Antworten auf Ihre häufigsten Fragen

Welche VPN-Lösung kann ich mit einem Virtual Server Windows realisieren?

Windows Server 2008 und älter:


Kann ich OpenVPN auf meinem Windows VPS installieren?

Nein. Virtuozzo kann leider noch nicht mit dem virtuellen TUN/TAP-Treiber umgehen. Auf Linux-Systemen ist dies nicht der Fall.

Kann ich Routing und RAS/PPTP/IPSec/L2TP Szenarien implementieren?

Es wären alle VPN-Szenarien denkbar für die nur eine NIC erforderlich ist. IPSec-Verbindungen mit Zertifikaten oder statischen Keys sowie eingehende PPTP-Verbindung sind möglich.

VPN Funktionalität installieren (Server 2008)

Installieren Sie die Rolle "Netzwerkrichtlinien- und Zugriffsdienste" über Start > Verwaltung > Server Manager. Klicken Sie auf Rollen und klicken danach auf der rechten Seite auf "Rolle Hinzufügen". Klicken Sie nun auf "Weiter" und wählen im folgenden Dialog "Netzwerkrichtlinien- und Zugriffsdienste", klicken Sie nun auf "Weiter". Beachten Sie bitte die hinweise auf der folgenden Seite, bevor Sie mit "Weiter" fortfahren. Wählen Sie im folgenden "Routing und Ras" -> "RAS" und klicken auf "Weiter", bestätigen Sie nun mit "Installieren".
Das Setup sollte die notwendigen Verbindungs-Regeln automatisch in der Firewall eintragen.

Konfigurieren der VPN Funktionalität (Server 2008)

Erweitern Sie nun im Server Manager den Punkt "Rollen" und danach den Punkt "Netzwerkrichtlinien- und Zugriffsdienste". Klicken Sie auf "Routing und RAS" und dann auf der rechten Seite unter Aktionen auf "Weitere Aktionen" und dann auf "Routing und RAS konfigurieren und aktivieren". 
Bestätigen Sie nun die "Willkommen" Seite und wählen Sie "Benutzerdefinierte Konfiguration" und wählen "VPN-Zugriff" aus. Alle anderen Konfigurationen setzen zwei Netzwrrkkarten voraus, was wir aus technischen Gründen bei den virtuellen Servern nicht anbieten können.

IP Konfiguration für Dateifreigaben

Nach der Aktivierung von Routing und RAS, kann man über die Eigenschaften von Routing und RAS im Reiter IPv4 die IPs konfigurieren, die der Server und der Client für die Verbindungen nutzen sollen. Bei zukünftigen Verbindungen erhält der Server normalerweise die erste IP aus dem konfigurierten Bereich.
Bei dem IP Bereich 192.168.0.10 bis 192.168.0.11 erhält der Server beispielsweise die IP 192.168.0.10. Diese kann zur Verbindung von Freigaben genutzt werden \\192.168.0.10\

Benutzer den Zugriff erlauben

Die Einwahl ist nun möglich aber noch hat kein Benutzer Zugriff auf den Server. Sie müssen den Benutzern nun nur noch die Einwahl erlauben.
Erweitern Sie dazu im Server Manager den Zweig "Konfiguration" und danach "Lokale Benutzer und Gruppen" und klicken auf den Ordner Benutzer. Wählen Sie den Benutzer aus, der das Recht erhalten soll, sich auf dem Server einwählen zu dürfen und klicken Sie rechts unter "Aktionen" auf "Weitere Aktionen" und dort auf Eigenschaften.
Unter dem Reiter "Einwählen" können Sie unter dem Punkt "Netzwerkzugriffsberechtigung" einen Haken bei "Zugriff gestatten" setzen um dem benutzer den Zugriff zu erlauben.

Gleichzeitige Verwendung von Internet und der Einwahlverbindung

Sobald Sie im VPN eingewählt sind, werden alle Netzwerkanfragen an Ihren Server weitergereicht. Da Sie aber möglicherweise noch über Ihren Internetanschluss auf Webseiten zugreifen möchten, müssen Sie das HTTP Protokoll davon ausschließen. Dies konfigurieren Sie in den Einstellungen des VPN Clients. Dort deaktivieren Sie die Option "Standardgateway für das Remotenetzwerk verwenden" unter den Netzwerkeinstellungen für IPv4.

Sicherheitshinweise

Beachten Sie bitte, dass das PPTP Protokoll als nicht sicher eingestuft wird und dringen empfohlen wird das L2TP Protokoll zu verwenden. Um zumindest ein Höchstmaß an Sicherheit zu erhalten, konfigurieren Sie im VPN Client die Authentifizierung EAP-MSCHAPv2 und verwenden ein sicheres Passwort.

Windows Server 2012 und neuer:

Dieser Beitrag zeigt Ihnen, wie Sie einen VPN Server unter Windows Server 2012 R2 Schritt für Schritt installieren können.
Er zeigt Ihnen, wie Sie ganz einfach einen VPN-Server in einer kleinen Umgebung oder für ein gehostetes Server-Szenario einrichten können.

Installieren Sie zunächst den "Remote Access" über den Server-Manager.

Wählen Sie die Rollendienste "DirectAccess und VPN (RAS)" aus.

Verwenden Sie in den nächsten Schritten nur die Standardeinstellungen. Danach können Sie sich den Übersichtsbildschirm ansehen und die Rolle installieren.

Nach der Installation der Features, die eine Weile dauern kann, sehen Sie den Link für den Assistenten für die ersten Schritte. Klicken Sie auf "Öffnen Sie den Einführungsassistenten". 

Dies öffnet einen neuen Assistenten, mit dem Sie den Server konfigurieren können. Wählen Sie im ersten Bildschirm "Nur VPN bereitstellen".

Dies öffnet die Routing- und RAS-Management Console 

Klicken Sie mit der rechten Maustaste auf den Servernamen und klicken Sie auf "Routing und RAS konfigurieren und aktivieren".

Wählen Sie im neuen Assistenten die Option "Benutzerdefinierte Konfiguration".

Wählen Sie “VPN Zugang“.

Nachdem Sie den Assistenten abgeschlossen haben, können Sie den Routing- und RAS-Dienst starten.

Wenn Sie eine andere Firewall zwischen dem Internet und Ihrem Windows Server haben, müssen Sie den folgenden Firewall-Port öffnen und an Ihren Windows Server weiterleiten:

Für PPTP: 1723 TCP und 47 GRE (auch für PPTP Pass-through)
Für L2TP over IPSEC: 1701 TCP und 500 UDP
Für SSTP: 443 TCP

Nach der Installation müssen Benutzer für Remote Access aktiviert sein, um eine Verbindung zu Ihrem VPN Server herzustellen. Auf einem eigenständigen Server kann dies in der Computer Management MMC durchgeführt werden, in einer Domainumgebung kann dies in den Benutzereigenschaften eines Active Directory-Benutzers erfolgen.

Wenn Sie keinen DHCP-Server in Ihrer Umgebung haben, müssen Sie einen statischen IP-Adressenpool hinzufügen. In den Eigenschaften Ihres VPN-Servers können Sie auf die Registerkarte IPv4 klicken und die Einstellungen aktivieren und konfigurieren. “Static address pool”.

Abschließend noch folgende Ports in der Firewall öffnen für VPN

netsh advfirewall firewall set rule group="Routing und RAS" new enable=yes

Besonderheiten bei L2TP over Ipsec 

Auf dem Server muss ein den Eigenschaften der VPN Verbindung ein öffentlicher Schlüssel eingegeben werden.

Dieser wird verwendet, damit sich der User mit seinem AccountNamen, AccountKennwort (Privatekey) und dem öffentlichen Schlüssel (Publikkey) via VPN einloggen kann. 

Auf dem Client muss bei einer L2TP über Ipsec Verbindung die CHAP und MS-CHAP v2 Methode im Protokoll aktiviert werden.

Diese Einstellungen werden im VPN Verbindungskontext im Netzwerk und Freigabecenter durchgeführt. 


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de