L2TP/IPSec mit Zertifikaten: Teil 4 – Einrichten eines VPN-Servers

Autor: Claus Greck [MVP], MCSEboard.de

Die Einrichtung des VPN-Servers ist auch nicht allzu schwierig, es gibt nur sehr viele einstellbare Optionen, die einen Anfänger vielleicht verwirren könnten. Ich werde deshalb in dieser Anleitung alles soweit wie möglich auf Standardeinstellungen belassen, da eine ausführliche Besprechung der Einstellmöglichkeiten den Rahmen und die Intention dieses Tutorials sprengen würde.

Hinweis: Es sei angemerkt, dass ein VPN Server bei Microsoft zunächst nicht anderes ist, als ein ordinärer RAS-Server (dessen Einrichtung kennen viele etwas besser als die eines VPN-Servers), und dass daher auch alle Grundlagen der RAS-Server Einrichtung, wie z.B. RAS-Bedingungen, RAS-Berechtigungen und RAS-Profilen, beim VPN-Server gelten. Ein über den Assistenten eingerichteter VPN-Server hat lediglich etwas strengere Anforderung an die Sicherheit als ein mit dem Assistenten eingerichteter RAS-Server.

: Abb. 1

Zum Einrichten des VPN-Servers öffnet man die Konsole Routing und RAS unter Start -> Verwaltung. Ein Rechtsklick auf den Namen des VPN-Servers , dann Routing und RAS konfgurieren und aktivieren.

Nach dem Klicken auf den Button Weiter im nächsten Fenster erscheint das Auswahlmenü.

Falls nur eine Netzwerkkarte vorhanden sein sollte, kann man VPN nur über die Benutzerdefinierte Installation einrichten, nicht über den Menüpunkt VPN und NAT, darauf weist der Server auch hin, sollte man es über den Menüpunkt VPN und NAT versuchen.

: Abb. 2

Im folgenden Fenster können wir nun den VPN-Zugriff auswählen, falls man benötigt, auch noch weitere Einstellungen.

: Abb. 3

Der VPN-Server ist nun grundsätzlich für den VPN-Zugriff eingerichtet.

: Abb. 4

Nach dem Fertigstellen des Assistenten lässt man den ihn gleich Routing und RAS Dienst starten.

: Abb. 5

In der Routing und RAS Konsole können jetzt bei Bedarf weitere Einstellungen vorgenommen werden, das wichtigste, was jetzt noch fehlt ist für den oder die Benutzer die Einwahlberechtigung, denn von Haus aus ist der RAS- bzw. VPN-Server erst einmal dicht.

Anmerkung: Ist denn aufgefallen, dass man an keiner Stelle nach irgendeinem Zertifikat gefragt wurde? Das ist bereits in Teil 2 der Anleitung angefordert und installiert worden und wird einfach benutzt.

Im Folgenden wird gezeigt, wie man einem lokalen Benutzer auf dem Server die Einwahlberechtigung erteilt.

: Abb. 6

Man öffnet die Benutzerverwaltung über Start -> Verwaltung -> Computerverwaltung, wählt in Snap-In System das Tool Lokale Benutzer und Gruppen.

Im Ordner Benutzer öffnet man den Benutzer, dem man die Einwahlrechte geben möchte, mit einem Doppelklick und geht auf den Reiter Einwählen.

Wie man im obigen Bild sieht, hat man zwei Möglichkeiten, die Einwahlberechtigung zu steuern. Entweder man wählt den Zugriff gestatten aus, dann kann sich der Benutzer einwählen, egal wie in der Konsole Routing und RAS die Zugriffsberechtigung eingestellt wurde. Wählt man den Zugriff Verweigern, dann ist es wiederum egal, was die RAS-Richtlinie selber sagt, der Benutzer kann sich nicht einwählen und erhält die die Fehlermeldung "691 – Das Benutzerkonto hat keine Einwahlberechtigung". Entscheidet man sich für die Option Zugriff über RAS-Richtlinie steuern, dann wird die Einwahlberechtigung nicht hier am Konto festgelegt, sondern in der RAS-Richtlinie.

Ich wähle hier den Zugriff gestatten aus, denn für den Test hat der Benutzer auf jeden Fall die Einwahlberechtigung, ein erfolgloser Verbindungsaufbau muss dann andere Ursachen haben.

Die Grundeinrichtung des VPN-Servers ist damit abgeschlossen.