VPN unter Windows Server 2019 einrichten (Home)

[Squall]

Servus Leute!

wir haben aktuell kleinere Schulprojekte am laufen und ich soll nun einen VPN unter Windows Server 2019 einrichten.

Dazu habe ich in VirtualBox zwei virtuelle Maschinen erstellte (Windows 10 Client und Windows Server 2019) und diese jeweils mit zwei Netzwerkadapter ausgestattet (sprich: 1x Internes Netzwerk, 1x NAT). Auf dem Server habe ich bereits eine AD und Benutzer eingerichtet und den Client über das Interne Netz auch erfolgreich mit der Domäne verbunden (Datenaustausch bzw. Kommunikation funktioniert).

Jetzt möchte ich aber, dass der Win10 Client sich über VPN über das Internet an die Domäne des Windows Servers 2019 AD anmeldet.

 

Ich habe dazu mehrere Anleitungen im Internet gefunden, aber die sind immer sehr spärlich und ich denke da fehlt es noch an Konfiguration. Eine Interne VPN Verbindung funktioniert, aber was bringt es sich im Internen Netz über VPN zu verbinden? nicht viel... vielleicht vor böswilligen Mitarbeitern

 

Naja auf jeden Fall wollt ich Fragen ob jemand auch schon mal so ein Projekt hatte oder weiß was ich auf dem Server / Client noch einstellen mus, damit ich über das Internet eine Verbindung bekomme. Bisher ist jeder Versuch leider Fehlgeschlagen. PS: ICh habe alles auf mein Notebook installiert, kann also auch das Heimfestnetz nutzen und nicht das Schulnetz

 

vielen Dank!

 

Beste Grüße,

Max

Bearbeitet 29. August 2020 von Squall

[awesomenik]

Die Grundkonfiguration hast du ja schon mal, wenn die VPN-Verbindung lokal aufgebaut werden kann.

Jetzt überleg mal, wo du nun überall vorbei musst, um aus dem Internet zu deinem Server zu kommen.

[Kellerbräune]

vor 9 Stunden schrieb Squall:

Naja auf jeden Fall wollt ich Fragen ob jemand auch schon mal so ein Projekt hatte oder weiß was ich auf dem Server / Client noch einstellen mus, damit ich über das Internet eine Verbindung bekomme.

Ich hatte darüber mein Abschlussprojekt, daher werfe ich einfach mal ein paar Begriffe in den Pool.

• NPS
• Richtlinien
• VPN - Client
• Remotezugriff

Vielleicht hilft es dir weiter. 

LG

[Squall]

Servus Leute,

also ich hab jetzt nochmal alles probiert was geht, aber ich kriegs einfach nicht gebacken... ich krieg vom Win10 Client keine VPN Verbindung über das Internet auf meinen Windows Server 2019.

Ich hab es jetzt nach diesen drei Anleitungen probiert:

https://www.snel.com/support/how-to-set-up-an-l2tp-ipsec-vpn-on-windows-server-2019/

https://www.snel.com/support/learn-how-to-connect-l2tp-ipsec-vpn-on-windows-10/

https://www.infrastrukturhelden.de/microsoft-infrastruktur/remote-access-service/vpn-server-mit-windows-server-2019-ras/

https://it-learner.de/so-installiert-und-konfiguriert-man-einen-vpn-server-mit-windows-server-2016/

 

Ich muss ja meine öffentliche IP in den VPN Einstellungen vom Win10 Client angeben (sonst kannt der Client mein Server ja nicht finden), aber ich fand es schon komisch, dass ich während der gesamten Einrichtung auf dem 2019 Server, nicht einmal irgendwo meine öffentliche IP eingeben musste... Ich hab sogar die Firewall auf Client und Server vollständig deaktiviert, weil ich dachte das die vielleicht was blockiert, aber auch damit lässt sich keine Verbindung aufbauen...

[awesomenik]

vor 7 Stunden schrieb Squall:

während der gesamten Einrichtung auf dem 2019 Server, nicht einmal irgendwo meine öffentliche IP eingeben musste

Wieso solltest du die auch darüber einrichten? Wenn dein Server eine öffentliche IP-Adresse hätte, hätte er die ja schon bereits über die Netzwerkeinrichtung erhalten.

Wie oben geschrieben, ist dein Server wahrscheinlich nicht direkt ans Internet angebunden, sondern ist Teil des lokalen Netzwerks der Schule. Dementsprechend sollte es noch was geben wie einen Router/Firewall, der die Verbindung zum Internet regelt. Und der hat die öffentliche IP-Adresse.

Das heißt nun, wenn der Client aus dem Internet eine Verbindung zum VPN-Server aufbauen will und die öffentliche IP-Adresse als  Ziel für die Verbindung hat, landet er bei dem Router/Firewall der Schule und nicht bei deinem Server.

Damit das mit der VPN-Verbindung nun klappt, müsste der Router oder die Firewall wissen, dass er die VPN-Verbindung an den VPN-Server weiterleiten soll.

[Squall]

Hallo awesomenik!

danke für deine Antwort! du hast mich auf die Idee der Port-Weiterleitung gebracht!

Ich mache das ganze Senario übrigens daheim und ich habe eine Fritz!Box 7530

Muss ich hier irgendwelche Ports an mein Notebook weiterleiten? wenn ja, welche müssten das sein?

 

Ich habe mir schon gedacht, dass die Verbindung irgendwo verloren geht, aber hab da eher daran gedacht, dass es am NAT liegen könnte. Alle Geräte in meinem Heimnetz haben ja die selbe öffentliche IPv4 Adresse und nur über den Port weiß der Rout wohin er die Daten leiten muss. Aber da ich das ja über eine Virtualisierungssoftware (VirtualBox) mache wird es wohl nochmal komplizierter... und genau da hänge ich aktuell

[Squall]

 

Unterstützte Protokolle

• PPTP (Point-to-Point Tunneling Protocol) die erste Implementierung in Windows NT 4.0 erfolgte. Die Kommunikation erfolgt über Port 1723 TCP und das Protokoll 47 GRE. PPTP ist weit verbreitet, heute aber nicht mehr sicher genug, siehe auch Microsoft-Sicherheitsempfehlung 2743314.
• L2TP (Layer 2 Tunneling Protocol) das bei Microsoft zusammen mit IPsec eingesetzt wird. Die Kommunikation erfolgt über Port 1701 TCP und 500 UDP.
• IKEv2 (eigentlich „Internet Key Exchange V 2“, hier aber ein Synonym für IPsec, IP Security). Die Kommunikation erfolgt über Port 500 und 4500 UDP.
• SSTP (Secure Socket Tunneling Protocol), ein Microsoft eigenes Protokoll, das auf Port 443 TCP basiert. Somit kommt es durch eigentlich alle Firewalls, solange der HTTPS Tunnel nicht aufgebrochen wird. Dies mag das Protokoll gar nicht. Nachteil: nur auf Microsoft Geräten verfügbar.

 

EDIT: Habe jetzt die Ports auf meiner Fritz!Box aktiviert und kurzfristig mal alle Firewalls auf dem Notebook und in den VMs deaktiviert, aber auch hier... keine Verbindung möglich! irgendwo harkt es noch...

 

vor 42 Minuten schrieb Squall:

Hallo awesomenik!

danke für deine Antwort! du hast mich auf die Idee der Port-Weiterleitung gebracht!

Ich mache das ganze Senario übrigens daheim und ich habe eine Fritz!Box 7530

Muss ich hier irgendwelche Ports an mein Notebook weiterleiten? wenn ja, welche müssten das sein?

 

Ich habe mir schon gedacht, dass die Verbindung irgendwo verloren geht, aber hab da eher daran gedacht, dass es am NAT liegen könnte. Alle Geräte in meinem Heimnetz haben ja die selbe öffentliche IPv4 Adresse und nur über den Port weiß der Rout wohin er die Daten leiten muss. Aber da ich das ja über eine Virtualisierungssoftware (VirtualBox) mache wird es wohl nochmal komplizierter... und genau da hänge ich aktuell

 

[Max112]

Nimm Wireguard und alle Probleme sind gelöst. 

Wireguard for the win!

[Chief Wiggum]

Gerade eben schrieb Max112:

Nimm Wireguard und alle Probleme sind gelöst.

Nein.

Hier geht es nicht primär darum, ein VPN zusammenzuschustern, sondern zu verstehen, wie man einen VPN Einwahlserver unter Windows Server zum Laufen bekommt.

Somit ist dein Vorschlag nicht hilfreich.

[awesomenik]

@Squall du versuchst von zu Hause über die externe IP-Adresse eine VPN-Verbindung zu deinem Server aufzubauen, der auch zu Hause steht?
Meines Wissens nach kann das die Fritzbox nicht.

vor 8 Stunden schrieb Squall:

Idee der Port-Weiterleitung gebracht

Das ist schon mal der richtige Ansatz.

[Squall]

Hey Leute

@Max112 danke für den Vorschlag, aber solche VPN Software gibt es ja zuhauf und wir sollen das ja alles wie @Chief Wiggum schon richtig erkannt hat, über die Rollen und Features von WS 2019 lösen 😉

@awesomenik ja genau das dachte ich mir auch!! irgendwo hab ich wohl ein Denkfehler gehabt, ich denke da gibt es einfach ein Problem bei der Zuordnung, also "Wohin soll ich den jetzt nun Verbinden?"

Naja am Dienstag werde ich nochmal mit meinem Lehrer darüber reden. Vielleicht ist er auch nur mit der Internen VPN Lösung zufrieden