Howto: SSTP VPN Verbindung zu Windows Server 2008/2012 R2 einrichten

Viele schätzen die Möglichkeit, sich von unterwegs oder aus einem entfernten Wohnort aus über VPN mit dem Home- oder Firmen-Server verbinden zu können.

Eine der komfortabelsten Möglichkeiten ist hierbei die gesicherte SSTP-Verbindung, welche allerdings etwas umständlich einzurichten ist.

Dieser Artikel soll als eine Art Tutorial durch die Installation führen und bei der Problembehebung helfen.

Einführung zu VPN über SSTP

Unter Windows werden standardmäßig folgende VPN-Verbindungsarten unterstützt:

PPTP: Unterstützt seit Windows 95/NT. Unsicher (siehe heise-Bericht), aber einfache Einrichtung. Erfordert eine Router-Weiterleitung von TCP-Port 1723 sowie dessen Unterstützung, GRE-Pakete weiterzuleiten.
PPTP-VPN ist neben den Sicherheitsmängeln jedoch insofern problematisch, dass – selbst wenn der serverseitige Router GRE-Pakete weitergibt – die Verbindung scheitern kann, da der clientseitige Router (bspw. im Hotel-WLAN) GRE blockiert.

L2TP/IPSec: Unterstützt seit Windows XP/Server 2003. Einrichtung ähnlich kompliziert wie für SSTP (erfordert Zertifizierungsstelle). Benötigt Port-Weiterleitungen für 1701 TCP sowie 500 UDP.

IKEv2: Weiterentwicklung von IPSec. Weiteres siehe bei heise. Selten.

SSTP: Unterstützt seit Windows Vista/Server 2008. Der Verbindungsaufbau erfordert lediglich die Portweiterleitung der Ports 80 (HTTP) und 443 (HTTPS) am Router, sowie ein Serverzertifikat, das auf dem zugreifenden Client installiert ist. Die Einrichtung wird im Folgenden beschrieben.

Voraussetzungen

Wie z.T. bereits erwähnt sollte zunächst folgendes sichergestellt werden:

  • Windows Vista, 7, 8 auf dem/den Client(s)
  • Windows Server 2008/2012 auf dem VPN-Server
  • Port-Weiterleitung der TCP-Ports 80 und 443 (HTTP/HTTPS) vom Router an den Server
  • Feste IP-Adresse des Server-Netzwerk oder ein eingerichteter DynDNS-Dienst

Einrichtung des Servers

Auf dem Server sind einige Einrichtungsschritte nötig. Lasst euch nicht abschrecken, das ist schneller erledigt als gedacht.

1) Zertifikatdienste und IIS-Webserver installieren

  • Im Server-Manager Rechtsklick auf Rollen > Rollen hinzufügen, Weiter.
  • Haken setzen bei Active Directory Zertifikatdienste. Zweimal auf Weiter.
  • Haken setzen bei Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung. Ggf. Dialog zur Installation des IIS-Webserver bestätigen.
  • Option Eigenständig wählen, Weiter.
  • Option Stammzertifizierungsstelle belassen, Weiter.
  • Sechs mal auf Weiter, dabei alle Optionen belassen.
  • Klick auf Installieren, warten und Assistenten schließen.

2) Zertifizierungsstelle einrichten

  • Im Server-Manager unter Rollen > Active Directory-Zertifikatdienste in der Baumansicht Rechtsklick auf die Server-CA > Eigenschaften > Erweiterungen.
  • Im Dropdownfeld Sperrlisten-Verteilungspunkt ausgewählt lassen, Klick auf Hinzufügen…
  • Unter Ort folgendes eingeben (DynDNS-Adresse entsprechend anpassen) und bestätigen:
    http://myserver.dyndns.org/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
  • Im Dialog für den neu hinzugefügten Eintrag einen Haken setzen bei In Sperrlisten einbeziehen und In CDP-Erweiterung des ausgestellen Zertifikats einbeziehen, Klick auf OK.

3) Zertifikatsanforderung erstellen

  • Im Server-Manager unter Rollen > Webserver (IIS) > Internetinformationsdienste in der zweiten Baumansicht auf den eigenen Server klicken, dann auf der rechten Seite unter der Rubrik IIS Doppelklick auf Serverzertifikate.
  • Ganz rechts auf Zertifikatanforderung erstellen… klicken.
  • Die Informationen zum Zertifikat ausfüllen: Unter Gemeinsamer Name die DynDNS-Adresse (z.B. myserver.dyndns.org) oder öffentliche IP eintragen, jeweils ohne führendes http://. Die restlichen Felder nach Belieben, aber vollständig ausfüllen. Klick auf Weiter.
  • Einstellungen belassen, Weiter.
  • Per Klick auf … einen neuen Dateinamen für die Anforderung auswählen, Öffnen, Fertig.

4) Serverzertifikat ausstellen

  • Im Server-Manager unter Rollen > Active Directory-Zertifikatdienste in der Baumansicht Rechtsklick auf die Server-CA > Alle Aufgaben > Neue Anforderung einreichen…
  • Zuvor erstellte Anforderungsdatei auswählen, Öffnen.
  • Unter der Server-CA Klick auf Ausstehende Anforderungen, Rechtsklick auf die soeben erstellte Anforderung > Alle Aufgaben > Ausstellen.
  • In der Baumansicht Klick auf Ausgestellte Zertifikate, Doppelklick auf das soeben ausgestellte Zertifikat > Details > In Datei kopieren…, Weiter.
  • Einstellung belassen, Weiter.
  • Klick auf Durchsuchen…, Dateinamen vergeben, Speichern, Weiter.
  • Fertig stellen, OK.

5) Serverzertifikat einbinden

  • Im Server-Manager wieder unter Rollen > Webserver (IIS) > Internetinformationsdienste in der zweiten Baumansicht auf den eigenen Server klicken und rechts auf Serverzertifikate doppelklicken.
  • Ganz rechts auf Zertifikatanforderung abschließen… klicken.
  • Mit … das soeben ausgestellte Zertifikat auswählen, Öffnen.
  • Unter Anzeigenamen einen Namen vergeben, z.B. SSL-Zertifikat.
  • OK.
  • Links in der zweiten Baumansicht unter dem eigenen Server auf Sites > Default Web Site klicken und dann ganz rechts auf Bindungen…
  • In der Liste den Eintrag https auswählen, Bearbeiten…
  • Unter SSL-Zertifikat das soeben erstellte Zertifikat auswählen, OK.
  • Schließen.

6) Netzwerkrichtlinien- und Zugriffsdienste installieren

  • Im Server-Manager Rechtsklick auf Rollen > Rollen hinzufügen > Weiter.
  • Haken setzen bei Netzwerkrichtlinienserver und bei RAS unter Routing- und RAS-Dienste. Klick auf Weiter.
  • Klick auf Installieren, warten und Assistenten schließen.

7) Routing und RAS einrichten

  • Im Server-Manager unter Rollen > Netzwerkrichtlinien- und Zugriffszienste Rechtsklick auf Routing und RAS > Routing und RAS konfigurieren und aktivieren, Weiter.
  • Benutzerdefinierte Konfiguration anwählen, Weiter.
  • Haken bei VPN-Zugriff setzen, Weiter.
  • Fertig stellen, OK, Dienst starten.
  • In der Baumansicht wieder Rechtsklick auf Routing und RAS > Eigenschaften.
  • Alle Haken entfernen bis auf IPv4-RAS-Server.
  • Unter Sicherheit bei Zertifikat das vorhin erstellte auswählen.
  • Unter IPv4 alle Haken gesetzt lassen und die Option Statischen Adresspool anwählen, Klick auf Hinzufügen.
  • Adressbereich für die VPN-Clients vergeben (z.B. von xxx.xxx.xxx.240 bis 249), OK.
  • OK, Ja.

8) Zugriffsrichtlinien konfigurieren

  • Im Server-Manager Rollen > Netzwerkrichtlinien- und Zugriffszienste > NPS (lokal) > Richtlinien > Netzwerkrichtlinien anwählen.
  • Doppelklick auf Connections to Microsoft Routing and Remote Access server.
  • Die Option Zugriff gewähren aktivieren.
  • Falls gewünscht, unter Bedingungen auf Hinzufügen… klicken und auf Benutzergruppen doppelklicken. Es lassen sich nun Benutzergruppen auswählen, denen der VPN-Zugriff gewährt wird. Lässt man diese Bedingung weg, haben alle Benutzer VPN-Zugriff. Dialog schließen.
  • Die Zugriffsrichtlinien erlauben noch viele weitere, sehr fein abstimmbare Einstellungen. Diese sollen an dieser Stelle jedoch nicht weiter erläutert werden.
  • Klick auf OK.

Einrichtung des/der Client(s)

Auf den VPN-Clientcomputern genügen glücklicherweise wenige Schritte zur Einrichtung. Gehen Sie auf jedem Client folgendermaßen vor (dies kann im lokalen Netzwerk oder unterwegs erfolgen):

  • Im Webbrowser (am besten Mozilla Firefox oder Google Chrome) folgende Adresse eingeben (auf das HTTPS achten, Server-Adresse entsprechend ersetzen): https://myserver.dyndns.org/certsrv/
  • Klick auf Download eines Zertifizierungsstellenzertifikats, dann Download des Zertifizierungsstellenzertifikats und an beliebiger Stelle speichern. Browser schließen.
  • Start > Ausführen anwählen, mmc eingeben und bestätigen.
  • Datei > Snap-In hinzufügen/entfernen…, linke Liste herunterscrollen, Doppelklick auf Zertifikate. Option Computerkonto auswählen, Weiter, Fertig stellen
  • In der Baumansicht unter Zertifikate (Lokaler Computer) Rechtsklick auf Vertrauenswürdige Stammzertifizierungsstellen > Alle Aufgaben > Importieren…, Weiter.
  • Klick auf Durchsuchen…, das gespeicherte Zertifikat auswählen, Öffnen, Weiter.
  • Optionen belassen, Weiter.
  • Fertig stellen, Ja, OK. Fenster schließen.
  • In der Taskleiste unten rechts Rechtsklick auf das WLAN/Netzwerk-Symbol > Netzwerk- und Freigabecenter öffnen > Neue Verbindung oder neues Netzwerk einrichten, Doppelklick auf den letzten Eintrag Verbindung mit dem Arbeitsplatz herstellen, Klick auf Die Internetverbindung (VPN) verwenden.
  • Unter Internetadresse die DynDNS- oder öffentliche IP-Adresse des Servers eintragen (ohne führendes http://), evtl. einen Namen für die Verbindung vergeben und Klick auf Erstellen.
  • Optional: Klick auf das WLAN/Netzwerksymbol in der Taskleiste, Rechtsklick auf die VPN-Verbindung > Verbindungseigenschaften anzeigen. Unter Sicherheit den VPN-Typ SSTP einstellen und unter Folgende Protokolle zulassen sicherstellen, dass bei Microsoft CHAP, Version 2 ein Haken gesetzt ist. OK.

Damit ist die Einrichtung abgeschlossen. Die VPN-Verbindung kann ab jetzt ganz bequem per Klick auf das WLAN/Netzwerksymbol in der Taskleiste hergestellt werden.

Problembehandlung

Diesen Teil der Anleitung habe ich mittlerweile in einen seperaten Artikel ausgegliedert. Sollten einmal Probleme mit der SSTP VPN-Verbindung auftreten, kann dieser hoffentlich weiterhelfen.

Abschließende Bemerkungen

Ich habe im Internet bis dato keine zusammenhängende und verständliche Anleitung zur Einrichtung eines SSTP-VPN-Netzwerks gefunden und bei der ersten Einrichtung selbst viel Zeit benötigt. Daher hoffe ich, dass sich der Aufwand für diese Anleitung für euch lohnen wird.

Falls ich euch also weiterhelfen konnte und/oder ihr Verbesserungsvorschläge habt, würde ich mich üben ein kurzes Feedback freuen. Natürlich könnt ihr auch gerne Fragen stellen, falls etwas nicht funktioniert.

Danke für eure Rückmeldungen!

Weiterführende Links

Advertisements

39 Gedanken zu „Howto: SSTP VPN Verbindung zu Windows Server 2008/2012 R2 einrichten

  1. Schönen guten Tag,
    eine sehr schöne Beschreibung, vielen Dank!

    Für mich ist nur ein kleiner Punkt noch etwas unverständlich. Was ist unter Punkt 7 mit

    „Adressbereich für die VPN-Clients vergeben (z.B. von xxx.xxx.xxx.240 bis 249), OK.“

    genau gemeint? Handelt es sich hier um einen beliebigen Adressbereich oder die vom Server?

    Mit besten Grüßen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s