Windows:Windows Server 2008 R2 als VPN Einwahlserver für Windows 7 hinter Firewall mit Boardmitteln
Aus znilwiki
Folgendes Szenario:
- Windows Server 2008 R2 als VPN Einwahlserver
- Server ist nicht direkt sondern hinter Router / Firewall (hier Fritz!Box) im Internet
- Ports wurden per NAT auf den Server geschaltet
Teil 1: Windows Server 2008 R2 Rolle nachinstallieren
Als ersten müssen wir die Rollen nachinstallieren:
- Netzwerkrichtlinien- und Zugriffsdienste
- Routing- und RAS-Dienste
- RAS
- Routing
Teil 2: Routing und RAS konfigurieren und aktivieren
Nachdem die Rolle installiert wurde finden wir diese im Server Manager wieder.
Die Auswahl erweitern auf
- Server Manager
- Rollen
- Netzwerkrichtlinien- und Zugriffsdienste
- Routing und RAS
- Netzwerkrichtlinien- und Zugriffsdienste
- Rollen
und dann mit Rechtsklick das Menü öffnen und
- Routing und RAS konfigurieren und aktivieren
wählen:
Es öffnet sich ein Assistent:
Wir wählen die
- Benutzerdefinierte Konfiguration:
- VPN-Zugriff
reicht für unsere Zwecke (Die Benutzer können nach der Einwahl nur auf den Server zugreifen auf dem sie sich eingewählt haben, z.B. auf Freigaben oder per RDP)
Nun kann auch der Dienst gestartet werden:
Teil 3: IP-Adressen für Einwahl bereitstellen
Falls wir keinen DHCP Server für die Einwahl haben können wir auch für diese Benutzer auch "manuell" einen Bereich mit Adressen angeben.
Wir gehen wieder per Rechstklick auf Routing und RAS
und wählen diesmal die Eigenschaften
:
- Wir gehen auf den Reiter
IPv4
- Aktivieren den Haken bei
IPv4-Weiterleitung aktivieren
- Aktivieren unter
IPv4-Adresszuweisung
denStatischen Adresspool
- Klicken auf
Hinzufügen
:
Und geben eine Start- und End-IP-Adresse ein - Die Anzahl der Adressen ermittelt er von alleine:
Nach einem Klick auf OK
hat er es übernommen:
Einfach nochmal OK
und wir sind fertig damit.
Teil 4: Regel / Richlinie für die Einwahl erstellen
Ganz so einfach kommt noch niemand rein - es muss erst eine Richtlinie geben die das erlaubt. Vordefiniert gibt es noch keine (was auch gut so ist :-)
Alternativ kann man auch den Haken bei dem jeweiligen Benutzer setzen´(siehe Teil 4 - Alternativ)
Wir erweitern im Server-Manager bis zu
- Server Manager
- Rollen
- Netzwerkrichtlinien- und Zugriffsdienste
- Routing und RAS
- RAS-Protokollierung und - Richtlinien
- Routing und RAS
- Netzwerkrichtlinien- und Zugriffsdienste
- Rollen
Wieder ein Rechtsklick darauf und NPS starten
wählen:
Es öffnet sich die Konsole Netzwerkrichtlinienserver
.
Wir erweitern die Auswahl bis auf
- NPS
- Netzwerkrechtlinien
und wählen per Rechtsklick im Optionsmenü Neu
:
Wir denken uns einen passenden Namen aus, die Auswahl wie im Bild gezeigt:
Wir brauchen mindestens eine Bedingung die Zutrifft und damit die Einwahl dann erlaubt, also einmal auf Hinzufügen:
Die Mitgliedschaft in einer bestimmten Gruppe z.B.:
Nun eine Gruppe auswählen:
Und weiter geht es:
Jetzt unbedingt Zugriff gewährt
auswählen - deshalb machen wir das ja nur!
Als Methoden habe ich die im Bild dargestellten verwendet, er nimmt bei der Einwahl MS-CHAP, an v2 Arbeite ich noch.
Für Fortgeschrittende: man kann auch noch ein Zertifikat hinzufügen (Erst hinzufügen, danach bearbeiten und das gewünschte Zertifikat auswählen)
Ab jetzt klicken wir eigentlich immer nur auf Weiter
:
Und Fertig:
Teil 4 Alternativ: Benutzern die Einwahl im Active Directory erlauben
Statt der NPS-Richtlinie geht es auch wie folgt:
Dazu rufen wir unter Active Directory-Benutzer und -Computer
die Eigenschaften des Benutzers auf:
Unter Einwählen
die Option auf Zugriff gestatten
stellen.
Ich muss aber zugeben, das es bei meinen Test's ohne Richtlinie nicht ging - die musste es immer geben, ansonsten gab es einen Fehler das es keine passende Richtline gab :-)
Teil 4 Alternativ: L2TP/IPSec nutzen statt PPTP
Wer L2TP/IPSec statt PPTP zur Einwahl nutzen will (und damit verschlüsselte Verbindungen) schaut einmal hier:
Gewusst wie:Konfigurieren von einem L2TP/IPsec-Server hinter einem NAT-T-Gerät in Windows Vista und Windows Server 2008
Gilt für 2008 R2 und Windows 7/8 noch genauso
Teil 5: Ports und Protokolle auf der Firewall freischalten und NAT-ten für PPTP
für PPTP musste ich folgende Ports und Protokolle auf meiner Fritz!Box freischalten:
Port 1723 Protokoll TCP Port 47 Protokoll GRE
Zumindest die Fritz!Box leitet den GRE Verkehr dann pauschal an den Host durch.
Teil 6: Einwahl unter Windows 7 konfigurieren
Wir öffnen das Netzwerk- und Freigabecenter
:
Und wählen Neue Verbindung oder neues Netzwerk einrichten
:
Verbindung mit dem Arbeitsplatz herstellen
:
den oberen Punkt, Die Internetverbindung (VPN) verwenden
auswählen:
Internetadresse ist dann die öffentliche IP-Adresse oder DNS-Name des Routers/Firewall:
Benutzername, Passwort und Domäne angeben:
und Warten - er probiert die verschiedenen VPN Möglichkeiten durch bis es passt:
Und Hurra!:
--Bernhard Linz (Diskussion) 16:29, 12. Jun. 2012 (CEST)