Always On VPN – Windows 10 Client konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In diesem Teil möchte ich den Always On VPN – Windows 10 Client konfigurieren.

Die NPS Server-Zertifikatseinstellungen notieren

  1. Als Administrator an NPS01 anmelden
  2. Server Manager > Tools > Network Policy Server starten
  3. NPS (Local)\Policies\Network Policies anklicken
  4. Virtual Private Network (VPN) Connections rechts anklicken > Properties
  5. Virtual Private Network (VPN) Connections Properties
    1. Auf den Reiter Constraints wechseln
    2. Auf der linken Seite Authentication Methods markieren
    3. Im Bereich EAP Types Microsoft: Protected EAP (PEAP) markieren > Edit…
    4. Folgende Daten notieren:
      1. Certificate issued to: NPS01.intern.einfaches-netzwerk.at
      2. Issuer: Einfaches-Netzwerk-SUBCA01
      3. Alle Fenster mit Cancel schließen
  6. Von NPS01 abmelden

VPN Profil auf einem domain-joined Windows 10-Computer einrichten

An dieser Stelle konfiguriere ich eine Test-Verbindung. USER01 ist in der lokalen Administratoren-Gruppe auf CLIENT01.

  1. Als USER01 an CLIENT01 anmelden
  2. Sicherstellen, das der Computer mit dem Netzwerk „Internet“ (131.107.0.0, siehe Always On VPN – Überblick) verbunden ist
  3. Start > Suche: VPN
  4. VPN-Einstellungen
    1. VPN-Verbindung hinzufügen
    2. VPN-Verbindung hinzufügen
      1. VPN-Anbieter: Windows (integriert)
      2. Verbindungsname: Template
      3. Servername oder IP-Adresse: vpn.einfaches-netzwerk.at
      4. VPN-Typ: Automatisch > Speichern
    3. Unter Verwandte Einstellungen auf Adapteroptionen klicken
    4. Template rechts anklicken > Eigenschaften
    5. Eigenschaften von Template
      1. Reiter Sicherheit
        1. VPN-Typ: Automatisch (Windows 10 sollte zuerst IKEv2 probieren, falls das nicht funktioniert > Fallback auf SSTP)
        2. Datenverschlüsselung: Maxiamle (Verbindung trennen, falls Server dies ablehnt)
        3. Authentifizierung: Extensible-Authentication-Protokoll (EAP) verwenden > Microsoft: Geschütztes EAP (PEAP) (Verschlüsselung aktiviert) > Eigenschaften
        4. Eigenschaften für geschütztes EAP
          1. Verbindung mit folgenden Servern herstellen: NPS01.intern.einfaches-netzwerk.at (siehe > Certificate issued to: NPS01.intern.einfaches-netzwerk.at unter Die NPS Server-Zertifikatseinstellungen notieren)
          2. Vertrauenswürdige Stammzertifizierungsstellen: Einfaches-Netzwerk Root CA
          3. Benachrichtigung vor der Verbindungsherstellung: Benutzer nicht zum Autorisieren neuer Server oder vertrauenswürdiger Stammzertifizierungsstellen auffordern
          4. Authentifizierungsmethode auswählen: Smartcard- oder anderes Zertifikat > Konfigurieren…
          5. Smartcard- oder andere Zertifikateigenschaften
            1. Beim Herstellen der Verbindung: Zertifikat auf dem Computer verwenden
            2. Verbindung mit folgenden Servern herstellen: NPS01.intern.einfaches-netzwerk.at
            3. Vertrauenswürdige Stammzertifizierungsstellen: Einfaches-Netzwerk Root CA
            4. Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen > aktivieren > OK
          6. Fenster mit OK schließen
        5. Eigenschaften von Template mit OK schließen
    6. Alle Fenster schließen
  5. Das Netzwerksymbol im Infobereich anklicken
  6. Template markieren > Verbinden


  7. Netzwerkverbindungsdetails: IP-Adresse aus dem VPN-Pool
  8. Zugriff auf interne Ressourcen
  9. Gruppenrichtlinienabruf
  10. Anmeldeinformationsverwaltung > Windows-Anmeldeinformationen: Zertifikatsbasierte Anmeldeinformationen dieser Session
  11. Und abschließend noch die Einträge im Anwendungs-Ereignisprotokoll: Quelle RasClient


Nachdem ich keine Probleme feststellen konnte, werde ich im Anschluss das VPN-Profil erstellen und hier im Labor mittels PowerShell verteilen. Mehr dazu im nächsten Teil.

Danke für´s Lesen!

 

3 Gedanken zu „Always On VPN – Windows 10 Client konfigurieren

  1. Hallo Dieter
    Vorab einmal herzlichen Dank für deinen Blog. Selten so was ausführliches und in Deutsch gesehen! Besonders für einen Rookie wie mich 😉
    Ich bin von Teil 1 deinem HowTo gefolgt, mit drei kleinen Ausnahme, dass ich den INET01 ausgelassen habe und die Server VPN01 und EDGE01 auf einen Server und DC01 und SUBCA01 und ORCA01 beschränkt habe.
    Mein Netz sieht dementsprechend wie folgt aus:
    DC1 LAN IP 192.168.110.11 (bei dir = DC01/SUBCA01/ORCA01)
    GW1 LAN IP 192.168.110.20 (bei dir = NPS01)
    WA1 LAN IP 192.168.110.55 WAN IP 192.168.230.55 (bei dir = VPN01/EDGE01)
    Für den INET01 habe ich entsprechend einen öffentlichen DNS Eintrag erstellt, welcher vpn.xy.com auf eine meiner öffentlichen IP auflöst. (nslookup zeigt dies entsprechend) Zudem zeigt mein internes DNS vpn.xy.com auch auf die WAN IP 192.168.230.55
    Zwischen Internet und meinem WAN steht eine Firewall. Dort habe ich die öffentliche IP mit Ports UDP 500/4500 und TCP 1723 auf WAN IP 192.168.230.55 weitergeleitet.
    Leider kann ich keine VPN Verbindung herstellen.
    Ereignisanzeige RasClient ID 2027 Ursachencode 800.Zudem zeigt mir die Verbindung bei Template verbinden „Verbindung wird hergestellt“ und nach geraumer Zeit kommt die Meldung:
    Die Remoteverbindung wurde aufgrund von VPN Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für die Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für IPsec-Aushandlungen erforderlichen Sicherheitsparameter möglicherweise nicht ordnungsgemäss konfiguriert.
    Hättest du mir evtl. Tipps woran ich scheitere?

    Besten Dank und Gruss
    Markus

  2. Hallo Dieter
    Danke für den Link, dieser hat mich wahrscheinlich einen Schritt weitergebracht.

    Fehler hat sich etwas verschoben. Leider helfen mir die Suchergebnisse von google nicht weiter. Bin halt schon ziemlich weit weg von der Materie 😦

    Ereignisanzeige RasClient ID 2027 Ursachencode 812
    Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server zum Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator……

    Besten Dank und Gruss
    Markus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.