Das Secure Socket Tunneling Protocol (SSTP) nutzt einen SSL Verschlüsselten Tunnel um eine VPN-Verbindung aufzubauen. Genutzt wird wie für HTTPS der Port 443 (TCP). So kann die Verbindung auch über die meisten Firewalls hinweg aufgebaut werden, ein guter Vorteil wenn man viel unterwegs ist. Da PPTP nicht mehr ganz sicher ist, kann SSTP eine gute Alternative für eine sichere Verbindung in die eigene Umgebung sein. Für größere Umgebungen mit Windows 7 / 8 Enterprise Lizenzen könnte DirectAccess allerdings interessanter sein.
In diesem „Small Business / Home“ Szenario hat der RAS-Server nur eine Netzwerkkarte und der Firewall des Routers leitet den Port 443 zum RAS-Server weiter. Auch sollte der RAS-Server nicht wie in dieser Anleitung auf den Screenshots zu sehen ist, auf einem Domain Controller installiert werden.
Voraussetzungen
SSL Zertifikat für den öffentlichen Namen des VPN-Servers (z.B. vpn.fabian-niesen.de). Die Zertifikatesperrliste muss aus dem Internet erreichbar sein, und der Client muss dem Zertifikat vertrauen. Zum Testen funktioniert auch ein kostenloses Zertifikat von StartSSL.com.
Installation und Konfiguration des RAS-Servers
Zuerst wird das SSL-Zertifikat mit dem privaten Schlüssel zu dem Computerkonto hinzugefügt. Ein Doppelklick auf die PFX-Datei startet den „Zertifikatimport-Assistent“
Um das Zertifikat später auch mal wieder vom Server zusichern / zu exportieren sollte der private Schlüssel als exportierbar markiert werden.
Der Zertifikatspeicher sollte automatisch gewählt werden. Dadurch werden, wenn die Übergeordneten Zertifikate enthalten sind, diese direkt in die richtigen Zertifikatspeicher installiert. Nach der Fertigstellung geht es mit der Installation des RAS-Servers weiter.
Dazu muss die Rolle „Remotezugriff“ mit den notwendigen Abhängigkeiten installiert werden. Bei den Rollendiensten braucht nur „DirectAccess und VPN (RAS)“ selektiert zu sein.
Nachdem die Rolle nun installiert ist und der Server neugestartet wurde, geht es jetzt an die Konfiguration.
Dazu wird die „Remotezugriffsverwaltung“ benötigt. Der „Assistent für erste Schritte“ hilft dann bei der Konfiguration:
Nach der Auswahl von „Nur VPN bereitstellen“ startet die „Routing und RAS“ Konsole. Um den RAS-Server zu konfigurieren den Servernamen auswählen und das Kontextmenu öffnen.
Der Setup-Assistent ist dem vom Windows-Server 2008R2 sehr ähnlich. Als Konfiguratonsoption wird „Benutzerdefinierte Konfiguration“ ausgewählt, da „RAS (DFÜ oder VPN)“ zwei Netzwerkkarten voraussetzt.
Als nächstes wird die Option „VPN-Zugriff“ ausgewählt.
Als nächstes wird ohne weitere Konfigurationsmöglichkeit der Konfigurationsassistent Fertiggestellt. Und das starten des RAS-Dienstes muss bestätigt werden.
Nun kann das VPN in der „Routing und RAS“ Konsole konfiguriert werden. Als erstes sollten die VPN Ports konfiguriert werden.
Nacheinander können hier die Arten des VPN’s konfiguriert werden, inklusive der Anzahl der Ports. Hier sollte man nach dem Prinzip weniger ist mehr, abwägen was und wie viele gebraucht werden.
Da ich nur SSTP nutzen möchte, deaktiviere ich alle anderen RAS-Geräte:
Zum Abschluss sieht die Konfiguration dann so aus
Jetzt ist der Server grundsätzlich einsatzbereit, jetzt müssen die entsprechenden Benutzer noch berechtigt werden.
Dies kann in einer größeren Umgebung über NPS-Richtlinien gemacht werden oder in dem der Benutzer über „Active Directory Benutzer und Computer“ das Recht zur Einwahl gestattet wird.
Wenn alles richtig gemacht wurde können sich nun die Benutzer Einwählen. Allerdings von jedem Gerät das SSTP Unterstützt. Wer das noch etwas einschränken möchte, sollte sich mit dem Thema NPS-Netzwerkrichtlinien (Network Policy Server) näher beschäftigen.
Kommentare
2 Antworten zu „SSTP unter Windows Server 2012“
Hallo Fabian.
Vielen Dank mal wieder für diese tolle Anleitung. Deine Beiträge haben mir schon oft weitergeholfen. Leider bin im als Laie zur Zeit mit meinem Latein am Ende. Ich habe das VPN so konfiguriert wie angegeben (ohne SSL) und meinem und dem Admin Benutzer die Einwahl erlaubt. Leider lässt sich jetzt der Routing und Ras Dienst nicht mehr starten. Ich vermute, dass ich mich deshalb vom win 8 Clinet nicht einwählen kann.
Ich habe schon auf beiden Seiten die FW deaktiviert und in der FB den Client zum exposed Host gemacht. Nichts funktioniert.
Der Server ist eine virtueller 2012 Standard.
Vielleicht hast du irgendeine Ahnung, worand es scheitern könnte?
VG
Marcel
Hallo Marcel,
Welches VPN Protokoll möchtest du den nutzen? SSTP setzt zwingend ein SSL Zertifikat voraus. Sollte der Server ein Selbstsegniertes erstellt haben, wird der Client es nicht ohne weiteres Akzeptieren. Ich gehe mal davon aus das Ihr keine Unternehmens-CA habt. Was an CA Funktioniert und in der kleinen Variante Kostenlos ist (Die Zertifikate gelten 1 Jahr und es werden keine Wildcard-Zertifikate ausgestellt), ist der im Artikel beschriebene Anbieter Start-SSL, die nutze ich auch. Auch wenn ich aus Bequemlichkeit die Class2 Zertifikate gönne.
Gruß
Fabian