Teil 1: Grundlagen VPN über SSL-Verbindungen einrichten

Workshop: SSTP-VPNs mit Windows Server 2008 und neueren Windows-Systemen

08.04.2010 | Autor / Redakteur: Dr. Götz Güttich / Ulrich Roderer

Workshop: SSTP-VPNs mit Windows Server 2008

Seit der Einführung von Windows Server 2008 beherrscht Microsofts Serverbetriebssystem auch SSTP, das VPN-Verbindungen über SSL realisiert. Dieser Workshop zeigt, wie Sie mit Windows Server 2008 R2 einen SSTP-Einwahlserver konfigurieren und eine VPN-Verbindung mit einem Client unter Windows 7 aufbauen.

Das Secure Socket Tunneling Protocol (SSTP) hat im Vergleich zum Point to Point Tunneling Protocol (PPTP), zum Layer 2 Tunneling Protocol (L2TP) sowie der Internet Protocol Security (IPSec) den Vorteil, dass es seine Datenübertragungen - die ja über SSL-verschlüsselte HTTP-Verbindungen laufen - über den Firewall Port 443 abwickelt, der in praktisch jeder Umgebung, auch in Hotspots und Hotels, von Haus aus offen ist.

Anwender, die Virtual Private Networks (VPNs) auf SSTP-Basis nutzen, können also davon ausgehen, dass sie von jedem Ort der Welt mit Internet-Anschluss problemlos auf ihre Unternehmensressourcen zugreifen können, ohne sich dabei irgendwelche Gedanken über die Konfiguration von Firewalls und NAT-Geräten machen zu müssen. Zur Zeit ist SSTP allerdings noch mit einem Manko behaftet: Auf Serverseite setzt das Protokoll mindestens einen Windows Server 2008 voraus (was kein besonders großes Problem darstellt, da dieser sich nahtlos in existierende Umgebungen einbinden lässt), auf Clientseite ist mindestens Windows Vista mit Service Pack 1 Pflicht.

Windows XP mit Service Pack 3 unterstützt SSTP - entgegen anders lautenden Meldungen im Internet - nicht. Dieses Manko wird allerdings mit der zunehmenden Verbreitung von Windows 7 in Unternehmensnetzen immer kleiner und verschwindet wohl bald ganz.

Unser Workshop zeigt, wie Sie einen SSTP-Einwahlserver in ein bestehendes Netz mit einem Domänencontroller unter Windows Server 2008 R2 integrieren, den Windows-7-Client konfigurieren und die SSTP-Verbindung aufbauen.

Vorbereitungen

Für den Workshop gehen wir davon aus, dass der Domänencontroller unter Windows Server 2008 R2 bereits existiert und dass ein DNS-Server im Netz vorhanden ist. Für den SSTP-Gateway, den wir ebenfalls unter Windows Server 2008 R2 betreiben werden, gilt, dass die Maschine zwei Netzwerkinterfaces haben muss und zwischen der Unternehmens-Firewall und dem LAN zum Einsatz kommt.

Auf diesem Rechner werden wir neben dem Betriebssystem die Routing- und Remote-Access-Dienste, die Active Directory Server Certificate Services und den IIS installieren, um ein Web-Enrollment der Computerzertifikate zu ermöglichen, die bei der SSTP-Verbindung Verwendung finden. Stellen Sie zu Beginn des Workshops sicher, dass das Computerkonto, mit dem Sie sich später via VPN einwählen möchten, Remote-Zugriffsrechte hat.

Installation des Servers

Um den VPN-Server aufzusetzen, installieren Sie zunächst Windows Server 2008 R2 auf dem betroffenen System. Weisen Sie dann den beiden Netzwerkinterfaces IP-Adressen zu. In diesem Workshop verwenden wir das Netzwerk 172.22.74.0 mit der Subnetzmaske 255.255.255.0 für das interne Netz und das Netzwerk 131.107.0.0 mit der Subnetzmaske 255.255.0.0 für das WAN. Konkret bedeutet das, der Domänencontroller erhält die IP-Adresse 172.22.74.1, das interne Interface des VPN-Gateways arbeitet mit der 172.22.74.2, das externe Interface der SSTP-Maschine erhält die 131.107.0.1 und der Windows-7-Client verwendet die 131.107.0.2. Treten Sie nun mit dem neuen Server Ihrer Domäne bei (über Start/Systemsteuerung/System und Sicherheit/System/Einstellungen für Computername, Domäne und Arbeitsgruppe/Einstellungen ändern) und starten Sie den Rechner neu.

Installieren Sie jetzt die Active Directory (AD) Zertifikatsdienste und den Web-Server. Starten Sie dazu den Servermanager, wechseln Sie auf „Rollen hinzufügen“ und selektieren Sie dann die Checkbox bei den AD-Zertifikatsdiensten. Das System fügt den Web-Server dann automatisch hinzu. Nach der Auswahl der Zertifikatsdienste, klicken Sie auf „Weiter“, selektieren bei den Rollendiensten die Zertifizierungsstellen-Webregistrierung, wählen als Installationstyp „Eigenständig“ aus und definieren den Zertifizierungsstellentyp als „Stammzertifizieurungsstelle“. Lassen Sie den Server nun einen neuen privaten Schlüssel mit den Standardeinstellungen erstellen und übernehmen Sie dann beim Zertifizierungsstellennamen, der Gültigkeitsdauer sowie den Datenbankangaben die Default-Vorgaben. Anschließend spielt der Wizard die gewünschten Dienste auf dem Rechner ein.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Die Adresse https://localhost/cersrv muss lauten http://localhost/certserv 1. Es fehlt ein t im...  lesen
posted am 02.01.2012 um 11:25 von Unregistriert


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2044250 / Middleware)