Tags: VPN, Windows Server 2022
Mit Windows Server lassen sich VPNs auf Basis des Secure Socket Tunneling Protocol (SSTP) einrichten. Dabei kommen HTTP-über-SSL-Sitzungen zwischen Client und Server zustande. Der Vorteil dabei ist die leichtere Einwahl, da in den meisten Fällen ein offener TCP 443-Port reicht und keine weiteren Port-Freigaben mehr notwendig sind.
Für den Einsatz eines SSTP-VPN ist ein Zertifikat erforderlich. Dieses kann von den internen Active Directory-Zertifikatsdiensten oder einer externen Zertifizierungsstelle ausgestellt werden. Für Testumgebungen reicht auch ein selbstsigniertes Zertifikat.
Für die Remote-Einwahl der Benutzer kann außerdem ein NPS-Server zum Einsatz kommen. Hierüber steuert man, welche Benutzer sich in das VPN einwählen können. Am besten läuft das über die Mitgliedschaft in AD-Sicherheitsgruppen und Richtlinien auf einem NPS-Server oder mit Radius.
Der gesamte Vorgang umfasst die folgenden Schritte:
- Installation der Server-Rolle Remote Access
- Konfigurieren des Remote-Zugriffs mittels Assistenten
- Einrichten des VPN-Servers in der Routing und RAS-Konsole
- Einstellungen für das SSTP-VPN konfigurieren
- Clients mit dem SSTP-VPN verbinden
Rolle für Remote Access installieren
Für den Einsatz als VPN-Server installiert man die Rolle "Remotezugriff". Das geht über den Server-Manger, das Windows Admin Center oder PowerShell:
Install-WindowsFeature RemoteAccess
Beim Schritt Rollendienste auswählen muss man die Option DirectAccess und VPN (RAS) aktivieren.
Nach der erfolgreichen Installation des Dienstes klickt man auf den Link Assistent für erste Schritte öffnen und startet damit die Einrichtung des VPN-Servers.
Remote-Zugriff konfigurieren
Im ersten Dialog des Assistenten entscheidet man sich über die Auswahl Nur VPN bereitstellen für ein SSTP-VPN.
Im Anschluss öffnet sich die Routing- und RAS-Konsole, die seit Jahren in Windows Server integriert ist. Sie lässt sich später jederzeit im Startmenü über die Gruppe Windows-Verwaltungsprogramme oder über die Eingabe von rrasmgmt.msc öffnen.
VPN-Server in der RRAS-Konsole einrichten
Für die Einrichtung als VPN-Server öffnet man das Kontextmenü des Server-Namens und wählt Routing und RAS konfigurieren und aktivieren. Danach startet ein Assistent, der durch die Einrichtung eines SSTP-VPNs führt.
Im ersten Dialog wählt man den Punkt Benutzerdefinierte Konfiguration aus.
Auf der nächsten Seite aktiviert man die Option VPN-Zugriff.
Danach schließt man den Assistenten ab und bestätigt die Meldung, dass der Dienst eine neue Richtlinie für die Remote-Einwahl erstellt hat.
Nach der Bestätigung dieser Meldung startet man über den angezeigten Dialog den Dienst für die Remote-Einwahl auf dem Server. SSTP kann nun als VPN für den Server bereitgestellt werden.
Einstellungen des SSTP-VPN konfigurieren
Die nächsten Schritte bestehen in der Konfiguration der SSTP-Einstellungen. Über das Kontextmenü des Servers in der Routing- und RAS-Konsole erfolgen die notwendigen Anpassungen über Eigenschaften.
Auf der Registerkarte Sicherheit wählt man bei SSL-Zertifikatanbindung das Server-Zertifikat aus, das für SSTP-VPN zum Einsatz kommen soll. Für Testumgebungen stehen an dieser Stelle auch selbstsignierte Zertifikate zur Verfügung.
Über die Registerkarte IPv4 erfolgt die Konfiguration eines IP-Bereiches für die VPN-Clients. Entweder kommt DHCP zum Einsatz, oder man gibt über Statischen Adresspool einen Bereich an.
Nach der Bestätigung mit OK muss der Systemdienst für Routing- und RAS neu starten. Das dauert wenige Sekunden.
Clients per SSTP-VPN verbinden
Für die Verbindung per SSTP müssen die Clients der Zertifizierungsstelle vertrauen, die das Server-Zertifikat ausgestellt hat.
Bei selbstsignierten Zertifikaten kann man sich behelfen, indem man das Zertifikat auf dem Server ohne den privaten Schlüssel exportiert und es auf den Clients importiert. Als Speicherort verwendet man dazu den Speicher mit den vertrauenswürdigen Stammzertifizierungsstellen.
Um in Windows 10/11 eine VPN-Verbindung zu erstellen, legt man über die App Einstellungen unter Netzwerk und Internet => VPN mit VPN hinzufügen eine neue VPN-Verbindung an. Bei VPN-Anbieter wählt man Windows (integriert) aus und vergibt bei Verbindungsname einen beliebigen Namen.
Bei Servername oder IP-Adresse verwendet man die externe IP-Adresse des Servers, an den die eingehenden VPN-Verbindungen geleitet werden.
Bei VPN-Typ nimmt man Secure Socket Tunneling-Protokoll (SSTP) und bei Benutzername und Kennwort den User auf dem Server oder im Active Directory, dem per NPS-Richtlinie oder in den Einstellungen des Benutzerkontos Zugriff gewährt wurde. Mit Speichern ist die Konfiguration beendet.
Nun sollte sich eine Verbindung in den Einstellungen aufbauen lassen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.
Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.
Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.
Verwandte Beiträge
Weitere Links