Wir kommen oft in Situationen, in denen Mitarbeiter eines Unternehmens einen Remote-Zugriff auf Unternehmensressourcen benötigen, sei es während einer Geschäftsreise, einem Geschäftstreffen außerhalb des Unternehmens oder einfach bei der Arbeit von zu Hause aus. In solchen Situationen ist eine konfigurierte und ordnungsgemäß funktionierende VPN-Verbindung erforderlich, um dies zu ermöglichen. VPN für Remote-Arbeit ist eine der beliebtesten Lösungen. Zu diesem Zweck nutzen viele Unternehmen die am einfachsten zu konfigurierende und zugleich unsichere Verbindung über das PPTP-Protokoll. In diesem Artikel stelle ich eine alternative und sicherere Lösung vor, nämlich die Konfiguration einer VPN-Verbindung basierend auf dem SSTP-Protokoll.
SSTP – Secure Socket Tunneling Protocol. Dies ist ein Protokoll, das mit Windows Vista SP1 und Windows Server 2008 eingeführt wurde. SSTP verwendet eine stärkere Verschlüsselung (256 Bit) als PPTP (128 Bit) und der gesamte Datenverkehr wird über Port 443 des TCP-Protokolls weitergeleitet.
Vorteile:
- stärkere Verschlüsselung,
- Datenverkehr über Port 443, der nicht durch Firewalls blockiert ist,
- Verwendung eines Zertifikats für die Verbindung – höhere Sicherheit,
- Integration mit der Windows-Umgebung (von Vista SP1 bis Windows 10).
Mängel:
- kompliziertere Konfiguration als PPTP,
- Keine Unterstützung für andere Betriebssysteme.
SSTP-Konfiguration auf dem Server
1. Zertifikat generieren
Gemäß den Empfehlungen von Microsoft sollte die Konfiguration auf einem Server durchgeführt werden, der kein Domänencontroller ist.
Im ersten Schritt installieren wir ab der Ebene „Server Manager“ die Rolle „Active Directory Certificate Services“ auf unserem Server .
Wählen Sie nach der Installation im Zusammenfassungsfenster „Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren“ aus. Wir werden zum „ADCS“-Konfigurator weitergeleitet, wo wir „Zertifizierungsstelle“ auswählen und die restlichen Einstellungen als Standard belassen.
Wir geben dem CA-Zertifikat einen Namen, z. B. CONTOSO-CA, und geben dann die Gültigkeitsdauer des Zertifikats an, standardmäßig sind es 5 Jahre. Nachdem alle Einstellungen vorgenommen wurden, wird der ADCS-Dienst konfiguriert.
Fahren wir mit der Konfiguration unseres Zertifikats fort. Zu diesem Zweck verwenden wir eine vorgefertigte IPSec-Vorlage, die wir duplizieren und konfigurieren.
Öffnen Sie das Snap-In „Zertifikatvorlagen“ über die „Microsoft Management Console“.
Wir finden die IPSec-Vorlage und wählen im Kontextmenü „Vorlage duplizieren“.
Gehen Sie auf die Registerkarte „Allgemein“ und geben Sie unserer Vorlage einen Namen.
Gehen Sie zur Registerkarte „Anfragebearbeitung“ und aktivieren Sie „Export des privaten Schlüssels zulassen“, damit wir das Zertifikat exportieren und auf den Computern der Benutzer installieren können.
Die restlichen Einstellungen nehmen wir wie in den Screenshots unten vor.
Nachdem Sie die Einstellungen gespeichert haben, gehen Sie zu „Certification Authority“ und fügen Sie unsere neu erstellte Vorlage im Unterverzeichnis „Certificate Templates“ hinzu.
Wir können mit der Generierung unseres Serverzertifikats fortfahren. Wir öffnen das Snap-In „Zertifikate“.
Wir fügen eine neue Zertifikatsanforderung für ein persönliches Zertifikat hinzu.
AUFMERKSAMKEIT! Im folgenden Schritt legen wir den allgemeinen Namen fest, der bei der Konfiguration der Verbindung auf dem Computer des Benutzers verwendet wird – wir geben ihn als „Internetadresse“ an. Wenn wir einen anderen Namen angeben, können wir keine Verbindung herstellen.
2. RRAS-Installation und -Konfiguration
Installieren Sie die Rolle „Remote Access“, wählen Sie unter „Role Services“ „DirectAccess and VPN (RAS)“ aus.
Gehen Sie nach Abschluss der Installation zu „Routing und Remote Access“ und starten Sie den Dienst.
Wir können einen Pool von IP-Adressen definieren, die über VPN verbundenen Clients zugewiesen werden, oder die Standardoption belassen und die Adressen über DHCP zugewiesen werden.
Wir weisen ein zuvor generiertes Zertifikat zu, mit dem sich Benutzer während der Verbindung authentifizieren müssen.
Die letzte Änderung auf der Serverseite besteht darin, Benutzern den Zugriff auf das Netzwerk zu ermöglichen. Dazu gehen wir im Active Directory in die Eigenschaften des Benutzers, der Zugriff haben soll und wählen im Reiter „Einwahl“ „Zugriff erlauben“.
3. DNS- und Port-443- Weiterleitung
Wir fügen Host A hinzu, der von vpn.contoso.com zur externen IP-Adresse umleitet, und wir fügen eine Umleitung hinzu, die auf die IP-Adresse des Servers verweist, auf dem wir SSTP konfiguriert haben.
Die SSTP-Verbindung läuft über Port 443, daher müssen Sie den Datenverkehr an diesen Port Ihres Routers umleiten.
VPN-Konfiguration auf dem Computer des Benutzers
Im ersten Schritt müssen wir das Zertifikat vom Server exportieren und es dann auf dem Computer des Benutzers importieren.
Wir fügen eine neue VPN-Verbindung hinzu (ähnlich der PPTP-Verbindung)
Gehen Sie nach dem Erstellen der Verbindung zu deren Eigenschaften und erzwingen Sie auf der Registerkarte „Sicherheit“ das SSTP-Protokoll und erlauben Sie die Verwendung des Protokolls „Microsoft CHAP Version 2“.
Beim Versuch, eine Verbindung herzustellen, können Fehler auftreten
Sehr oft erscheint beim Versuch, eine Verbindung herzustellen, die folgende Fehlermeldung:
Fehler 0x80092013: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.
Um es zu beseitigen, fügen Sie einen entsprechenden Eintrag in der Registrierung hinzu. Wir öffnen die Registrierung und gehen zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SStpSvc\Parameters und fügen einen neuen DWORD-Schlüssel namens NoCertRevocationCheck hinzu und setzen den Wert auf 1 .
Sie benötigen Unterstützung bei der Einrichtung einer VPN-Verbindung für Ihre Mitarbeiter? Kontaktiere uns!
Wir bieten umfassende IT-Unterstützung für Unternehmen, als erfahrenes Outsourcing-Unternehmen passen wir moderne Lösungen an die Bedürfnisse Ihres Unternehmens an. Der erste Schritt wird ein IT-Audit sein , damit wir Bereiche der Infrastruktur identifizieren können, die einer Verbesserung bedürfen.
Quelle:
• Eigene Arbeit
• https://technet.microsoft.com/pl-pl/library/poradnik-krok-po-kroku-installanie-i-konfiguracja-sstp-cz-i.aspx
• https://technet. microsoft.com/pl-pl/library/poradnik-step-by-croku-installing-and-configuring-sstp-cz-ii.aspx
Kamil Zgódka
