Grundlegendes zum VPN-Server
Einen VPN Server Windows installieren und einrichten! Mit einem VPN Server ist es möglich, sich von außen auf ein Firmennetzwerk zu verbinden. Dies wird z.B. benötigt, wenn man sich als Mitarbeiter über einen sicheren Kanal mit dem Firmennetzwerk verbinden möchten.
Grundsätzlich gehört dies zum Bereich der RAS (Remote Access Services) Dienste. Neben einer VPN-Verbindung, welche Standard ist, gibt es auch noch andere Varianten. So wäre z.B. eine Standleitung oder eine DFÜ Verbindung möglich.
Allerdings bietet die VPN-Verbindung den größten Vorteil, den sie hat in der Regel eine hohe Verfügbarkeit und ist kostengünstig.
Da eine Verbindung über das Internet natürlich nicht geschützt ist, müssen entsprechende Protokolle verwendet werden, welche einen sicheren VPN-Tunnel zwischen einem VPN-Server und einen VPN-Client aufbaut. Die gängigsten Protokolle sind PPTP, L2TP / IPsec und SSTP.
| Protokoll | Beschreibung |
|---|---|
| PPTP (Point to Point Tunneling Protokol) | Diese Protokoll bietet keine Header Komprimierung und keine Tunnel Authentifizierung. Lediglich eine eigene Verschlüsselung. Heutzutage kein sicheres VPN Protokoll mehr. |
| L2TP (Layer 2 Tunneling Protokol) | L2TP bietet eine Header Komprimierung eine Tunnel Authentifizierung. Nur eine eigene Verschlüsselung nicht, was allerdings durch IPSec behoben werden kann. |
| SSTP (Secure Socket Tunneling Protocol) | Dieses neue Protokoll wurde erst in Windows Vista sowie Windows Server 2008 eingeführt. Es ermöglicht die Verkapselung von PPP-Paketen über HTTP. Aus diesem Grund benutzt es standardmäßig den Port 443. Hierdurch wird allerdings ein Zertifikat nötig. |
Konfiguration eines VPN Server Windows
Im Folgenden wird die Konfiguration eines VPN Servers mit Windows Server 2016* erläutert. Hierfür wird das obige Netzwerkszenario in einer Testumgebung aufgebaut. Als Erstes muss man dazu im Server Manager die Rolle Remotezugriff installieren.
Als Rollendienst wird anschließend DirectAccess und VPN (RAS) benötigt. Nach der Installation kann man über Tools den Routing und RAS Dienst öffnen.
Dieser muss jetzt natürlich noch konfiguriert werden. Nach der Auswahl von VPN-Verbindung wird die Schnittstelle benötigt, über welche sich die Clients einwählen werden. Im obigen Testnetzwerkszenario wird hier VMnet 4 benötigt.
Die einwählenden Clients müssen anschließend eine IP-Konfiguration erhalten. Dazu gibt es zum einen die Möglichkeit einen DHCP Server (sofern er im Netzwerk vorhanden ist) zu verwenden oder einen bestimmten Adressbereich manuell bereitzustellen. Hier wurde ein manueller Bereich gewählt (10.0.0.10 bis 10.0.0.20).
Authentifizierung am VPN-Server ohne RADIUS-Server
Zu guter Letzt besteht jetzt noch die Möglichkeit einen RADIUS Server für die Authentifizierung zu verwenden oder die Routing und RAS Dienste. In diesem Szenario wurde kein expliziter RADIUS Server konfiguriert, sodass Routing und RAS verwendet wird.
Zur Information: RADIUS bedeutetRemoteAuthenticationDial-In User Service. Also im Prinzip ein Server, welcher die Benutzerauthentifizierung durchführt. Die Installation wäre somit abgeschlossen.
VPN-Richtlinien um sich über VPN einwählen zu können
Nun liegt noch das Problem vor, dass ein Zugriff generell nicht erlaubt ist. Dazu wird der NPS (Netzwork Policy Server) gestartet und entsprechend die Richtlinie aktiviert, sodass ein Zugriff gewährt wird.
Dazu öffnen man im Routing und RAS per Rechtsklick auf RAS-Protokollierung und -Richtlinien die Option „NPS Starten“. Anschließend findet man im Netzwerkrichtlinienserver bereits zwei Richtlinien vor.
Die erste Richtlinie „Verbindungen mit Microsoft-Routing- und Remotezugriff“ muss man aktivieren, um den Zugriff zu gewähren. Nicht vergessen, ganz unten beim Typ des Netzwerkzugriffsservers muss RAS-Server (VPN-DFÜ)gewählt werden.
Konfiguration VPN-Client
Jetzt sollte der Windows 10* pc1 eine VPN-Verbindung mit dem Server aufbauen können. Im Windows 10 tippt man hierzu VPN in das Startmenü ein. Schon erhält man die Option: „Virtuelle private Netzwerke (VPN) ändern“. Anschließend erstellt man hier eine neue VPN-Verbindung.
Als Daten werden natürlich neben der IP-Adresse noch ein Verbindungsname sowie ein Benutzername mit einem Passwort benötigt. Der VPN Typ kann dabei auf automatisch eingestellt bleiben. Der VPN Client prüft dann automatisch das passende Protokoll.
Ob der Zugriff funktioniert hat, sieht man zum einen unter den Einstellungen bei VPN durch das Wort „Verbunden“. Aber auch in der cmd sieht man dies sofort.
Lässt man sich die IP Konfiguration auflisten, so sollte dort eine Adresse aus obigen Bereich auftauchen. In diesem Fall die Adresse 10.0.0.11. Der PC1 hat also eine funktionierende VPN-Verbindung.
Abschließende Gedanken zu VPN-Sicherheit
Eine VPN-Verbindung zur Firmenzentrale ist heutzutage natürlich Standard. Generell sollte man darauf achten hierfür sichere Protokolle wie L2TP / IPSec zu verwenden.
Das obige Szenario zeigt die grundsätzliche Funktionsweise. Essenziell sind allerdings noch die VPN-Zugriffsrichtlinien. Diese können im Detail dazu verwendet werden, wer wann wie Zugriff hat. Im Produktiveinsatz sollten diesen natürlich genau geplant werden.
Das könnte dich auch interessieren:
- Unter Windows 11 mit Bordmitteln direkt eine VPN-Verbindung einrichten
- So erstellt man eine VPN-Verknüpfung auf dem Desktop unter Windows
- So kann man mit der Windows PowerShell eine VPN-Verbindung konfigurieren!
- Installation und Konfiguration einer VPN-Verbindung unter Windows 10
- Eine statische IPv4-Adresse unter Windows 11 einstellen
Auch Interessant
- So kannst du in Windows Dienste starten und stoppen!
- Ein einfaches Systemabbild der Windows 10 Installation erstellen
- Unter Windows 11 mit Bordmitteln direkt eine VPN-Verbindung einrichten
- Das neue Konzept im Microsoft Windows Browser Egde – Sammlungen
Über den Autor
Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.
Kostenlose Befehlsreferenzen und E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u.v.m.)
