VPN auf dem Server konfigurieren
Nach dem Willkommensbildschirm konfigurieren Sie auf der nächsten Seite des Assistenten zunächst die Funktion des RAS-Servers. Für die Einwahlmöglichkeiten per DFÜ oder VPN wählen Sie die Option RAS (DFÜ oder VPN). Auf der nächsten Seite des Assistenten aktivieren Sie das Kontrollkästchen VPN. Anschließend legen Sie fest, an welcher Schnittstelle der Server auf Verbindungen warten soll.
Hier verwenden Sie natürlich die Schnittstelle, die mit dem externen Netzwerk verbunden ist. Haben Sie im Server zwei Netzwerkkarten eingebaut, benennen Sie im Netzwerk- und Freigabecenter diese Verbindungen am besten in intern und extern um, damit Sie diese einfacher zuordnen können. Deaktivieren Sie zusätzlich noch die Option Sicherheit auf der ausgewählten Schnittstelle durch… Dadurch ist sichergestellt, dass die VPN-Clients Verbindung mit dem VPN-Server aufbauen können, um diesen zum Beispiel zu pingen, ohne dass eine Route gesetzt sein muss.
Auf der nächsten Seite des Assistenten legen Sie fest, welche IP-Adresse die Clients bei der Einwahl erhalten sollen; das gilt auch für iPhones, da auch diese eine IP-Adresse erhalten. Wählt sich ein Client per VPN in das Netzwerk ein, erhält er eine IP-Adresse im internen Netzwerk. Sie können entweder die IP-Adressen über einen DHCP-Server zuweisen lassen, indem Sie die Option Automatisch auswählen, oder über die Option Aus einen angegebenen Adressbereich manuell die IP-Adressen im internen Netzwerk eingeben, die VPN-Clients verwenden. Wählen Sie in diesem Beispiel diese Option aus. So können Sie einen IP-Bereich festlegen. Auf der nächsten Seite geben Sie den IP-Bereich ein, aus dem die VPN-Clients IP-Adressen zugeteilt bekommen.
DHCP-Relay einrichten
Nach Abschluss der Konfiguration startet Windows den Routing- und RAS-Dienst. Sie erhalten anschließend noch verschiedene Meldungen, die Sie darauf hinweisen, dass Sie die Authentifizierungsoptionen festlegen und den DHCP-Relay-Agenten konfigurieren müssen.
Im DHCP-Relay-Agenten wird die IP-Adresse des DHCP-Servers hinterlegt. Der Relay-Agent antwortet auf die Anfragen von Clients und leitet diese an den DHCP-Server weiter. Dieser teilt eine IP-Adresse zu, die dann wiederum vom Relay-Agenten dem Client mitgeteilt wird. Wenn Sie DHCP für VPN verwenden möchten, müssen Sie die IP-Adresse Ihres DHCP-Servers als Relay-Agent im RAS-Server eintragen, damit die Anfragen des RAS-Clients an den DHCP-Server weitergeleitet werden können.
Sie erhalten beim ersten Start des Dienstes eine entsprechende Warnung. Klicken Sie dazu nach dem Starten des RAS-Dienstes auf IPv4/DHCP-Relay-Agent und rufen Sie die Eigenschaften auf. In den Eigenschaften tragen Sie die IP-Adresse Ihres DHCP-Servers ein.
Der nächste Schritt besteht darin, dass Sie den VPN-Server noch konfigurieren. Sie müssen zum Beispiel noch die Authentifizierung für Clients festlegen. Starten Sie dazu die Verwaltungskonsole für Routing und RAS:
1. Rufen Sie die Eigenschaften des VPN-Servers in der Konsole auf und wechseln Sie auf die Registerkarte Sicherheit.
2. Klicken Sie anschließend auf Authentifizierungsmethoden.
3. Stellen Sie sicher, dass Extensible Authentication Protocol (EAP) und Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2) ausgewählt sind. PAP (Password Authentication Protocol) verwendet Kennwörter mit Klartext und ist das einfachste Authentifizierungsprotokoll. Beim Aktivieren von PAP als Authentifizierungsprotokoll werden Benutzerkennwörter als Klartext gesendet. Durch das Abfangen von Paketen während des Authentifizierungsprozesses kann das Kennwort leicht entschlüsselt und für nicht autorisierten Intranetzugriff verwendet werden.
Sobald die Konfiguration abgeschlossen ist, können Anwender über das Internet auch mit dem iPhone auf das interne Netzwerk zugreifen. (tecchannel/mb)