Gerade auf dem Server eingerichtet - es geht auch ohne Active Domain.
Kurzanleitung:
1. SERVER
1.1. RAS installieren: Server-Manager -> Verwalten -> Rollen & Features hinzufügen
- Serverrollen: Remotezugriff aktivieren
- Rollendienste: Direktzugriff und VPN (RAS) aktivieren
- Weiter und Installieren
1.2. RAS einstellen: Server-Manager -> Tools -> Routing und RAS
1.2.1. Rechtsklick auf Server (Eintrag mit rotem Symbol) -> Routing und RAS konfigurieren und aktivieren
- Benutzerdefinierte Konfiguration auswählen -> VPN-Zugriff auswählen -> Warnung ignorieren (Firewall-Einträge werden automatisch aktiviert)
1.2.2. Rechtsklick auf Server (Eintrag nun mit grünem Symbol) -> Eigenschaften
- Sicherheit: Benutzerdefinierte IPsec-Richtlinie... anhaken und Vorinstallierten Schlüssel eingeben und ggf. eigenes SSL-Zertifikat auswählen
- IPv4: Statischen Adresspool auswählen und Adress-Bereich eintragen (bspw. 10.10.10.11 - 10.10.10.20)
- IPv6: kann deaktiviert werden
1.2.3. Rechtsklick auf Ports -> Eigenschaften
- Bei Bedarf hier die Anzahl der maximalen zulässigen Verbindungen (Ports) anpassen (Default: 2)
1.3. Netzwerkrichtlinien einstellen Server-Manager -> Tools -> Netzwerkrichtlinienserver
- NPS (Lokal) -> Richtlinien -> Verbindungsanforderungsrichtlinein -> Microsoft Routing und RAS-Richtlinie
- Einstellungen: Netzwerkrichtlinien-Authentifizierungseinstellungen außer Kraft setzen aktivieren
- EAP-Typ Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2) hinzufügen
1.4. Netzwerke prüfen: Systemsteuerung\Alle Systemsteuerungselemente\Netzwerk- und Freigabecenter
- sicherstellen, dass das Netzwerk RAS (Dial-In) Interface ein privates Netzwerk ist (anderenfalls kann man sich zwar verbinden, hat aber keinen Zugriff zum Server bzw. restlichen Netzwerk, d.h. Remote Desktop usw. gehen nicht)
- zum Umstellen hier entlang
1.5. Firewall-Ports freigeben
- Ausgehend: RAS-Ports für Routing und Remotezugriff (...) werden automatisch freigegeben
- (optional) Eingehend: Remotedesktop - Benutzermodus (TCP eingehend) (TCP 3389) aktivieren und für Private Profile (unter Eigenschaften -> Erweitert) erlauben, für noch restriktivere Einschränkungen die IP-Adressbereiche unter Bereiche angeben
1.6. Benutzer-Berechtigungen einstellen
1.6.1. Benutzer erstellen/anpassen
- mit aktivem Domain-Controller: Server-Manager -> Tools -> Active-Domain Benutzer und Computer
- ohne aktiven Domain-Controller: Server-Manager -> Tools -> Computerverwaltung -> System -> Lokale Benutzer und Gruppen (oder lusrmgr.msc aufrufen)
1.6.2. Einwahl gestatten
- Benutzer wählen -> Eigenschaften -> Einwählen: Zugriff gestatten oder Zugriff über NPS-Netzwerkrichtlinien steuern (dann die Netzwerkrichtlinien entsprechend einstellen) und bei Bedarf statische IP-Adresse zuweisen
1.6.3. (optional) Remote Desktop gestatten
- Windows-Einstellungen -> System -> Info -> Erweiterte Systemeinstellungen -> Remote: Remoteverbindung mit diesem Computer zulassen aktivieren und unter Benutzer auswählen... die entsprechenden Benutzer hinzufügen
- alternativ Benutzer wählen -> Eigenschaften -> Mitglied von: hier Remotedesktopbenutzer hinzufügen
2. CLIENT
2.1. VPN-Verbindung auf Client einstellen
2.1.1. Windows-Einstellungen -> Netzwerk und Internet -> VPN -> VPN-Verbindung hinzufügen
- VPN-Anbieter: Windows (integriert)
- Verbindungsname: beliebig (= Name des erzeugten Netzwerkadapters)
- Servername oder IP-Adresse: IP vom Server
- VPN-Typ: L2TP/IPSec mit vorinstalliertem Schlüssel
- Vorinstallierter Schlüssel: Schlüssel von Punkt 1.2.2. eingeben
- Anmeldeinformationstyp: Benutzername und Kennwort
- Benutzername: Benutzer aus Punkt 1.6.1 eingeben
- Kennwort: Kennwort für Nutzer eingeben (wer hätte es gedacht)
2.1.2. Adapter prüfen: Systemsteuerung\Alle Systemsteuerungselemente\Netzwerkverbindungen
- Rechtsklick auf neu erzeugten VPN-Adapter (Name = Verbindungsname aus 2.1.1.) -> Eigenschaften -> Sicherheit: prüfen, ob folgende Einstellungen sitzen:
- VPN-Typ: Layer-2-Tunneling-Protokoll mit IPSec (L2TP/IPSec)
- Erweiterte Einstellungen: Vorinstallierter Schlüssel inkl. gesetztem Schlüssel aus Punkt 1.2.2.
- Authentifizierung: Extensible-Authentication-Protokoll (EAP) verwenden mit Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
2.1.3. (optional) Internet parallel zum VPN normal weiternutzen, aber ggf. auf lokale Netzwerkressourcen verzichten
- in den Eigenschaften zum VPN-Adapter -> Netzwerk -> Internetprotokoll, Version 4 -> Erweitert -> IP-Einstellungen:
- Standardgateway für das Remotenetzwerk verwenden deaktivieren
2.2. Firewall-Ports freigeben
- Ausgehend: VPN/IPSec (UDP Ports 50, 51, 108)
- (optional) Ausgehend: RDP (TCP Port 3389)