Aktionen

Windows:Windows Server 2008 R2 als VPN Einwahlserver für Windows 7 hinter Firewall mit Boardmitteln

Aus znilwiki

Version vom 6. August 2017, 19:52 Uhr von BLinz2 (Diskussion | Beiträge) (Textersetzung - „<comments>“ durch „<comments />“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)


Folgendes Szenario:

  • Windows Server 2008 R2 als VPN Einwahlserver
  • Server ist nicht direkt sondern hinter Router / Firewall (hier Fritz!Box) im Internet
  • Ports wurden per NAT auf den Server geschaltet

Teil 1: Windows Server 2008 R2 Rolle nachinstallieren

Als ersten müssen wir die Rollen nachinstallieren:

  • Netzwerkrichtlinien- und Zugriffsdienste

W2008R2-als-VPN-PPTP-Server-001.png

W2008R2-als-VPN-PPTP-Server-002.png

Nur die Rollendienste

  • Routing- und RAS-Dienste
    • RAS
    • Routing

werden benötigt:
W2008R2-als-VPN-PPTP-Server-003.png

W2008R2-als-VPN-PPTP-Server-004.png

W2008R2-als-VPN-PPTP-Server-005.png

W2008R2-als-VPN-PPTP-Server-006.png


Teil 2: Routing und RAS konfigurieren und aktivieren

Nachdem die Rolle installiert wurde finden wir diese im Server Manager wieder.
Die Auswahl erweitern auf

  • Server Manager
    • Rollen
      • Netzwerkrichtlinien- und Zugriffsdienste
        • Routing und RAS

und dann mit Rechtsklick das Menü öffnen und

  • Routing und RAS konfigurieren und aktivieren

wählen:
W2008R2-als-VPN-PPTP-Server-007.png

Es öffnet sich ein Assistent:
W2008R2-als-VPN-PPTP-Server-008.png

Wir wählen die

  • Benutzerdefinierte Konfiguration:

W2008R2-als-VPN-PPTP-Server-009.png

Der Haken bei

  • VPN-Zugriff

reicht für unsere Zwecke (Die Benutzer können nach der Einwahl nur auf den Server zugreifen auf dem sie sich eingewählt haben, z.B. auf Freigaben oder per RDP)

W2008R2-als-VPN-PPTP-Server-010.png

W2008R2-als-VPN-PPTP-Server-011.png

Nun kann auch der Dienst gestartet werden:
W2008R2-als-VPN-PPTP-Server-012.png

W2008R2-als-VPN-PPTP-Server-013.png


Teil 3: IP-Adressen für Einwahl bereitstellen

Falls wir keinen DHCP Server für die Einwahl haben können wir auch für diese Benutzer auch "manuell" einen Bereich mit Adressen angeben.
Wir gehen wieder per Rechstklick auf Routing und RAS und wählen diesmal die Eigenschaften:
W2008R2-als-VPN-PPTP-Server-015.png

  • Wir gehen auf den Reiter IPv4
  • Aktivieren den Haken bei IPv4-Weiterleitung aktivieren
  • Aktivieren unter IPv4-Adresszuweisung den Statischen Adresspool
  • Klicken auf Hinzufügen:

W2008R2-als-VPN-PPTP-Server-016.png

Und geben eine Start- und End-IP-Adresse ein - Die Anzahl der Adressen ermittelt er von alleine:
W2008R2-als-VPN-PPTP-Server-017.png

Nach einem Klick auf OK hat er es übernommen:
W2008R2-als-VPN-PPTP-Server-018.png

Einfach nochmal OK und wir sind fertig damit.


Teil 4: Regel / Richlinie für die Einwahl erstellen

Ganz so einfach kommt noch niemand rein - es muss erst eine Richtlinie geben die das erlaubt. Vordefiniert gibt es noch keine (was auch gut so ist :-)
Alternativ kann man auch den Haken bei dem jeweiligen Benutzer setzen´(siehe Teil 4 - Alternativ)

Wir erweitern im Server-Manager bis zu

  • Server Manager
    • Rollen
      • Netzwerkrichtlinien- und Zugriffsdienste
        • Routing und RAS
          • RAS-Protokollierung und - Richtlinien

Wieder ein Rechtsklick darauf und NPS starten wählen:
W2008R2-als-VPN-PPTP-Server-025.png

Es öffnet sich die Konsole Netzwerkrichtlinienserver.
Wir erweitern die Auswahl bis auf

  • NPS
    • Netzwerkrechtlinien

und wählen per Rechtsklick im Optionsmenü Neu:
W2008R2-als-VPN-PPTP-Server-026.png

Wir denken uns einen passenden Namen aus, die Auswahl wie im Bild gezeigt:
W2008R2-als-VPN-PPTP-Server-027.png

Wir brauchen mindestens eine Bedingung die Zutrifft und damit die Einwahl dann erlaubt, also einmal auf Hinzufügen:
W2008R2-als-VPN-PPTP-Server-028.png

Die Mitgliedschaft in einer bestimmten Gruppe z.B.:
W2008R2-als-VPN-PPTP-Server-029.png

Nun eine Gruppe auswählen:
W2008R2-als-VPN-PPTP-Server-030.png

W2008R2-als-VPN-PPTP-Server-031.png

Und weiter geht es:
W2008R2-als-VPN-PPTP-Server-032.png

Jetzt unbedingt Zugriff gewährt auswählen - deshalb machen wir das ja nur!
W2008R2-als-VPN-PPTP-Server-033.png

Als Methoden habe ich die im Bild dargestellten verwendet, er nimmt bei der Einwahl MS-CHAP, an v2 Arbeite ich noch.
W2008R2-als-VPN-PPTP-Server-034.png

Für Fortgeschrittende: man kann auch noch ein Zertifikat hinzufügen (Erst hinzufügen, danach bearbeiten und das gewünschte Zertifikat auswählen)

Ab jetzt klicken wir eigentlich immer nur auf Weiter:
W2008R2-als-VPN-PPTP-Server-035.png

W2008R2-als-VPN-PPTP-Server-036.png

Und Fertig:
W2008R2-als-VPN-PPTP-Server-037.png


Teil 4 Alternativ: Benutzern die Einwahl im Active Directory erlauben

Statt der NPS-Richtlinie geht es auch wie folgt:
Dazu rufen wir unter Active Directory-Benutzer und -Computer die Eigenschaften des Benutzers auf:
W2008R2-als-VPN-PPTP-Server-014.png

Unter Einwählen die Option auf Zugriff gestatten stellen.
Ich muss aber zugeben, das es bei meinen Test's ohne Richtlinie nicht ging - die musste es immer geben, ansonsten gab es einen Fehler das es keine passende Richtline gab :-)


Teil 4 Alternativ: L2TP/IPSec nutzen statt PPTP

Wer L2TP/IPSec statt PPTP zur Einwahl nutzen will (und damit verschlüsselte Verbindungen) schaut einmal hier:
Gewusst wie:Konfigurieren von einem L2TP/IPsec-Server hinter einem NAT-T-Gerät in Windows Vista und Windows Server 2008
Gilt für 2008 R2 und Windows 7/8 noch genauso


Teil 5: Ports und Protokolle auf der Firewall freischalten und NAT-ten für PPTP

für PPTP musste ich folgende Ports und Protokolle auf meiner Fritz!Box freischalten:

Port 1723             Protokoll TCP
Port 47               Protokoll GRE

W2008R2-als-VPN-PPTP-Server-038.png
W2008R2-als-VPN-PPTP-Server-039.png
W2008R2-als-VPN-PPTP-Server-040.png

Zumindest die Fritz!Box leitet den GRE Verkehr dann pauschal an den Host durch.


Teil 6: Einwahl unter Windows 7 konfigurieren

Wir öffnen das Netzwerk- und Freigabecenter:
Und wählen Neue Verbindung oder neues Netzwerk einrichten:
W2008R2-als-VPN-PPTP-Server-041.png

Verbindung mit dem Arbeitsplatz herstellen:
W2008R2-als-VPN-PPTP-Server-019.png

den oberen Punkt, Die Internetverbindung (VPN) verwenden auswählen:
W2008R2-als-VPN-PPTP-Server-020.png

Internetadresse ist dann die öffentliche IP-Adresse oder DNS-Name des Routers/Firewall:
W2008R2-als-VPN-PPTP-Server-021.png

Benutzername, Passwort und Domäne angeben:
W2008R2-als-VPN-PPTP-Server-022.png

und Warten - er probiert die verschiedenen VPN Möglichkeiten durch bis es passt:
W2008R2-als-VPN-PPTP-Server-023.png

Und Hurra!:
W2008R2-als-VPN-PPTP-Server-024.png


--Bernhard Linz (Diskussion) 16:29, 12. Jun. 2012 (CEST)

Loading comments...