Site-to-Site VPN mit zwei Windows Server 2012 R2 Servern

Windows Server 2012 R2Wir standen vor der Aufgabe, zwischen zwei Standorten ein VPN aufzubauen. Dies lässt sich entweder durch Hardware-Geräte ermöglichen, oder eben per Software. Vor dieser Einrichtung habe ich solch eine Aufgabe noch nie mit zwei Windows Server-Systemen versucht, ich kannte bisher nur die Nutzung von einem Server als VPN-Gateway und die Nutzung von einem oder mehreren Clients, die sich wie gewohnt einwählen. Die Einrichtung funktioniert sehr einfach und schnell, nach der Installation der Server habe ich keine 10 Minuten zur Einrichtung der Systeme benötigt. Grundlage für die Einrichtung war das folgende Youtube-Video, das die Einrichtung sehr gut zeigt: youtube.com/watch?v=xp10hGAKeuA

Da es allerdings einige Leute gibt, die Video-Erklärungen nicht mögen oder das Video aus anderen Gründen nicht schauen können, fasse ich die durchgeführten Schritte hier nochmal zusammen.

Wir benötigen zwei Windows Server 2012 R2 mit dem aktuellen Patchlevel. Beide Systeme haben zwei Netzwerkkarten, einmal für das interne LAN, einmal für die Anbindung Richtung Internet.

Seite A

Auf Seite A beginnen wir mit der Installation der benötigten Rolle. Hierzu öffnen wir den Server-Manager und installieren die Rolle “Remote Access” mit den Unterrollen “DirectAccess and VPN (RAS)” sowie “Routing”.

image

image

Nach der Installation meldet sich der Server-Manager und sagt uns, dass die Installation bzw. die Einrichtung noch nicht abgeschlossen ist. Öffnen Sie die “Routing and Remote Access” MMC entweder direkt über die Meldung im Server-Manager oder im Server-Manager oben rechts über “Tools” => “Routing and Remote Access”.

image

Auf die Frage nach der Art der Konfiguration wählen Sie “Deploy VPN only”.

image

Nun wählen Sie in dem Kontextmenü des Servers die Option “Configure and Enable Routing and Remote Access”.

image

In dem Assistent wählen Sie nun die “Custom configuration”.

image

Bei der Art der Konfiguration wählen wir hier die Option “Demand-dial connections (used for branch office routing).

image

Beenden Sie den Assistenten mit einem Klick auf “Finish”.

image

In meinem Fall erschien noch ein Warn-Hinweis, dass die benötigten Firewall-regeln nicht automatisch geöffnet werden konnten. Passen Sie die Windows-Firewall in diesem Fall per Hand an und aktivieren Sie die benötigten Regeln.

image

Starten Sie nach erfolgreicher Einrichtung den Dienst.

image

Wechseln Sie nun auf “Network Interfaces” und erstellen Sie ein neues Interface.

image

Geben Sie dem Interface einen Namen und wählen Sie den “Connection Type” aus: “Connect using virtual private networking (VPN)”.

image

image

Wählen Sie als Art des VPN “Point to Point Tunneling Protocol (PPTP)” aus.

image

Geben Sie die IP-Adresse von Gateway B an:

image

Wählen Sie nun beide Optionen aus und bestätigen Sie die Auswahl mit “Next”

image

Wählen Sie nun im nächsten Fenster das IP-Netz von Seite B aus, damit der Server weiß, welche Pakete er entsprechend routen soll.

image

Definieren Sie nun die Anmeldedaten und vergeben Sie ein Kennwort. Tipp: Falls Sie in den Windows-Kennwortrichtlinien eingestellt haben, dass Sie ein sicheres Kennwort benötigen (Stichwort Komplexität), müssen Sie hier zwangsläufig auch ein sicheres Kennwort verwenden, da sonst die Einrichtung fehlschlägt. Beachten Sie die Beschreibung dieser Daten => Dial-In. Das heißt, diese Daten werden später auf dem Server 2 benötigt, um sich einzuwählen.

image

Nun müssen Sie die “Dial-Out” Daten angeben. Hier empfiehlt sich, dass Namensschema beizubehalten. Auch hier müssen Sie ein komplexes Kennwort definieren.

image

Nun wird das neue Interface angelegt und eingerichtet. Standardmäßig wird die Verbindung nach fünf Minuten wieder getrennt, sobald keine Daten über den Tunnel laufen. Dies möchten wir nicht, wir möchten eine dauerhafte Verbindung einrichten. Öffnen Sie die Eigenschaften von dem Interface

image

Konfigurieren Sie unter “Options”, dass es sich um eine dauerhafte Verbindung handelt (Persistent Connection).

image

Dies beendet die Einstellung für den Server auf Seite A, weiter geht es mit Seite B.

Seite B

Die Konfiguration des Servers auf Seite B ist fast komplett identisch mit der Konfiguration von Seite A, außer das die IP-Adresse des Servers, das Subnetz von Seite A und die Anmeldedaten anders sind. Nach der Konfiguration können Sie beide Server einmal neu starten und überprüfen, ob sich die Verbindung erfolgreich und ohne manuelles eingreifen aufbaut. Ist dies der Fall, testen Sie einen Zugriff von Seite A auf Seite B und anders herum.

Firewalls

Haben Sie zwischen dem VPN-Server und dem Internet eine oder mehrere Firewalls, so müssen Sie in dieser natürlich die entsprechenden Ports öffnen. In meinem Fall für PPTP ist dies der Port TCP 1723 sowie GRE.

Ein Wort zur Sicherheit

PPTP gilt als unsicher und geknackt. Nutzen Sie in Produktiv-Umgebungen daher eine andere Art der Absicherung! Selbst Microsoft selbst rät von dem Einsatz von PPTP und MS-CHAP ab.

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

2 Kommentare:

  1. Schöne Anleitung. Vielen Dank.
    Nur wäre es wünschenswert den Sicherheitshinweis (in rot und mit Farbe) vorne anzustellen. So arbeitet man sich durch den ganzen Artikel, versucht es nachzuvollziehen und am Ende heißt es: Sollten Sie bis hierher gekommen sein, vergessen Sie das gelernte als veraltet.

    Das macht die viele Mühe die in den Artikel steckt irgendwie kaputt. Zudem wäre ein Link zu den besseren Varianten nun eine tolle Erweiterung.

  2. Super Anleitung, Danke!
    Ich habe sie verfolgt und der VPN-Tunnel steht. Um das PPTP-Sicherheitsproblem zu umgehen habe ich in den Einstellungen auf L2TP mit pre-shared Key umgestellt. Leider scheitert die Verbindung dann mit dem Fehler “das Modem (oder ein anderes Gerät) wird bereits verwendet”. Habt ihr eine Lösung dafür?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.