Aktionen

Windows:Windows Server 2008 R2 als VPN Einwahlserver für Windows 7 hinter Firewall mit Boardmitteln

Aus znilwiki


Folgendes Szenario:

  • Windows Server 2008 R2 als VPN Einwahlserver
  • Server ist nicht direkt sondern hinter Router / Firewall (hier Fritz!Box) im Internet
  • Ports wurden per NAT auf den Server geschaltet

1 Teil 1: Windows Server 2008 R2 Rolle nachinstallieren

Als ersten müssen wir die Rollen nachinstallieren:

  • Netzwerkrichtlinien- und Zugriffsdienste

W2008R2-als-VPN-PPTP-Server-001.png

W2008R2-als-VPN-PPTP-Server-002.png

Nur die Rollendienste

  • Routing- und RAS-Dienste
    • RAS
    • Routing

werden benötigt:
W2008R2-als-VPN-PPTP-Server-003.png

W2008R2-als-VPN-PPTP-Server-004.png

W2008R2-als-VPN-PPTP-Server-005.png

W2008R2-als-VPN-PPTP-Server-006.png


2 Teil 2: Routing und RAS konfigurieren und aktivieren

Nachdem die Rolle installiert wurde finden wir diese im Server Manager wieder.
Die Auswahl erweitern auf

  • Server Manager
    • Rollen
      • Netzwerkrichtlinien- und Zugriffsdienste
        • Routing und RAS

und dann mit Rechtsklick das Menü öffnen und

  • Routing und RAS konfigurieren und aktivieren

wählen:
W2008R2-als-VPN-PPTP-Server-007.png

Es öffnet sich ein Assistent:
W2008R2-als-VPN-PPTP-Server-008.png

Wir wählen die

  • Benutzerdefinierte Konfiguration:

W2008R2-als-VPN-PPTP-Server-009.png

Der Haken bei

  • VPN-Zugriff

reicht für unsere Zwecke (Die Benutzer können nach der Einwahl nur auf den Server zugreifen auf dem sie sich eingewählt haben, z.B. auf Freigaben oder per RDP)

W2008R2-als-VPN-PPTP-Server-010.png

W2008R2-als-VPN-PPTP-Server-011.png

Nun kann auch der Dienst gestartet werden:
W2008R2-als-VPN-PPTP-Server-012.png

W2008R2-als-VPN-PPTP-Server-013.png


3 Teil 3: IP-Adressen für Einwahl bereitstellen

Falls wir keinen DHCP Server für die Einwahl haben können wir auch für diese Benutzer auch "manuell" einen Bereich mit Adressen angeben.
Wir gehen wieder per Rechstklick auf Routing und RAS und wählen diesmal die Eigenschaften:
W2008R2-als-VPN-PPTP-Server-015.png

  • Wir gehen auf den Reiter IPv4
  • Aktivieren den Haken bei IPv4-Weiterleitung aktivieren
  • Aktivieren unter IPv4-Adresszuweisung den Statischen Adresspool
  • Klicken auf Hinzufügen:

W2008R2-als-VPN-PPTP-Server-016.png

Und geben eine Start- und End-IP-Adresse ein - Die Anzahl der Adressen ermittelt er von alleine:
W2008R2-als-VPN-PPTP-Server-017.png

Nach einem Klick auf OK hat er es übernommen:
W2008R2-als-VPN-PPTP-Server-018.png

Einfach nochmal OK und wir sind fertig damit.


4 Teil 4: Regel / Richlinie für die Einwahl erstellen

Ganz so einfach kommt noch niemand rein - es muss erst eine Richtlinie geben die das erlaubt. Vordefiniert gibt es noch keine (was auch gut so ist :-)
Alternativ kann man auch den Haken bei dem jeweiligen Benutzer setzen´(siehe Teil 4 - Alternativ)

Wir erweitern im Server-Manager bis zu

  • Server Manager
    • Rollen
      • Netzwerkrichtlinien- und Zugriffsdienste
        • Routing und RAS
          • RAS-Protokollierung und - Richtlinien

Wieder ein Rechtsklick darauf und NPS starten wählen:
W2008R2-als-VPN-PPTP-Server-025.png

Es öffnet sich die Konsole Netzwerkrichtlinienserver.
Wir erweitern die Auswahl bis auf

  • NPS
    • Netzwerkrechtlinien

und wählen per Rechtsklick im Optionsmenü Neu:
W2008R2-als-VPN-PPTP-Server-026.png

Wir denken uns einen passenden Namen aus, die Auswahl wie im Bild gezeigt:
W2008R2-als-VPN-PPTP-Server-027.png

Wir brauchen mindestens eine Bedingung die Zutrifft und damit die Einwahl dann erlaubt, also einmal auf Hinzufügen:
W2008R2-als-VPN-PPTP-Server-028.png

Die Mitgliedschaft in einer bestimmten Gruppe z.B.:
W2008R2-als-VPN-PPTP-Server-029.png

Nun eine Gruppe auswählen:
W2008R2-als-VPN-PPTP-Server-030.png

W2008R2-als-VPN-PPTP-Server-031.png

Und weiter geht es:
W2008R2-als-VPN-PPTP-Server-032.png

Jetzt unbedingt Zugriff gewährt auswählen - deshalb machen wir das ja nur!
W2008R2-als-VPN-PPTP-Server-033.png

Als Methoden habe ich die im Bild dargestellten verwendet, er nimmt bei der Einwahl MS-CHAP, an v2 Arbeite ich noch.
W2008R2-als-VPN-PPTP-Server-034.png

Für Fortgeschrittende: man kann auch noch ein Zertifikat hinzufügen (Erst hinzufügen, danach bearbeiten und das gewünschte Zertifikat auswählen)

Ab jetzt klicken wir eigentlich immer nur auf Weiter:
W2008R2-als-VPN-PPTP-Server-035.png

W2008R2-als-VPN-PPTP-Server-036.png

Und Fertig:
W2008R2-als-VPN-PPTP-Server-037.png


5 Teil 4 Alternativ: Benutzern die Einwahl im Active Directory erlauben

Statt der NPS-Richtlinie geht es auch wie folgt:
Dazu rufen wir unter Active Directory-Benutzer und -Computer die Eigenschaften des Benutzers auf:
W2008R2-als-VPN-PPTP-Server-014.png

Unter Einwählen die Option auf Zugriff gestatten stellen.
Ich muss aber zugeben, das es bei meinen Test's ohne Richtlinie nicht ging - die musste es immer geben, ansonsten gab es einen Fehler das es keine passende Richtline gab :-)


6 Teil 4 Alternativ: L2TP/IPSec nutzen statt PPTP

Wer L2TP/IPSec statt PPTP zur Einwahl nutzen will (und damit verschlüsselte Verbindungen) schaut einmal hier:
Gewusst wie:Konfigurieren von einem L2TP/IPsec-Server hinter einem NAT-T-Gerät in Windows Vista und Windows Server 2008
Gilt für 2008 R2 und Windows 7/8 noch genauso


7 Teil 5: Ports und Protokolle auf der Firewall freischalten und NAT-ten für PPTP

für PPTP musste ich folgende Ports und Protokolle auf meiner Fritz!Box freischalten:

Port 1723             Protokoll TCP
Port 47               Protokoll GRE

W2008R2-als-VPN-PPTP-Server-038.png
W2008R2-als-VPN-PPTP-Server-039.png
W2008R2-als-VPN-PPTP-Server-040.png

Zumindest die Fritz!Box leitet den GRE Verkehr dann pauschal an den Host durch.


8 Teil 6: Einwahl unter Windows 7 konfigurieren

Wir öffnen das Netzwerk- und Freigabecenter:
Und wählen Neue Verbindung oder neues Netzwerk einrichten:
W2008R2-als-VPN-PPTP-Server-041.png

Verbindung mit dem Arbeitsplatz herstellen:
W2008R2-als-VPN-PPTP-Server-019.png

den oberen Punkt, Die Internetverbindung (VPN) verwenden auswählen:
W2008R2-als-VPN-PPTP-Server-020.png

Internetadresse ist dann die öffentliche IP-Adresse oder DNS-Name des Routers/Firewall:
W2008R2-als-VPN-PPTP-Server-021.png

Benutzername, Passwort und Domäne angeben:
W2008R2-als-VPN-PPTP-Server-022.png

und Warten - er probiert die verschiedenen VPN Möglichkeiten durch bis es passt:
W2008R2-als-VPN-PPTP-Server-023.png

Und Hurra!:
W2008R2-als-VPN-PPTP-Server-024.png


--Bernhard Linz (Diskussion) 16:29, 12. Jun. 2012 (CEST)


Anonymer Benutzer #1

74 Monaten zuvor
Punktzahl 0++
Danke hat super funktioniert.

Anonymer Benutzer #2

74 Monaten zuvor
Punktzahl 0++

Super Anleitung, hat auch alles super geklappt, nur bekomme ich beim verbinden mit meinem Windows 8 Laptop per Surfstick, immer den Fehler 800.

Könnte es eventuell daran liegen dass ich keine DSL Leitung sonder einen Vodafone LTE Zuhause anschluss habe?

BLinz

73 Monaten zuvor
Punktzahl 0++
Jepp, prüfe mal welche externe IP-Adresse du bekommen hast für dein Internet zu Hause - ich würde vermuten das man deine IP nicht von außen erreichen kann (wie bei UMTS) - oder funktionieren andere Portfreigaben etc.?

Anonymer Benutzer #3

69 Monaten zuvor
Punktzahl 0++
-

Anonymer Benutzer #3

69 Monaten zuvor
Punktzahl 0++

Ich habe eine ähnliche Umgebung wie oben beschrieben. Windows 2008r2 Server + FritzBox 7390 + MS VPN Server (Rolle Routing und RAS). Nur anstatt PPTP möchte ich die Kombination L2TP/IPSec nutzen.

Die Konfiguration weich nicht viel von der PPTP-Konfig aus. Einziges ist der IPSec PSK der noch dazu kommt. Die Portweiterleitung in Richtung Server habe ich bereits auf der FritzBox gemacht: UDP 4500 (für L2TP), UDP 500 (IPSec) und ESP.

Wenn ich in meinem internen Netzwerk, von einem Windows Client aus, mit der internen IP-Adresse des Servers ein VPN-Tunnel aufbaue klappt alles wunderbar. Versuche ich dagegen meinen VPN-Server übers Internet zu erreichen (über meine Dyndns-Adresse), kann ich keinen Tunnel mittels L2TP/IPSec aufbauen. Mit PPTP ist es kein Problem. Damit erreiche ich den Server übers Internet.

Konfiguriere ich den Server auf der FritzBox als “exposed host“ (somit steht der Server vor der Firewall und ist ungeschützt) klappt es auch mit L2TP/IPSec

Kann es sein das die FritzBox Probleme mit L2TP/IPSec hat wenn der VPN traffic zum Server „genattet“ wird ?

Oder muss man andere Ports freigeben? Vielleicht hat Jemand eine Idee und kann diese hier posten. Das ganze bring mich zum Verzweifeln!

Anonymer Benutzer #4

69 Monaten zuvor
Punktzahl 0++

Endlich! Hab eine Lösung für das Problem gefunden! Windows Clients und das Windows Server 2008 haben ein Problem mit IPsec und NAT-T. Um das Problem zu fixen gibt's folgende Lösung: http://suppo…om/kb/926179

Der Registry-Eintrag "AssumeUDPEncapsulationContextOnSendRule" mit dem Wert "2" muss sowohl auf Server als auch Client gesetzt werden. Microsoft beschreibt die Lösung für Vista und 2008 Server. Die Lösung funktioniert aber auch mit W7 und 2008 R2.

BLinz

69 Monaten zuvor
Punktzahl 0++
Cool - Danke das du die Lösung beschrieben hast

Anonymer Benutzer #5

68 Monaten zuvor
Punktzahl 0++

Tolle Seite - schöne Anleitung. Ich habe nur ein Problem: wenn ich das so auf einem W2K8 R2 Server mit einer Netzwerkkarte mache, kann ich mich nicht einwählen (auf drei Rechnern probiert - immer das selbe). Im Zweig "Routing und RAS/IPv4/Allgemein" steht die interne Schnittstelle als nicht verfügbar da. Erst nachdem ich eine zweite Karte eingebaut habe und dann nicht nur VPN sondern RAS und VPN als Rolle installiert habe, hat es geklappt. Ich kann mir aber nicht vorstellen das so eine tolle Anleitung einen solchen Fehler enthält. Deshalb glaube ich schon das der Fehler bei mir lag. Kann mich da jemand aufklären? Geht VPN nur mit 2 Netzwerkarten? Mit Win 7 klappt das einwählen prima - nur von Win 8 aus kommt keine Verbindung zustande. Grüße

Ralf

BLinz

68 Monaten zuvor
Punktzahl 0++

Also das da oben habe ich auf einem "PC" gemacht mit einer nur einer Netzwerkkarte - und das läuft einwandfrei.

Das geht also auch mit nur einer Karte - die ich oben in der Beschreibung gar nicht anfasse. Allerdings nutze ich den Server direkt und gehe von dort weiter ins Netzwerk.

Was genau geht denn nicht? die Einwahl? Oder hinterher etwas anderes als den Einwahlserver zu erreichen?

Bernhard

67 Monaten zuvor
Punktzahl 0++
Die Anleitung sieht echt super aus, aber eine Frage, bringt mich die VPN Verbindung dann nur in mein Netzwerk, oder kann ich ueber die VPN verbindung dann auch durchs Internet surfen und somit die IP Adresse des Servers benutzen?

BLinz

67 Monaten zuvor
Punktzahl 0++

Die bringt dich in das Netzwerk und dem Server - NICHT so in das Internet. Dazu müsste man einstellen das dein Client nur noch diese Verbindung nutzt und nicht mehr die Internetverbindung. In vielen VPN Clints kann an das Einstellen .. so aus dem Kopf wüsste ich nicht wie man es hier machen müsste.

Das Problem ist mal unter dem Stichwort "Standardgateway" zusammengefasst: Er sendet alles an des Standardgateway (= Internet) ausser er hat eine direkte Verbindung - und da hat er in diesem Fall.

Eventuell weis ja jemand Antwort :-)

Naja, eine Idee hätte ich: Proxy auf dem VPN Server einrichten und diesen beim Rechner eintragen mit dem du dich eingewählt hast, dann muss man mit Routen garnicht viel machen.

Bernhard

Friedrich Klbel

66 Monaten zuvor
Punktzahl 0++
Danke, tolle Beschreibung!

Thor Duisenberg

64 Monaten zuvor
Punktzahl 0++
Unter 1000 Anleitungen ist keine so wie diese! Besser geht es nicht! Umsetzen, starten -> keine Rückfragen -> fertig!

iNGOr

63 Monaten zuvor
Punktzahl 0++

Hallo sage, Ich finde es echt hilfreich hier diese Anleitung. Auf de, Server hat alles soweit hingehauen, nur leider geht es nicht auf dem Clint rechner.

Ab dem Punkt wo ich die verbindung vpn auswähle kommt bei mir, ich solle erst eine internetverbindung auswählen. Aber diese bekomme ich ja von der fritzbox Also ich klicke auf vpn internetverbindung, als nächstes fenster erscheint dann Breitband PPP verbindung. Diese übergeh ich und mache die eintellungen so wie hier beschrieben, Aber sobald ich fertig bin kommt die meldung, Sie bruchen eine Internetverbindung.

nun weiß ich nicht weiter.

ueber hilfe würde ich mich freuen

BLinz

63 Monaten zuvor
Punktzahl 0++

Geh in die Internetoptionen des Internet-Explorers / Reiter Verbindungen und lösche dort alles was es gibt. Prüfe ob du noch normal surfen kannst.

Wenn ja - noch mal probieren.

Achja, aus dem gleichen Netzwerk eine Einwahl zu probieren in dem auch der Server steht könnte Problematisch sein :-)

ingo

63 Monaten zuvor
Punktzahl 0++

Danke für die hilfe,

ich habe es nun auch geschafft, die kiddis müssen sich nun anmelden um eine internetverbindung zu erhalten und können so surfen.

Aber was mich noch sehr interessieren würde, wie kann ich beim WS2008 es so einstellen das ich eine withe oder eine blackliste erstellen kann? Die von der Fritzbox greift ja nun nicht mehr, da andere IP. Ein tuturial währe da nicht schlecht zu.

Aber danke für die anleitung, sie war sehr hilfreich und die seite ist auch schon gespeichert für den fall das ich sie wieder einmal brauche.

gruß

ingo

BLinz

63 Monaten zuvor
Punktzahl 0++

So aus dem Kopf wäre das mt der Blacklist udn Whitelist eine DNS-Geschichte (im einfachsten Fall) ... was man aber relativ leicht umgehen könnte.

Bleibt den Internetzugriff ganz zu sperren und einen Proxy zu nutzen - und damit geht dann recht wenig ausser Surfen und die Listen sind quasi immer dabei.

Da ich Proxy's "hasse" kann ich dir aber keinen Empfehlen

Boris

59 Monaten zuvor
Punktzahl 0++

Danke für die Anleitung, super leicht zu folgen, hat nur leider nur einen Tag lang funktioniert. Ein Serverneustart. (Hyper V) wird immer um 23:30 gesichert, dort liegt der VPN. Keine Verbindung mehr, genauer gesagt: Fehler 649 Das Benutzerkonto hat keine Einwahlberechtigung. Verwendetes Protokoll pptp Einwahlsteuerung über NPS Dort bei "Benutzer Einwahl erlauben" Häkchen bei "Benutzerkonto Einwahleingenschaft ignorieren" zusätzlich gesetzt, geht aber auch ohne Häkchen nicht. Wie erwähnt hat genau einen Tag wunderbar funktioniert.

DynDns über Selfhost ist geprüft eine Website die über eine Portweiterleitung über die FritzBox mit der gleichem Selfhost Account angesprochen/versorgt wird, funktioniert uns ist erreichbar.

Boris

59 Monaten zuvor
Punktzahl 0++

649 Fehler grad selbst gelöst. Bei der Bentuzergruppenauswahl. Bild unterm Text: "Die Mitgliedschaft in einer bestimmten Gruppe z.B.:"

Sind die Benutzergruppen nicht "Oder" Verknüpft sondern "UND" verknüpft. Ich hatte dort die Gruppe Domänen-Admins und die selbsterstellte Gruppe VPN-User stehen. Für den Zugriff muß man im Active Directory als User in beiden Gruppen sein, nur eine davon reicht nicht. Unsere Domänen Admins sollten zugreifen können und eine Auswahl von speziellen VPN-Usern die nicht Domänen Admins sind.

Ich habe dort jetzt nur noch die Benutzergruppe VPN-User drin stehen und in eben diese Gruppe die Gruppe Domänen-Admins hinzugefügt. Somit hat nun jeder DomAdmin automatisch VPN Zugriff ohne das ich dem DomAdmin dies extra zuordnen muss und die gewöhnlichen VPN Benutzer die werden einfach in die Gruppe VPN-User gepackt.

perle901@web.de

50 Monaten zuvor
Punktzahl 0++
Habe es genau nach Anleitung gemacht, bekomme allerdings bei mir den NPS nicht gestartet, da bei mir die Funktion nicht vorhanden ist. Alternativen?

BLinz

50 Monaten zuvor
Punktzahl 0++
Was steht denn im Ereignisprotokoll warum NPS nicht startet?

Dano

36 Monaten zuvor
Punktzahl 0++
Krasser Mensch!!! TOP, vielen Dank.

heo76@gmx.net

27 Monaten zuvor
Punktzahl 0++

Hallo und vielen Dank für die Anleitung. Ich hab's eingerichtet, probiert und es funktioniert auch fast alles.

Allerdings hab ich ein Problem das ich überhaupt nicht verstehe: Ich hab eine VPN-Verbindung, kann sowohl vom ANDROID-Handy als auch von einem Win7-NB Geräte und Shares via IP und leider nur am Handy auch DNS-Name erreichen, verbinden und verwenden. Dann hab ich noch WebCams, die ich via VPN verwenden möchte. HTTP-Verbindung im Browser klappt, aber übers Handy mit der eigenen App nicht. Hier gibt's einen bestimmten Port (9052) der ein vermutlich eigenes Protokoll darüber laufen hat und was daheim im WLAN einwandfrei funktioniert geht nicht wenn ich via VPN nach Hause verbunden bin. WebCam ist pingbar und im Browser geht's nur macht das eine Port/Protokoll Probleme.

Kann man bei VPN Ports und Protokolle beeinflussen? Tipps oder Ratschläge sind sehr gerne und herzlich willkommen! Vielen Dank!

LG

heo

Alex B

25 Monaten zuvor
Punktzahl 0++
Danke! Hat super Geklappt! Vielen Dank :-)

Don

18 Monaten zuvor
Punktzahl 0++

Tolle Anleitung.

Frage! kann man den VPN-Clients auch statische IP Adressen zuweisen, oder über DHCP reservierte IP Adressen ?

BLinz

18 Monaten zuvor
Punktzahl 0++
Ähm .. ein Kunde von mir hat das gemacht. War entweder ein Haken bei den Eigenschaften des Benutzers im AD oder am DHCP. habe gerade keinen Server mehr an dem ich das ausprobieren könnte.

Besucher

16 Monaten zuvor
Punktzahl 0++
Super Anleitung!! Danke!

Anonymer Benutzer #18

10 Monaten zuvor
Punktzahl 0++

Danke für die super Anleitung!

Ist es möglich PPTP und L2TP/IPSEC gleichzeitig zuzulassen?
Kommentar hinzufügen
znilwiki freut sich über alle Kommentare. Sofern du nicht anonym bleiben möchtest, trage deinen Namen oder deine Email-Adresse ein oder melde dich an. Du kannst das Feld auch einfach leer lassen. Bei einem Kommentar wird deine IP-Adresse zusammen mit dem Text, den angegebenen Namen bzw. der Email-Adresse in der Datenbank für die Kommentare dauerhaft gespeichert. Genaueres kannst du hier nachlesen: Datenschutzerklärung