Teil 1: Grundlagen VPN über SSL-Verbindungen einrichten Workshop: SSTP-VPNs mit Windows Server 2008 und neueren Windows-Systemen

Autor / Redakteur: Dr. Götz Güttich / Ulrich Roderer

Seit der Einführung von Windows Server 2008 beherrscht Microsofts Serverbetriebssystem auch SSTP, das VPN-Verbindungen über SSL realisiert. Dieser Workshop zeigt, wie Sie mit Windows Server 2008 R2 einen SSTP-Einwahlserver konfigurieren und eine VPN-Verbindung mit einem Client unter Windows 7 aufbauen.

Firma zum Thema

Workshop: SSTP-VPNs mit Windows Server 2008
Workshop: SSTP-VPNs mit Windows Server 2008
( Archiv: Vogel Business Media )

Das Secure Socket TunnelingProtocol (SSTP) hat im Vergleich zum Point to Point Tunneling Protocol (PPTP), zum Layer 2 Tunneling Protocol (L2TP) sowie der Internet Protocol Security (IPSec) den Vorteil, dass es seine Datenübertragungen - die ja über SSL-verschlüsselte HTTP-Verbindungen laufen - über den FirewallPort 443 abwickelt, der in praktisch jeder Umgebung, auch in Hotspots und Hotels, von Haus aus offen ist.

Anwender, die Virtual Private Networks (VPNs) auf SSTP-Basis nutzen, können also davon ausgehen, dass sie von jedem Ort der Welt mit Internet-Anschluss problemlos auf ihre Unternehmensressourcen zugreifen können, ohne sich dabei irgendwelche Gedanken über die Konfiguration von Firewalls und NAT-Geräten machen zu müssen. Zur Zeit ist SSTP allerdings noch mit einem Manko behaftet: Auf Serverseite setzt das Protokoll mindestens einen Windows Server 2008 voraus (was kein besonders großes Problem darstellt, da dieser sich nahtlos in existierende Umgebungen einbinden lässt), auf Clientseite ist mindestens Windows Vista mit Service Pack 1 Pflicht.

Bildergalerie

Windows XP mit Service Pack 3 unterstützt SSTP - entgegen anders lautenden Meldungen im Internet - nicht. Dieses Manko wird allerdings mit der zunehmenden Verbreitung von Windows 7 in Unternehmensnetzen immer kleiner und verschwindet wohl bald ganz.

Unser Workshop zeigt, wie Sie einen SSTP-Einwahlserver in ein bestehendes Netz mit einem Domänencontroller unter Windows Server 2008 R2 integrieren, den Windows-7-Client konfigurieren und die SSTP-Verbindung aufbauen.

Vorbereitungen

Für den Workshop gehen wir davon aus, dass der Domänencontroller unter Windows Server 2008 R2 bereits existiert und dass ein DNS-Server im Netz vorhanden ist. Für den SSTP-Gateway, den wir ebenfalls unter Windows Server 2008 R2 betreiben werden, gilt, dass die Maschine zwei Netzwerkinterfaces haben muss und zwischen der Unternehmens-Firewall und dem LAN zum Einsatz kommt.

Auf diesem Rechner werden wir neben dem Betriebssystem die Routing- und Remote-Access-Dienste, die Active Directory Server Certificate Services und den IIS installieren, um ein Web-Enrollment der Computerzertifikate zu ermöglichen, die bei der SSTP-Verbindung Verwendung finden. Stellen Sie zu Beginn des Workshops sicher, dass das Computerkonto, mit dem Sie sich später via VPN einwählen möchten, Remote-Zugriffsrechte hat.

Installation des Servers

Um den VPN-Server aufzusetzen, installieren Sie zunächst Windows Server 2008 R2 auf dem betroffenen System. Weisen Sie dann den beiden Netzwerkinterfaces IP-Adressen zu. In diesem Workshop verwenden wir das Netzwerk 172.22.74.0 mit der Subnetzmaske 255.255.255.0 für das interne Netz und das Netzwerk 131.107.0.0 mit der Subnetzmaske 255.255.0.0 für das WAN. Konkret bedeutet das, der Domänencontroller erhält die IP-Adresse 172.22.74.1, das interne Interface des VPN-Gateways arbeitet mit der 172.22.74.2, das externe Interface der SSTP-Maschine erhält die 131.107.0.1 und der Windows-7-Client verwendet die 131.107.0.2. Treten Sie nun mit dem neuen Server Ihrer Domäne bei (über Start/Systemsteuerung/System und Sicherheit/System/Einstellungen für Computername, Domäne und Arbeitsgruppe/Einstellungen ändern) und starten Sie den Rechner neu.

Installieren Sie jetzt die Active Directory (AD) Zertifikatsdienste und den Web-Server. Starten Sie dazu den Servermanager, wechseln Sie auf „Rollen hinzufügen“ und selektieren Sie dann die Checkbox bei den AD-Zertifikatsdiensten. Das System fügt den Web-Server dann automatisch hinzu. Nach der Auswahl der Zertifikatsdienste, klicken Sie auf „Weiter“, selektieren bei den Rollendiensten die Zertifizierungsstellen-Webregistrierung, wählen als Installationstyp „Eigenständig“ aus und definieren den Zertifizierungsstellentyp als „Stammzertifizieurungsstelle“. Lassen Sie den Server nun einen neuen privaten Schlüssel mit den Standardeinstellungen erstellen und übernehmen Sie dann beim Zertifizierungsstellennamen, der Gültigkeitsdauer sowie den Datenbankangaben die Default-Vorgaben. Anschließend spielt der Wizard die gewünschten Dienste auf dem Rechner ein.

Internet Explorer konfigurieren

Jetzt ist es erforderlich, den Internet Explorer (IE) auf dem Server so zu konfigurieren, dass er sich zum Installieren des Zertifikats nutzen lässt. Starten Sie den IE dazu als Administrator also mit einem Rechsklick auf den IE-Eintrag im Startmenü und der Auswahl der Option „Als Administrator ausführen“, schalten Sie unter „Sicherheit“ den Smartscreenfilter aus, falls er aktiv sein sollte, und selektieren Sie unter Extras/Internetoptionen/Sicherheit für das lokale Intranet die Sicherheitsstufe „niedrig“.

Im nächsten Schritt fordern wir mit dem Browser das Zertifikat an. Dazu rufen wir die Website „https://localhost/cersrv“ auf, klicken auf „Zertifikat anfordern“ und wählen dann die erweiterte Zertifikatsanforderung. Nach der Auswahl des Eintrags „Anforderung an diese Zertifizierungsstelle erstellen“ müssen Sie ein Active-X-Control zulassen und geben dann im Anforderungsformular unter „Name“ den Namen des VPN-Servers an, unter dem er von außen zu erreichen ist, also den Namen des öffentlichen DNS-Eintrags, zum Beispiel „vpn1.testdomain.de“.

Das ist wichtig, da die Verbindungsaufnahme nur dann klappt, wenn der gleiche Name später beim Client als Name des Zielsystems eingetragen wird. Tragen Sie nun noch im Feld „Land“ „DE“ für Deutschland ein, setzen den Typ auf Serverauthentifizierungszertifikat und aktivieren die Option „Schlüssel als exportierbar markieren“. Das schließt die Zertifikatsanforderung ab.

Anschließend wollen wir das Zertifikat ausstellen und installieren. Öffnen Sie dazu die Microsoft Management Console (MMC), beispielsweise durch den Aufruf von „mmc“ über die Kommandozeile und fügen Sie das Snapin „Zertifizierungsstelle“ hinzu. Verbinden Sie sich jetzt mit dem Snapin mit dem lokalen Computer, klicken Sie in der Baumstruktur auf der linken Seite auf die lokale Zertifizierungsstelle, wechseln Sie zum Eintrag „ausstehende Anforderungen“, klicken dann mit der rechten Maustaste auf den Eintrag in der Mitte des Konsolenfensters und wählen Sie den Befehl „Alle Aufgaben/Ausstellen“.

Öffnen Sie jetzt im Browser wieder die Seite http://localhost/cersrv, gehen Sie auf „Status ausstehender Zertifikate anzeigen“ und wählen Sie das Zertifikat aus. Lassen Sie jetzt das Active-X-Control zu und installieren Sie das Zertifikat. Zum Abschluss müssen wir es nur noch aus dem Standardspeicher des aktiven Benutzerkontos in den Standardspeicher des Rechners übertragen. Rufen Sie dazu wieder die MMC auf und fügen Sie das Snapin „Zertifikate“ einmal für das eigene Benutzerkonto und einmal für das lokale Computerkonto hinzu. Wechseln Sie dann nach „Zertifikate - aktueller Benutzer/Eigene Zertifikate/Zertifikate“ und klicken Sie mit der rechten Maustaste auf das Zertifikat.

Wählen Sie dann unter „Alle Aufgaben“ den Befehl „Exportieren“. Jetzt startet ein Wizard, dem Sie mitteilen sollten, dass sie den privaten Schlüssel mit exportieren wollen. Geben Sie anschließend ein Passwort zum Schutz des Schlüssels an, legen Sie Dateinamen und Zielordner fest und bestätigen Sie den Exportvorgang mit „OK“.

Öffnen Sie nun in der MMC den Eintrag „Zertifikate (Lokaler Computer)/Eigene Zertifikate/Zertifikate“ und klicken Sie mit der rechten Maustaste auf den Arbeitsbereich in der Mitte. Wählen Sie dann den Importbefehl aus, selektieren Sie die eben angelegte Datei mit dem Zertifikat, geben Sie das Passwort an und führen Sie den Import durch. Danach sollten Sie noch das „All-Purpose“-Zertifikat des Rechners (mit dem Rechnernamen und der Endung „-CA“ im Namen) durch einen Rechtsklick und die anschließende Auswahl des Löschen-Befehls entfernen, um Verwechslungen zu vermeiden. Damit ist die Zertifikatskonfiguration auf dem Server abgeschlossen.

Rufen Sie nun wieder den Servermanager auf und gehen Sie auf „Rollen hinzufügen“. Spielen Sie nun die „Netzwerkrichtlinien- und Zugriffsdienste“ ein und selektieren Sie „Routing“ und „RAS“ in der RAS-Rolle. Sobald die Software installiert wurde, rufen Sie unter „Verwaltung“ das Konfigurationswerkzeug für Routing- und RAS auf, wählen den lokalen Server aus und starten unter „Aktion“ den Wizard „Routing und RAS konfigurieren und aktivieren“.

Wählen Sie nun zunächst den Eintrag „RAS (DFÜ oder VPN)“ und selektieren Sie dann „VPN“. Identifizieren Sie jetzt die externe Netzwerkkarte, deaktivieren Sie das Kontrollkästchen beim statischen Paketfilter und aktivieren Sie das Zuweisen von IP-Adressen an die Remoteclients aus einem angegebenen Adressbereich.

Definieren Sie anschließend einen Adressbereich aus dem lokalen Netz, damit der VPN-Gateway dazu in der Lage ist, entfernten VPN-ClientsIP-Adressen aus dem LAN zuzuweisen, beispielsweise die Adressen von 172.22.74.100 bis 172.22.74.109. Zum Schluss legen Sie fest, dass das System die Routing- und RAS- und nicht die Radius-Authentifizierung verwenden soll. Wenn alle Angaben gemacht wurden, nimmt das Konfigurationswerkzeug die Einstellungen vor und startet den Dienst. Damit ist die Serverkonfiguration abgeschlossen.

Weiter zum Workshop: SSTP-VPNs mit Windows Server 2008 und neueren Windows-Systemen Teil 2: Einrichten eines Windows 7 Clients

Artikelfiles und Artikellinks

(ID:2044250)