is mogelijk dat je meldingen krijgt over het openen van firewall poorten welke je kunt bevestigen.

Druk op Finish en klik op Start Service wanneer dit gevraagd wordt. Super ! Je 2012 Server is nu een netwerk router !
We zijn nu klaar met RRAS. De console mag je nu sluiten.

IPsec VPN Tunnel instellen

Nu de server ingericht is als router, kunnen we de firewall configureren om de IPsec VPN tunnel tot stand te brengen. In principe is dit vergelijkbaar met de manier waarop DirectAccess tunnels tot stand komen.

Open de Windows Firewall with Advanced Security console, Rechtermuisknop op Connection Security Rules en maak een New Rule.

Selecteer Tunnel

Creer een Custom configuratie en selecteer No bij not to exempt any network traffic that matches.

Selecteer Require authentication for inbound and outbound connections. De volgende pagina is hetgene dat de SonicWALL verbindt met jouw RRAS Server.

Overweeg Endpoint 1 de Windows 2012R2 te laten zijn waar RRAS zich bevindt en Endpoint 2 is de SonicWALL zijde.

Aan de hand van het topologie diagram van hierboven kun je eenvoudig de IP adressen en subnets voor elk Endpoint invullen.

Voor de Authentication Method selecteer Advanced en klik op Customize

Voor de First Auhtentication methods klik op Add en selecteer Preshared Key. Dat is de key die je bij de SonicWALL ingericht hebt. Deze moeten exact overeenkomen.

Wanneer je niet meer weet wat de key is, kun je deze eenvoudig inzien in de management interface van de SonicWALL

We willen de regel activeren op alle zones

Geef de regel een herkenbare naam en klik op Finish. Er rest nu nog een laatste instelling…we zijn bijna klaar !

Vanuit de MMC, klik met rechts op Windows Firewall with Advanced Security console en selecteer Properties.

Vanuit de IPsec Settings, klik op Customize en configureer dan de Key exchange (Main Mode) naar Advanced en klik op Customize
Selecteer de integriteit op SHA-1, Encryption als 3DES, DH Group 2 en ook de Life Time op 480 Minuten (28800) zodat dit exact overeenkomt met de SonicWALL VPN Policy.
Klik een paar keer op OK en je bent klaar.
Stel dan de Data Protection (Quick Mode) in door op Advanced te klikken en daarna Customize.

Selecteer de ESP-SHA1-3DES algoritme onder Data integrity and encryption en klik op Edit. Wijzig de Key Lifetime naar 480 Minuten (28800) zodat dit exact overeenkomt met de SonicWALL VPN Policy.
Klik ook hier weer een paar keer op OK en je bent klaar.

Stap 4 : Het testen van dit scenario

Controleer de Main Mode en Quick Mode sectie onder Security Associations.

Je moet nu connecties zien van 172.27.60.0 IP onder het Local Address wat naar 10.10.10.0 IP gaat onder Remote Address.

En uiteindelijk : De Site-to-Site tunnel is ook up op de SonicWALL !

Vanaf nu kun je dus communiceren over beide Sites door middel van een veilige tunnel !

Sonicwall Mobile Connect inrichten en scripten

By Frank Mazzone | 9 januari 2017

SonicWALL Mobile Connect

De SSL-VPN Portal van SonicWALL i.c.m. RDP5 ActiveX werkt wel, maar een RDP sessie is bij 2008 servers erg traag.
In Windows Server 2012 lijkt dit probleem opgelost te zijn.
Maar ook de Netextender van Sonicwall lijkt problemen op te leveren in Windows 10 in sommige gevallen.

Maar hoe krijg je nu een goed werkende RDP verbinding in Windows 10 via een SonicWALL SSL-VPN portal naar een Windows 2008(R2) RDS Host ?

We moeten hiervoor iets anders te werk gaan omdat we niet via de ActiveX RDP plugin gaan werken.

Volg onderstaande stappen om een soepel werkende RDS sessie op te zetten :

De te volgen stappen :

In plaats van het inloggen op de website van de SSL-VPN Portal, gaan we de SonicWALL Mobile Connect client gebruiken.

Klik op de Windows App Store:

In de appstore zoek je dan de SonicWALL Mobile Connect App en klik op Downloaden

Het downloaden en installeren begint en een melding volgt wanneer dit gereed is.

Wanneer de client gedownload is, klik je op je netwerkicoontje in de systemtray en vervolgens op Netwerkinstellingen:

Vervolgens ga je aan de linkerkant naar VPN en klikt daarna op Een VPN-verbinding toevoegen

Kies bij VPN-provider de SonicWALL Mobile Connect.
Geef een naam op voor de verbinding en geef het adres op waarop de SSL-VPN Portal zich bevindt en klik vervolgens op Opslaan.

Nu kom je weer terug, klik op de verbinding en kies dan Verbinding Maken.

Er wordt nu gevraagd naar een gebruikersnaam en wachtwoord.
Vul hier de credentials in waarmee je normaal gesproken op de SSL-VPN Portal ook in kunt loggen en druk dan op OK.

Als alles goed gaat, komt de verbinding tot stand en geeft deze aan : Verbonden

Nu heb je een SSL-VPN tunnel opgezet en kun je connecten naar de RDS Server met het commando mstsc.exe

Mocht je dit geautomatiseerd willen hebben, dan kun je een batch bestandje op het bureaublad plaatsen, bijvoorbeeld remote.bat met daarin de volgende regels :

rasdial “Naam van VPN verbinding”
mstsc /v:jouw.rds.server
rasdial “Naam van VPN verbinding” /DISCONNECT

Zorg dat bij het commando rasdial de exacte naam van de VPN verbinding staat die je in de SonicWALL Mobile Connect client hebt aangemaakt, anders werkt het niet.

Dit batchbestandje zorgt er dan voor dat er een SSL-VPN tunnel opgebouwd wordt, daarna wordt een RDS sessie gestart en wanneer je uitlogged van de RDS server wordt automatisch de SSL-VPN tunnel ook weer afgesloten.

Dit werkt goed en snel op Windows Server 2008 RDS Hosts.

SonicWall Netextender voor MAC werkt niet meer

By Frank Mazzone | 17 juni 2016

Wanneer je een Apple MAC gebruikt in combinatie met de Netextender van SonicWall en je hebt OSX geupdate naar versie 10.9 of hoger, dan werkt de Netextender niet meer.
SonicWall meldt hier dat de ondersteuning van de MAC NetExtender vanaf El Capitan niet meer ondersteund wordt.

Om toch een verbinding te kunnen blijven maken met een SSL Portal, kun je dan de SonicWall Mobile Connect gebruiken welke via iTunes te downloaden en installeren is.

Hierna zal de SonicWall verbinding weer feilloos werken.

SonicWALL SSL-VPN Ongeldig verbindingsbestand

By Frank Mazzone | 1 maart 2016

Bij de nieuwere Internet Explorers is het mogelijk dat wanneer je in wilt loggen op je thuiswerkplek via SSL-VPN kan het zijn dat na updates of een nieuwe Windows installatie ineens de melding komt “Ongeldig verbindingsbestand” en je dus geen verbinding kunt maken met bijvoorbeeld Terminal Server of eigen werkplek via RDP.

Oplossing :

De oplossing is eenvoudig, het probleem zit in de beveiliging van de Internet Explorer.
Ga naar de Internet Opties, tabblad “Beveiliging” en klik op de knop “Websites” :

Vervolgens die je het adres van de SSL-VPN appliance in de vertrouwde websites te zetten (inclusief https://), klik op “Toevoegen” en vervolgens op “Sluiten”

Daarna sluit je de Internet Explorer en start je deze opnieuw op.
Ga dan weer naar het SSL-VPN adres, login en klik op de bookmark om een RDP sessie te starten. Nu moet het werken !!!!!

Wanneer het adres wijzigt van de SSL-VPN, dan moet dat ook weer aangepast worden.

Bovenstaande procedure geldt ook voor wanneer je de eerste keer bij een Sonicwall SSL-VPN appliance aanmeldt.
Er wordt dan gevraagd om een plugin te installeren en wanneer bovenstaande settings niet juist zijn, kan de plugin niet geinstalleerd worden.
Natuurlijk is het ook van belang dat de beheerder er voor zorgt dat de Sonicwall appliance up-to-date is i.v.m. security maar ook compatibility.

Category: Sonicwall