SSTP unter Windows Server 2012

6c61c980f651446a8fac1218bbada763

Das Secure Socket Tunneling Protocol (SSTP) nutzt einen SSL Verschlüsselten Tunnel um eine VPN-Verbindung aufzubauen. Genutzt wird wie für HTTPS der Port 443 (TCP). So kann die Verbindung auch über die meisten Firewalls hinweg aufgebaut werden, ein guter Vorteil wenn man viel unterwegs ist. Da PPTP nicht mehr ganz sicher ist, kann SSTP eine gute Alternative für eine sichere Verbindung in die eigene Umgebung sein. Für größere Umgebungen mit Windows 7 / 8 Enterprise Lizenzen könnte DirectAccess allerdings interessanter sein.

In diesem „Small Business / Home“ Szenario hat der RAS-Server nur eine Netzwerkkarte und der Firewall des Routers leitet den Port 443 zum RAS-Server weiter. Auch sollte der RAS-Server nicht wie in dieser Anleitung auf den Screenshots zu sehen ist, auf einem Domain Controller installiert werden.

Voraussetzungen

SSL Zertifikat für den öffentlichen Namen des VPN-Servers (z.B. vpn.fabian-niesen.de). Die Zertifikatesperrliste muss aus dem Internet erreichbar sein, und der Client muss dem Zertifikat vertrauen. Zum Testen funktioniert auch ein kostenloses Zertifikat von StartSSL.com.

Installation und Konfiguration des RAS-Servers

Zuerst wird das SSL-Zertifikat mit dem privaten Schlüssel zu dem Computerkonto hinzugefügt. Ein Doppelklick auf die PFX-Datei startet den „Zertifikatimport-Assistent“

011013 1725 SSTPunterWi1

Um das Zertifikat später auch mal wieder vom Server zusichern / zu exportieren sollte der private Schlüssel als exportierbar markiert werden.

011013 1725 SSTPunterWi2

Der Zertifikatspeicher sollte automatisch gewählt werden. Dadurch werden, wenn die Übergeordneten Zertifikate enthalten sind, diese direkt in die richtigen Zertifikatspeicher installiert. Nach der Fertigstellung geht es mit der Installation des RAS-Servers weiter.

Dazu muss die Rolle „Remotezugriff“ mit den notwendigen Abhängigkeiten installiert werden. Bei den Rollendiensten braucht nur „DirectAccess und VPN (RAS)“ selektiert zu sein.

011013 1725 SSTPunterWi3

Nachdem die Rolle nun installiert ist und der Server neugestartet wurde, geht es jetzt an die Konfiguration.

Werbung

011013 1725 SSTPunterWi4

Dazu wird die „Remotezugriffsverwaltung“ benötigt. Der „Assistent für erste Schritte“ hilft dann bei der Konfiguration:

011013 1725 SSTPunterWi5

Nach der Auswahl von „Nur VPN bereitstellen“ startet die „Routing und RAS“ Konsole. Um den RAS-Server zu konfigurieren den Servernamen auswählen und das Kontextmenu öffnen.

011013 1725 SSTPunterWi6

Der Setup-Assistent ist dem vom Windows-Server 2008R2 sehr ähnlich. Als Konfiguratonsoption wird „Benutzerdefinierte Konfiguration“ ausgewählt, da „RAS (DFÜ oder VPN)“ zwei Netzwerkkarten voraussetzt.

011013 1725 SSTPunterWi7

Als nächstes wird die Option „VPN-Zugriff“ ausgewählt.

011013 1725 SSTPunterWi8

Als nächstes wird ohne weitere Konfigurationsmöglichkeit der Konfigurationsassistent Fertiggestellt. Und das starten des RAS-Dienstes muss bestätigt werden.

011013 1725 SSTPunterWi9

Nun kann das VPN in der „Routing und RAS“ Konsole konfiguriert werden. Als erstes sollten die VPN Ports konfiguriert werden.

011013 1725 SSTPunterWi10

Nacheinander können hier die Arten des VPN’s konfiguriert werden, inklusive der Anzahl der Ports. Hier sollte man nach dem Prinzip weniger ist mehr, abwägen was und wie viele gebraucht werden.

011013 1725 SSTPunterWi11

Da ich nur SSTP nutzen möchte, deaktiviere ich alle anderen RAS-Geräte:

Werbung

011013 1725 SSTPunterWi12

Zum Abschluss sieht die Konfiguration dann so aus

011013 1725 SSTPunterWi13

Jetzt ist der Server grundsätzlich einsatzbereit, jetzt müssen die entsprechenden Benutzer noch berechtigt werden.

Werbung

Dies kann in einer größeren Umgebung über NPS-Richtlinien gemacht werden oder in dem der Benutzer über „Active Directory Benutzer und Computer“ das Recht zur Einwahl gestattet wird.

011013 1725 SSTPunterWi14

Wenn alles richtig gemacht wurde können sich nun die Benutzer Einwählen. Allerdings von jedem Gerät das SSTP Unterstützt. Wer das noch etwas einschränken möchte, sollte sich mit dem Thema NPS-Netzwerkrichtlinien (Network Policy Server) näher beschäftigen.

Werbung

Kommentare

2 Antworten zu „SSTP unter Windows Server 2012“

  1. Marcel

    Hallo Fabian.

    Vielen Dank mal wieder für diese tolle Anleitung. Deine Beiträge haben mir schon oft weitergeholfen. Leider bin im als Laie zur Zeit mit meinem Latein am Ende. Ich habe das VPN so konfiguriert wie angegeben (ohne SSL) und meinem und dem Admin Benutzer die Einwahl erlaubt. Leider lässt sich jetzt der Routing und Ras Dienst nicht mehr starten. Ich vermute, dass ich mich deshalb vom win 8 Clinet nicht einwählen kann.
    Ich habe schon auf beiden Seiten die FW deaktiviert und in der FB den Client zum exposed Host gemacht. Nichts funktioniert.
    Der Server ist eine virtueller 2012 Standard.

    Vielleicht hast du irgendeine Ahnung, worand es scheitern könnte?

    VG
    Marcel

  2. Fabian Niesen

    Hallo Marcel,
    Welches VPN Protokoll möchtest du den nutzen? SSTP setzt zwingend ein SSL Zertifikat voraus. Sollte der Server ein Selbstsegniertes erstellt haben, wird der Client es nicht ohne weiteres Akzeptieren. Ich gehe mal davon aus das Ihr keine Unternehmens-CA habt. Was an CA Funktioniert und in der kleinen Variante Kostenlos ist (Die Zertifikate gelten 1 Jahr und es werden keine Wildcard-Zertifikate ausgestellt), ist der im Artikel beschriebene Anbieter Start-SSL, die nutze ich auch. Auch wenn ich aus Bequemlichkeit die Class2 Zertifikate gönne.
    Gruß
    Fabian

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.