Hallo,
falls jemand SSTP auf einem Windows 2008 Server betreiben möchte und dort keine 2 NICs besitzt hat
Greg Suvalian eine Lösung. Er beschreibt die notwendigen Schritte um eine SSTP VPN Einwahl auch mit einem Server mit nur einer NIC zu betreiben.
Folgende Schritte sind notwendig (Kurzform entspricht der Anleitung von Greg in weiten Zügen):
Unterschiede zu anderen Anleitungen:
Es wird keine Domain Controller benötigt
Es wird nur eine Netzwerkkarte benötigt
SSL CRL muss nicht veröffentlicht werden (Certificate Revocation List)
Benötigt wird:
Server SSL certificate (self-signed)
Windows 2008 Server (single NIC)
Vista SP1 or later
Einrichtung:
1. Zuerst muss ein self-signed certificate erstellt und im Certificate Store des Clients und des Servers installiert werden. Wichtig! Das Zertifikat muss beim Client sowohl im Trusted Root Certificate Store des Users als auch im Store der Computerkontos eingetragen werden. Natürlich kann auch ein Zertifikat einer internen CA genutzt werden.
2. Zertifikat mit folgenden Schritten auf Client installieren: MMC starten und im Menü Add Snap-in auswählen, "Certificates" auswählen, im nächsten Screen "Local Computer" und dann "Trusted Root Certification Authorities" auswählen. Zertifikat in diesen Store importieren. Das gleiche für "My Account" durchführen.
3. Zertifikat auf dem Server installieren. Dazu die gleichen Schritte durchgehen. Hier wird das Zertifikat allerdings nur im "Local Computer" Store benötigt.
4. Rolle RRAS dem Windows 2008 Server hinzufügen (über Server Manager). Wir benötigen nur "Remote Access Service" nicht Routing.
5. RRAS MMC starten und "Configure Routing and Remote Access server" aufrufen (rechter Mausklick auf RRAS).
6. Wichtig. Im Assistenten bitte "Custom Configuration" und "VPN access" auswählen.
7. Entweder dem Anwender über sein Computerkonto oder über die Netzwerkpolicy Einwahlberechtigungen erteilen.
8. Der Internetrouter benötigt ein Port Forward auf TCP 443. Falls ein IIS zusätzlich installiert ist - dies ist kein Problem.
9. Client konfigurieren: Network And Sharing Center/Setup Connection aufrufen, Connect to a Network, Setup a connection... aufrufen. Dann folgendes konfigurieren: Connect to a workplace, Use Internet Connection, Hostname und Name eintragen. Zum Schluss "Skip" auswählen um die Verbindung zu speichern (sonst wird diese nach einem Fehler nicht gespeichert). Anschließend die Properties der Einwählverbindung aufrufen und unter Connection/Networking VPN Typ SSTP auswählen. IPV6 kann (sollte) deaktiviert werden.
10. Fertig
Gruß,
Volker