Always On VPN – Remote Access Server konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In diesem Teil werde ich den Remote Access Server für Always on VPN installieren und konfigurieren.

Konfiguration der Netzwerk-Adapter

  1. Als Administrator an VPN01 anmelden
  2. Das Network and Sharing Center öffnen

Konfiguration des Internen Netzwerk-Adapters

  1. Internet Protocol Version 4 (TCP/IPv4) Properties öffnen
    1. General
      1. IP address: 192.168.100.5
      2. Subnet mask: 255.255.255.0
      3. Default gateway: > kein Standardgateway
      4. Preferred DNS server: 192.168.100.1 > interner DNS Server, siehe Always On VPN – Überblick
      5. Advanced…
      6. Advanced TCP/IP Settings
        1. Reiter DNS
          1. DNS suffix for this connection: intern.einfaches-netzwerk.at > OK > OK

Konfiguration des Externen Netzwerk-Adapters

  1. Internet Protocol Version 4 (TCP/IPv4) Properties öffnen
    1. General
      1. IP address: 131.107.0.3
      2. Subnet mask: 255.255.255.0
      3. Default gateway: 131.107.0.1
      4. Preferred DNS server: > kein DNS Server
      5. Advanced…
      6. Advanced TCP/IP Settings
        1. Reiter DNS
          1. Register this connection’s addresses in DNS deaktivieren
        2. Reiter WINS
          1. Enable LMHOSTS lookup > deaktivieren
          2. Disable NetBIOS over TCP/IP > OK > OK
  2. Internet Properties
    1. Reiter Networking
      1. Folgende Protkolle deaktivieren:
        1. Client for Microsoft Networks
        2. File and Printer Sharing for Microsoft Networks > OK

Remote Access Server installieren

Nachdem ich die Konfiguration der Zertifikate endlich hinter mir habe, installiere ich die Remote Access-Rolle am Server VPN01.

  1. Server Manager > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type
      1. Role-based installation > Next
    3. Server Selection
      1. Select a server from the server pool: VPN01.intern.einfaches-netzwerk.at > Next
    4. Server Roles
      1. Roles: Remote Access > Next
    5. Features > Next
    6. Remote Access > Next
    7. Role Services: DirectAccess and VPN (RAS) > Add Features > Next
    8. Web Server Role (IIS) > Next
    9. Role Services > Next
    10. Confirmation > Install
    11. Results > Close
  3. VPN01 neu starten

Remote Access als VPN Server konfigurieren

  1. Als Administrator an VPN01 anmelden
  2. Server Manager > Notifications > den Link Open the Getting Started Wizard klicken
  3. Configure Remote Access (Getting Started Wizard)
    1. Deploy VPN only
  4. Die Routing and Remote Access-Console öffnet sich
  5. VPN01 (local) rechts anklicken > Configure and Enable Routing and Remote Access
  6. Routing and Remote Access Server Setup Wizard
    1. Welcome to the… > Next
    2. Configuration: Custom configuration > Next
    3. Custom Configuration: VPN access > Next
    4. Completing the Routing… Finish
    5. Routing and Remote Access > Start service
  7. VPN01 (local) rechts anklicken > Properties
  8. VPN01 (local) Properties
    1. Reiter IPv4
      Hinweis: Mein interner DHCP-Range geht von 192.168.100.100-192.168.100.200. Für die VPN-Clients werde ich IP-Adressen von 192.168.100.201-192.168.100.220 vergeben.

      1. IPv4 address assignment
        1. Static address pool > Add…
          1. Start IP address: 192.168.100.201
          2. End IP address: 192.168.100.220 > OK
      2. Auf Adapter klicken
      3. Den internen Adapter auswählen
    2. Reiter Security
      1. Authentication provider: RADIUS Authentication > Configure…
      2. Radius Authentication
        1. Add…
        2. Add RADIUS Server
          1. Server anme: NPS01.intern.einfaches-netzwerk.at
          2. Shared secret > Change… > New secret: Password1 > Confirm new secret: Password1 > OK
          3. Add RADIUS Server mit OK schließen
        3. RADIUS Authentication mit OK schließen
      3. Accounting Provider: RADIUS Accounting > Configure…
      4. RADIUS Accounting
        1. Add…
        2. Add RADIUS Server
          1. Server name: NPS01.intern.einfaches-netzwerk.at
          2. Shared secret > Change… > New secret: Password1 > Confirm new secret: Password1 > OK
          3. Add RADIUS Server mit OK schließen
        3. RADIUS Accounting mit OK schließen
      5. VPN01 (local) Properties mit OK schließen
  9. VPN01\Ports rechts anklicken > Properties
  10. Ports Properties
    Hinweis: Obwohl ich ein SSL-Zertifikat für SSTP installiert habe, konfiguriere ich jetzt einmal nur IKEv2.

    1. WAN Miniport (SSTP) markieren > Configure…
    2. Configure Device – WAN Miniport (SSTP)
      1. Remote access connections (inbound only) > deaktivieren
      2. Demand-dial routing connections (inbound and outbound) > deaktivieren > OK
    3. Schritt B für folgende Devices wiederholen
      1. WAN Miniport (L2TP)
      2. WAN Miniport (PPTP)
    4. Port Properties mit OK schließen
  11. Lt. Microsoft Dokumentation VPN01 neu starten

In dieser Anleitung habe ich die Server-Rolle Remote Access auf VPN installiert und konfiguriert. Als nächstes werde ich den Server NPS01 konfigurieren.

8 Gedanken zu „Always On VPN – Remote Access Server konfigurieren

  1. Vielen Dank für die sehr gute Dokumentation. Gibt es auch die Möglichkeit den VPN Server mit nur einem Interface zu konfigurieren und über ein NAT auf der externen Firewall die Anfragen an den VPN Server weiterzuleiten.

    • Ja, das funktioniert. Wir haben das in unserer Produktion selbst so gelöst. Der Netzwerk-Adapter ist dabei ganz normal mit IP-Adresse, DNS und Gateway zu konfigurieren. Es sind keine statischen Routen oder dergleichen notwendig. Funktioniert perfekt für uns.

      • Hallo,

        vielen Dank für das schnelle Feedback. Ich hätte noch eine Frage. Muss der statische IP Pool aus dem Netzwerk der angebundenen Netzwerkkarte genommen werden oder ist dieser frei wählbar ?

  2. Hallo Dietmar,

    erstmal, vielen Dank für die tolle Dokumentation zu Always On VPN – das hat so einigen Admins bestimmt das Leben erleichtert.

    Eine Frage:
    Wie kann man die Zuteilung der IP-Adressen an VPN-Clients steuern, wenn man zwei statische IP-Address-Pools auf dem RRAS konfiguriert hat?

    Beispielsweise möchte ich, dass Clients die sich über den Client-Tunnel einwählen nur IP-Adressen aus dem ersten IP-Pool erhalten (bspw. 10.0.1.0/24) und Clients die sich über den User-Tunnel verbinden, IPs aus dem zweiten Pool (bspw. 10.0.2.0/24) zugewiesen bekommen. Das Ganze soll dazu dienen den Netzwerkzugriff, je nach Tunnel-Typ, unterschiedlich einzuschränken.

    Vielen Dank und schöne Grüße
    Denis

  3. Hallo

    ich habe das wie in der Anleitung beschrieben installiert, es funktioniert an sich auch alles wie es soll, allerdings bekomme ich keine Verbindung aus dem internen Netz auf die VPN Clients, weder via Ping noch sonstigen Tools, es scheint als würde der VPN Server die Pakete nicht an die Clients weiterleiten.

    Ein Idee woran es liegen könnte? Routen usw. alle mehrfach geprüft, auch den Server bereits neu installiert. Wenn ich einen tracert auf den VPN Client-IP absetze bricht dieser bei dem RRAS Server ab.

    • Hallo Zusammen,

      Beobachte genau das gleiche Verhalten wie Joerg. Keine Ahnung an was es liegt.
      Konntest du es vielleicht in der Zwischenzeit schon lösen Joerg?

      Gruss Samuel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert