SSTP-VPN mit Windows Server einrichten


    Tags: ,

    Rolle Remotezugriff installierenMit Windows Server lassen sich VPNs auf Basis des Secure Socket Tunneling Protocol (SSTP) einrichten. Dabei kommen HTTP-über-SSL-Sitzungen zwischen Client und Server zustande. Der Vorteil dabei ist die leichtere Einwahl, da in den meisten Fällen ein offener TCP 443-Port reicht und keine weiteren Port-Freigaben mehr notwendig sind.

    Für den Einsatz eines SSTP-VPN ist ein Zertifikat erforderlich. Dieses kann von den internen Active Directory-Zertifikatsdiensten oder einer externen Zertifizierungsstelle ausgestellt werden. Für Testumgebungen reicht auch ein selbstsigniertes Zertifikat.

    Für die Remote-Einwahl der Benutzer kann außerdem ein NPS-Server zum Einsatz kommen. Hierüber steuert man, welche Benutzer sich in das VPN einwählen können. Am besten läuft das über die Mitgliedschaft in AD-Sicherheitsgruppen und Richtlinien auf einem NPS-Server oder mit Radius.

    Der gesamte Vorgang umfasst die folgenden Schritte:

    Rolle für Remote Access installieren

    Für den Einsatz als VPN-Server installiert man die Rolle "Remotezugriff". Das geht über den Server-Manger, das Windows Admin Center oder PowerShell:

    Install-WindowsFeature RemoteAccess
     Für das Einrichten eines SSTP-VPN ist die Server-Rolle Remotezugriff notwendig.

    Beim Schritt Rollendienste auswählen muss man die Option DirectAccess und VPN (RAS) aktivieren.

    Installieren des Rollendienstes für VPN-Einwahl in Windows Server 2022

    Nach der erfolgreichen Installation des Dienstes klickt man auf den Link Assistent für erste Schritte öffnen und startet damit die Einrichtung des VPN-Servers.

    Remote-Zugriff konfigurieren

    Im ersten Dialog des Assistenten entscheidet man sich über die Auswahl Nur VPN bereitstellen für ein SSTP-VPN.

    Einrichten eines neuen VPN-Servers in Windows Server

    Im Anschluss öffnet sich die Routing- und RAS-Konsole, die seit Jahren in Windows Server integriert ist. Sie lässt sich später jederzeit im Startmenü über die Gruppe Windows-Verwaltungsprogramme oder über die Eingabe von rrasmgmt.msc öffnen.

    VPN-Server in der RRAS-Konsole einrichten

    Für die Einrichtung als VPN-Server öffnet man das Kontextmenü des Server-Namens und wählt Routing und RAS konfigurieren und aktivieren. Danach startet ein Assistent, der durch die Einrichtung eines SSTP-VPNs führt.

    VPN-Server über den Assistenten der Routing und RAS-Konsole einrichten

    Im ersten Dialog wählt man den Punkt Benutzerdefinierte Konfiguration aus.

    Einrichten eines neuen VPN-Servers in Windows Server 2022.

    Auf der nächsten Seite aktiviert man die Option VPN-Zugriff.

    Optionen für die benutzerdefinierte Konfiguration

    Danach schließt man den Assistenten ab und bestätigt die Meldung, dass der Dienst eine neue Richtlinie für die Remote-Einwahl erstellt hat.

    Routing und RAS-Dienst konfigurieren

    Nach der Bestätigung dieser Meldung startet man über den angezeigten Dialog den Dienst für die Remote-Einwahl auf dem Server. SSTP kann nun als VPN für den Server bereitgestellt werden.

     Der VPN-Server ist einsatzbereit, muss für SSTP aber noch konfiguriert werden.

    Einstellungen des SSTP-VPN konfigurieren

    Die nächsten Schritte bestehen in der Konfiguration der SSTP-Einstellungen. Über das Kontextmenü des Servers in der Routing- und RAS-Konsole erfolgen die notwendigen Anpassungen über Eigenschaften.

    Auf der Registerkarte Sicherheit wählt man bei SSL-Zertifikatanbindung das Server-Zertifikat aus, das für SSTP-VPN zum Einsatz kommen soll. Für Testumgebungen stehen an dieser Stelle auch selbstsignierte Zertifikate zur Verfügung.

    Auswählen des Server-Zertifikats für die Verwendung mit SSTP

    Über die Registerkarte IPv4 erfolgt die Konfiguration eines IP-Bereiches für die VPN-Clients. Entweder kommt DHCP zum Einsatz, oder man gibt über Statischen Adresspool einen Bereich an.

    Festlegen eines IP-Bereiches für die Einwahl von VPN-Clients

    Nach der Bestätigung mit OK muss der Systemdienst für Routing- und RAS neu starten. Das dauert wenige Sekunden.

    Clients per SSTP-VPN verbinden

    Für die Verbindung per SSTP müssen die Clients der Zertifizierungsstelle vertrauen, die das Server-Zertifikat ausgestellt hat.

    Bei selbstsignierten Zertifikaten kann man sich behelfen, indem man das Zertifikat auf dem Server ohne den privaten Schlüssel exportiert und es auf den Clients importiert. Als Speicherort verwendet man dazu den Speicher mit den vertrauenswürdigen Stamm­zertifizierungs­stellen.

    Um in Windows 10/11 eine VPN-Verbindung zu erstellen, legt man über die App Einstellungen unter Netzwerk und Internet => VPN mit VPN hinzufügen eine neue VPN-Verbindung an. Bei VPN-Anbieter wählt man Windows (integriert) aus und vergibt bei Verbindungsname einen beliebigen Namen.

    Bei Servername oder IP-Adresse verwendet man die externe IP-Adresse des Servers, an den die eingehenden VPN-Verbindungen geleitet werden.

    Bei VPN-Typ nimmt man Secure Socket Tunneling-Protokoll (SSTP) und bei Benutzername und Kennwort den User auf dem Server oder im  Active Directory, dem per NPS-Richtlinie oder in den Einstellungen des Benutzerkontos Zugriff gewährt wurde. Mit Speichern ist die Konfiguration beendet.

    Konfigurieren einer neuen VPN-Verbindung mit SSTP in Windows 11

    Nun sollte sich eine Verbindung in den Einstellungen aufbauen lassen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Joos

    Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.

    Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.

    Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.

    // Kontakt: Web, E-Mail, Twitter //

    Verwandte Beiträge

    Weitere Links