Always On VPN – Remote Access Server konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In diesem Teil werde ich den Remote Access Server für Always on VPN installieren und konfigurieren.

Konfiguration der Netzwerk-Adapter

  1. Als Administrator an VPN01 anmelden
  2. Das Network and Sharing Center öffnen

Konfiguration des Internen Netzwerk-Adapters

  1. Internet Protocol Version 4 (TCP/IPv4) Properties öffnen
    1. General
      1. IP address: 192.168.100.5
      2. Subnet mask: 255.255.255.0
      3. Default gateway: > kein Standardgateway
      4. Preferred DNS server: 192.168.100.1 > interner DNS Server, siehe Always On VPN – Überblick
      5. Advanced…
      6. Advanced TCP/IP Settings
        1. Reiter DNS
          1. DNS suffix for this connection: intern.einfaches-netzwerk.at > OK > OK

Konfiguration des Externen Netzwerk-Adapters

  1. Internet Protocol Version 4 (TCP/IPv4) Properties öffnen
    1. General
      1. IP address: 131.107.0.3
      2. Subnet mask: 255.255.255.0
      3. Default gateway: 131.107.0.1
      4. Preferred DNS server: > kein DNS Server
      5. Advanced…
      6. Advanced TCP/IP Settings
        1. Reiter DNS
          1. Register this connection’s addresses in DNS deaktivieren
        2. Reiter WINS
          1. Enable LMHOSTS lookup > deaktivieren
          2. Disable NetBIOS over TCP/IP > OK > OK
  2. Internet Properties
    1. Reiter Networking
      1. Folgende Protkolle deaktivieren:
        1. Client for Microsoft Networks
        2. File and Printer Sharing for Microsoft Networks > OK

Remote Access Server installieren

Nachdem ich die Konfiguration der Zertifikate endlich hinter mir habe, installiere ich die Remote Access-Rolle am Server VPN01.

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type
      1. Role-based installation > Next
    3. Server Selection
      1. Select a server from the server pool: VPN01.intern.einfaches-netzwerk.at > Next
    4. Server Roles
      1. Roles: Remote Access > Next
    5. Features > Next
    6. Remote Access > Next
    7. Role Services: DirectAccess and VPN (RAS) > Add Features > Next
    8. Web Server Role (IIS) > Next
    9. Role Services > Next
    10. Confirmation > Install
    11. Results > Close
  3. VPN01 neu starten

Remote Access als VPN Server konfigurieren

  1. Als Administrator an VPN01 anmelden
  2. Server Manager > Notifications > den Link Open the Getting Started Wizard klicken
  3. Configure Remote Access (Getting Started Wizard)
    1. Deploy VPN only
  4. Die Routing and Remote Access-Console öffnet sich
  5. VPN01 (local) rechts anklicken > Configure and Enable Routing and Remote Access
  6. Routing and Remote Access Server Setup Wizard
    1. Welcome to the… > Next
    2. Configuration: Custom configuration > Next
    3. Custom Configuration: VPN access > Next
    4. Completing the Routing… Finish
    5. Routing and Remote Access > Start service
  7. VPN01 (local) rechts anklicken > Properties
  8. VPN01 (local) Properties
    1. Reiter IPv4
      Hinweis: Mein interner DHCP-Range geht von 192.168.100.100-192.168.100.200. Für die VPN-Clients werde ich IP-Adressen von 192.168.100.201-192.168.100.220 vergeben.

      1. IPv4 address assignment
        1. Static address pool > Add…
          1. Start IP address: 192.168.100.201
          2. End IP address: 192.168.100.220 > OK
      2. Auf Adapter klicken
      3. Den internen Adapter auswählen
    2. Reiter Security
      1. Authentication provider: RADIUS Authentication > Configure…
      2. Radius Authentication
        1. Add…
        2. Add RADIUS Server
          1. Server anme: NPS01.intern.einfaches-netzwerk.at
          2. Shared secret > Change… > New secret: Password1 > Confirm new secret: Password1 > OK
          3. Add RADIUS Server mit OK schließen
        3. RADIUS Authentication mit OK schließen
      3. Accounting Provider: RADIUS Accounting > Configure…
      4. RADIUS Accounting
        1. Add…
        2. Add RADIUS Server
          1. Server name: NPS01.intern.einfaches-netzwerk.at
          2. Shared secret > Change… > New secret: Password1 > Confirm new secret: Password1 > OK
          3. Add RADIUS Server mit OK schließen
        3. RADIUS Accounting mit OK schließen
      5. VPN01 (local) Properties mit OK schließen
  9. VPN01\Ports rechts anklicken > Properties
  10. Ports Properties
    Hinweis: Obwohl ich ein SSL-Zertifikat für SSTP installiert habe, konfiguriere ich jetzt einmal nur IKEv2.

    1. WAN Miniport (SSTP) markieren > Configure…
    2. Configure Device – WAN Miniport (SSTP)
      1. Remote access connections (inbound only) > deaktivieren
      2. Demand-dial routing connections (inbound and outbound) > deaktivieren > OK
    3. Schritt B für folgende Devices wiederholen
      1. WAN Miniport (L2TP)
      2. WAN Miniport (PPTP)
    4. Port Properties mit OK schließen
  11. Lt. Microsoft Dokumentation VPN01 neu starten

In dieser Anleitung habe ich die Server-Rolle Remote Access auf VPN installiert und konfiguriert. Als nächstes werde ich den Server NPS01 konfigurieren.

CC BY-NC-SA 4.0 Always On VPN – Remote Access Server konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.