Always On VPN – NPS Server konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Jetzt werde ich den NPS Server installieren und konfigurieren.

Network Policy and Access Services installieren

  1. Als Administrator an NPS01 anmelden
  2. Manage > Add Roles and Features
  3. Add Roles and Featues Wizard
    1. Roles: Network Policy and Access Services > Add Features > Next
    2. Before You Begin > Next
    3. Installation Type: Role-based installation > Next
    4. Server Selection
      1. Select a server from the server pool: NPS01.intern.einfaches-netzwerk.at > Next
    5. Server Roles: Network Policy and Access Services > Next
    6. Features > Next
    7. Network Policy and Access Services > Next
    8. Confirmation > Install
    9. Results > Close

Firewall-Konfiguration überprüfen

NPS01 wartet standardmäßig auf folgenden UDP-Ports auf RADIUS-Kommunikation von VPN01:

  • 1645, 1646
  • 1812, 1813

Diese Ports müssen in der lokalen Windows Firewall erlaubt sein. Der Add Roles and Featues Wizard erstellt normalerweise für diese Ports die Regeln in der Firewall.

NPS konfigurieren

NPS Server in Active Directory registrieren

  1. Server Manager > Tools > Network Policy Server
  2. NPS (local) rechts anklicken > Register in Active Directory

    1. Network Policy Server > OK > OK

VPN01 als RADIUS-Client hinzufügen

Der Server VPN01 muss als RADIUS-Client zu NPS hinzugefügt werden, damit dieser den Server kennt und mit ihm kommunizieren kann. Für diesen Schritt brauche ich das Shared Secret, welches ich bei der Konfiguration von VPN01 (siehe Teil 4) eingegeben habe.

  1. Server Manager > Tools > Network Policy Server
  2. NPS (Local)\RADIUS Clients and Servers erweitern
  3. RADIUS Clients rechts anklicken > New
  4. New RADIUS Client
    1. Reiter Settings
      1. Enable this RADIUS client > aktivieren
      2. Friendly name: VPN01
      3. Address: VPN01.intern.einfaches-netzwerk.at > Verify… > Resolve > OK
      4. Shared secret: Password1
      5. Confirm shared secret: Password1 > OK
  5. VPN01 ist in der Liste der RADIUS-Clients

Netzwerkrichtlinien für VPN-Verbindungen konfigurieren

Mit diesem Schritt erlaube ich nur Benutzern in der Gruppe VPN Benutzer Zugriff auf das Unternehmensnetzwerk durch den VPN-Server. Und dann nur, wenn ein passendes Benutzerzertifikat vorhanden ist.

  1. Server Manager > Tools > Network Policy Server
  2. Standard Configuration: RADIUS server for Dial-UP or VPN Connections (die zweite Option ist für 802.1x WLAN oder/und LAN)
  3. Auf den Link Configure VPN or Dial-Up klicken
  4. Configure VPN or Dial-Up
    1. Type of connections: Virtual Private Network (VPN) Connections > Next
      Hinweis: Der Name wird automatisch ausgefüllt
    2. RADIUS Clients: VPN01 markieren > Next
    3. Extensible Authentication Protocol > aktivieren
    4. Type: Microsoft: Protected EAP (PEAP) > Configure…
    5. Edit Protected EAP Properties
      1. auf Remove klicken, um EAP-MSCHAPv2 zu entfernen
      2. Add > Smart Card or other certificate > OK > OK
    6. Microsoft Encrypted Authentication version 2 (MS-CHAPv2) > deaktivieren > Next
    7. Groups > Add… > VPN Benutzer > OK > Next
    8. Specify IP Filters > Next
    9. Specify Encryption Settings > Next
    10. Specify a Realm Name > Next
    11. Completing… > Finish
  5. NPS (Local)\Policies\Network Policies erweitern

Damit ist theoretisch die Konfiguration der Always On VPN-Server abgeschlossen. Diese Schritte sind zusammenfassend passiert:

  • Gruppenrichtinien für die automatische Registrierung von Benutzer- und Computerzertifikaten erstellt
  • Active Directory-Sicherheitsgruppen für Always On VPN erstellt
  • Zertifikatisvorlage für die VPN Benutzerauthentifizierung erstellt
  • Zertifikatisvorlage für die Computerauthentifizierung erstellt
  • Zertifikatisvorlage für die VPN Serverauthentifizierung erstellt
  • Zertifikatisvorlage für die NPS Serverauthentifizierung erstellt
  • Zertifikat für die NPS Serverauthentifizierung installiert
  • Zertifikat für die VPN Serverauthentifizierung installiert
  • SSL-Zertifikat für SSTP angefordert, ausgestellt und installiert
  • VPN Server Netzwerk-Adapter konfiguriert
  • Remote Access Server installiert
  • Remote Access als VPN Server konfiguriert
  • Network Policy and Access Services installiert
  • Firewall-Konfiguration überprüft und zum Abschluss den
  • NPS konfiguriert

Fehlt noch die Konfiguration der Windows 10-Clients.

CC BY-NC-SA 4.0 Always On VPN – NPS Server konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.