Always On VPN – Windows 10 Client konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In diesem Teil möchte ich den Always On VPN – Windows 10 Client konfigurieren.

Die NPS Server-Zertifikatseinstellungen notieren

  1. Als Administrator an NPS01 anmelden
  2. Server Manager > Tools > Network Policy Server starten
  3. NPS (Local)\Policies\Network Policies anklicken
  4. Virtual Private Network (VPN) Connections rechts anklicken > Properties
  5. Virtual Private Network (VPN) Connections Properties
    1. Auf den Reiter Constraints wechseln
    2. Auf der linken Seite Authentication Methods markieren
    3. Im Bereich EAP Types Microsoft: Protected EAP (PEAP) markieren > Edit…
    4. Folgende Daten notieren:
      1. Certificate issued to: NPS01.intern.einfaches-netzwerk.at
      2. Issuer: Einfaches-Netzwerk-SUBCA01
      3. Alle Fenster mit Cancel schließen
  6. Von NPS01 abmelden

VPN Profil auf einem domain-joined Windows 10-Computer einrichten

An dieser Stelle konfiguriere ich eine Test-Verbindung. USER01 ist in der lokalen Administratoren-Gruppe auf CLIENT01.

  1. Als USER01 an CLIENT01 anmelden
  2. Sicherstellen, das der Computer mit dem Netzwerk „Internet“ (131.107.0.0, siehe Always On VPN – Überblick) verbunden ist
  3. Start > Suche: VPN
  4. VPN-Einstellungen
    1. VPN-Verbindung hinzufügen
    2. VPN-Verbindung hinzufügen
      1. VPN-Anbieter: Windows (integriert)
      2. Verbindungsname: Template
      3. Servername oder IP-Adresse: vpn.einfaches-netzwerk.at
      4. VPN-Typ: Automatisch > Speichern
    3. Unter Verwandte Einstellungen auf Adapteroptionen klicken
    4. Template rechts anklicken > Eigenschaften
    5. Eigenschaften von Template
      1. Reiter Sicherheit
        1. VPN-Typ: Automatisch (Windows 10 sollte zuerst IKEv2 probieren, falls das nicht funktioniert > Fallback auf SSTP)
        2. Datenverschlüsselung: Maxiamle (Verbindung trennen, falls Server dies ablehnt)
        3. Authentifizierung: Extensible-Authentication-Protokoll (EAP) verwenden > Microsoft: Geschütztes EAP (PEAP) (Verschlüsselung aktiviert) > Eigenschaften
        4. Eigenschaften für geschütztes EAP
          1. Verbindung mit folgenden Servern herstellen: NPS01.intern.einfaches-netzwerk.at (siehe > Certificate issued to: NPS01.intern.einfaches-netzwerk.at unter Die NPS Server-Zertifikatseinstellungen notieren)
          2. Vertrauenswürdige Stammzertifizierungsstellen: Einfaches-Netzwerk Root CA
          3. Benachrichtigung vor der Verbindungsherstellung: Benutzer nicht zum Autorisieren neuer Server oder vertrauenswürdiger Stammzertifizierungsstellen auffordern
          4. Authentifizierungsmethode auswählen: Smartcard- oder anderes Zertifikat > Konfigurieren…
          5. Smartcard- oder andere Zertifikateigenschaften
            1. Beim Herstellen der Verbindung: Zertifikat auf dem Computer verwenden
            2. Verbindung mit folgenden Servern herstellen: NPS01.intern.einfaches-netzwerk.at
            3. Vertrauenswürdige Stammzertifizierungsstellen: Einfaches-Netzwerk Root CA
            4. Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen > aktivieren > OK
          6. Fenster mit OK schließen
        5. Eigenschaften von Template mit OK schließen
    6. Alle Fenster schließen
  5. Das Netzwerksymbol im Infobereich anklicken
  6. Template markieren > Verbinden


  7. Netzwerkverbindungsdetails: IP-Adresse aus dem VPN-Pool
  8. Zugriff auf interne Ressourcen
  9. Gruppenrichtlinienabruf
  10. Anmeldeinformationsverwaltung > Windows-Anmeldeinformationen: Zertifikatsbasierte Anmeldeinformationen dieser Session
  11. Und abschließend noch die Einträge im Anwendungs-Ereignisprotokoll: Quelle RasClient


Nachdem ich keine Probleme feststellen konnte, werde ich im Anschluss das VPN-Profil erstellen und hier im Labor mittels PowerShell verteilen. Mehr dazu im nächsten Teil.

Danke für´s Lesen!

 

CC BY-NC-SA 4.0 Always On VPN – Windows 10 Client konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.