Wir standen vor der Aufgabe, zwischen zwei Standorten ein VPN aufzubauen. Dies lässt sich entweder durch Hardware-Geräte ermöglichen, oder eben per Software. Vor dieser Einrichtung habe ich solch eine Aufgabe noch nie mit zwei Windows Server-Systemen versucht, ich kannte bisher nur die Nutzung von einem Server als VPN-Gateway und die Nutzung von einem oder mehreren Clients, die sich wie gewohnt einwählen. Die Einrichtung funktioniert sehr einfach und schnell, nach der Installation der Server habe ich keine 10 Minuten zur Einrichtung der Systeme benötigt. Grundlage für die Einrichtung war das folgende Youtube-Video, das die Einrichtung sehr gut zeigt: youtube.com/watch?v=xp10hGAKeuA
Da es allerdings einige Leute gibt, die Video-Erklärungen nicht mögen oder das Video aus anderen Gründen nicht schauen können, fasse ich die durchgeführten Schritte hier nochmal zusammen.
Wir benötigen zwei Windows Server 2012 R2 mit dem aktuellen Patchlevel. Beide Systeme haben zwei Netzwerkkarten, einmal für das interne LAN, einmal für die Anbindung Richtung Internet.
Seite A
Auf Seite A beginnen wir mit der Installation der benötigten Rolle. Hierzu öffnen wir den Server-Manager und installieren die Rolle “Remote Access” mit den Unterrollen “DirectAccess and VPN (RAS)” sowie “Routing”.
Nach der Installation meldet sich der Server-Manager und sagt uns, dass die Installation bzw. die Einrichtung noch nicht abgeschlossen ist. Öffnen Sie die “Routing and Remote Access” MMC entweder direkt über die Meldung im Server-Manager oder im Server-Manager oben rechts über “Tools” => “Routing and Remote Access”.
Auf die Frage nach der Art der Konfiguration wählen Sie “Deploy VPN only”.
Nun wählen Sie in dem Kontextmenü des Servers die Option “Configure and Enable Routing and Remote Access”.
In dem Assistent wählen Sie nun die “Custom configuration”.
Bei der Art der Konfiguration wählen wir hier die Option “Demand-dial connections (used for branch office routing).
Beenden Sie den Assistenten mit einem Klick auf “Finish”.
In meinem Fall erschien noch ein Warn-Hinweis, dass die benötigten Firewall-regeln nicht automatisch geöffnet werden konnten. Passen Sie die Windows-Firewall in diesem Fall per Hand an und aktivieren Sie die benötigten Regeln.
Starten Sie nach erfolgreicher Einrichtung den Dienst.
Wechseln Sie nun auf “Network Interfaces” und erstellen Sie ein neues Interface.
Geben Sie dem Interface einen Namen und wählen Sie den “Connection Type” aus: “Connect using virtual private networking (VPN)”.
Wählen Sie als Art des VPN “Point to Point Tunneling Protocol (PPTP)” aus.
Geben Sie die IP-Adresse von Gateway B an:
Wählen Sie nun beide Optionen aus und bestätigen Sie die Auswahl mit “Next”
Wählen Sie nun im nächsten Fenster das IP-Netz von Seite B aus, damit der Server weiß, welche Pakete er entsprechend routen soll.
Definieren Sie nun die Anmeldedaten und vergeben Sie ein Kennwort. Tipp: Falls Sie in den Windows-Kennwortrichtlinien eingestellt haben, dass Sie ein sicheres Kennwort benötigen (Stichwort Komplexität), müssen Sie hier zwangsläufig auch ein sicheres Kennwort verwenden, da sonst die Einrichtung fehlschlägt. Beachten Sie die Beschreibung dieser Daten => Dial-In. Das heißt, diese Daten werden später auf dem Server 2 benötigt, um sich einzuwählen.
Nun müssen Sie die “Dial-Out” Daten angeben. Hier empfiehlt sich, dass Namensschema beizubehalten. Auch hier müssen Sie ein komplexes Kennwort definieren.
Nun wird das neue Interface angelegt und eingerichtet. Standardmäßig wird die Verbindung nach fünf Minuten wieder getrennt, sobald keine Daten über den Tunnel laufen. Dies möchten wir nicht, wir möchten eine dauerhafte Verbindung einrichten. Öffnen Sie die Eigenschaften von dem Interface
Konfigurieren Sie unter “Options”, dass es sich um eine dauerhafte Verbindung handelt (Persistent Connection).
Dies beendet die Einstellung für den Server auf Seite A, weiter geht es mit Seite B.
Seite B
Die Konfiguration des Servers auf Seite B ist fast komplett identisch mit der Konfiguration von Seite A, außer das die IP-Adresse des Servers, das Subnetz von Seite A und die Anmeldedaten anders sind. Nach der Konfiguration können Sie beide Server einmal neu starten und überprüfen, ob sich die Verbindung erfolgreich und ohne manuelles eingreifen aufbaut. Ist dies der Fall, testen Sie einen Zugriff von Seite A auf Seite B und anders herum.
Firewalls
Haben Sie zwischen dem VPN-Server und dem Internet eine oder mehrere Firewalls, so müssen Sie in dieser natürlich die entsprechenden Ports öffnen. In meinem Fall für PPTP ist dies der Port TCP 1723 sowie GRE.
Ein Wort zur Sicherheit
PPTP gilt als unsicher und geknackt. Nutzen Sie in Produktiv-Umgebungen daher eine andere Art der Absicherung! Selbst Microsoft selbst rät von dem Einsatz von PPTP und MS-CHAP ab.
Schöne Anleitung. Vielen Dank.
Nur wäre es wünschenswert den Sicherheitshinweis (in rot und mit Farbe) vorne anzustellen. So arbeitet man sich durch den ganzen Artikel, versucht es nachzuvollziehen und am Ende heißt es: Sollten Sie bis hierher gekommen sein, vergessen Sie das gelernte als veraltet.
Das macht die viele Mühe die in den Artikel steckt irgendwie kaputt. Zudem wäre ein Link zu den besseren Varianten nun eine tolle Erweiterung.
Super Anleitung, Danke!
Ich habe sie verfolgt und der VPN-Tunnel steht. Um das PPTP-Sicherheitsproblem zu umgehen habe ich in den Einstellungen auf L2TP mit pre-shared Key umgestellt. Leider scheitert die Verbindung dann mit dem Fehler „das Modem (oder ein anderes Gerät) wird bereits verwendet“. Habt ihr eine Lösung dafür?
Sehr gute Anleitung! Vielen Dank dafür. Konnte mein Problem damit lösen.
Weiter so!