Inhaltsverzeichnis
In diesem Tutorial finden Sie eine Schritt-für-Schritt-Anleitung zur Einrichtung eines L2TP-VPN-Zugangsservers auf Windows Server 2016. Das virtuelle private Netzwerk (VPN) ermöglicht es Ihnen, sich von Internetstandorten aus sicher mit Ihrem privaten Netzwerk zu verbinden und schützt Sie vor Angriffen aus dem Internet und dem Abfangen von Daten.Um den L2TP/IPSec-VPN-Zugang auf Server 2016 zu installieren und zu konfigurieren, ist es ein mehrstufiger Prozess, denn Siemüssen Sie auf der Seite des VPN-Servers einige Einstellungen vornehmen, um einen erfolgreichen VPN-Betrieb zu gewährleisten.
So installieren Sie einen L2TP/IPSec VPN Server 2016 mit benutzerdefiniertem Preshared Key.
In dieser Schritt-für-Schritt-Anleitung wird die Einrichtung von L2TP VPN Server 2016 unter Verwendung des Layer Two Tunneling Protocol (L2TP/IPSEC) mit einem benutzerdefinierten PreShared Key für eine sicherere VPN-Verbindung erläutert.
Schritt 1: Installieren Sie die Routing- und Fernzugriffsrolle auf Server 2016.Schritt 2: Konfigurieren und aktivieren Sie Routing und Fernzugriff auf Server 2016.Schritt 3: Konfigurieren Sie den Preshared Key für die L2TP/IKEv2-Verbindungen.Schritt 4: Öffnen Sie die erforderlichen Ports in der Windows-Firewall.Schritt 5: Konfigurieren Sie den VPN-Server so, dass er den Netzwerkzugriff zulässt.Schritt 6: Aktivieren Sie L2TP/IPsec-Verbindungen hinter NAT.Schritt 7: Überprüfen Sie, ob die erforderlichenL2TP-Dienste laufen.Schritt 8. Wählen Sie die VPN-Benutzer aus.Schritt 9. Konfigurieren Sie die Firewall des ISP, um den L2TP-VPN-Zugang zuzulassen.Schritt 10. Richten Sie die L2TP/IPSec-VPN-Verbindung auf den Clients ein. Schritt 1. So fügen Sie die Rolle Remote Access (VPN Access) auf einem Server 2016 hinzu.
Der erste Schritt zur Einrichtung eines Windows Server 2016 als VPN-Server ist die Installation des Fernzugriff Rolle {Direct Access & VPN (RAS) Services} zu Ihrem Server 2016.
Info: In diesem Beispiel werden wir VPN auf einem Windows Server 2016-Rechner mit dem Namen "Srv1" und der IP-Adresse "192.168.1.8" einrichten.
1. Um die VPN-Rolle auf Windows Server 2016 zu installieren, öffnen Sie den "Server Manager" und klicken Sie auf Rollen und Funktionen hinzufügen .
2. Auf dem ersten Bildschirm des Assistenten zum Hinzufügen von Rollen und Funktionen lassen Sie die Rollenbasierte oder funktionsbasierte Installation Option und klicken Sie auf Nächste.
3. Lassen Sie auf dem nächsten Bildschirm die Standardoption " Server aus dem Serverpool auswählen " und klicken Sie Nächste.
4. Wählen Sie dann die Fernzugriff Rolle und klicken Sie auf Weiter .
5. Auf dem Bildschirm "Funktionen" belassen Sie die Standardeinstellungen und klicken auf Weiter .
6. Klicken Sie im Informationsbildschirm "Fernzugriff" auf Weiter .
7. Wählen Sie unter "Remote Services" die Option Direkter Zugang und VPN (RAS) Rollendienste und klicken Sie dann auf Weiter .
8. Dann klicken Sie Eigenschaften hinzufügen.
9. Klicken Sie auf Weiter wieder.
10. Belassen Sie die Standardeinstellungen und klicken Sie auf Weiter (zweimal) auf den Bildschirmen "Webserver-Rolle (IIS)" und "Rollendienste".
11. Wählen Sie im Bildschirm "Bestätigung" die Option Automatischer Neustart des Zielservers (falls erforderlich) und klicken Sie Installieren.
12. Vergewissern Sie sich auf dem letzten Bildschirm, dass die Installation der Fernzugriffsrolle erfolgreich war und Schließen Sie der Zauberer.
13. Dann (vom Server Manager aus) Werkzeuge Menü, klicken Sie auf Verwaltung des Fernzugriffs.
14. Wählen Sie Direkter Zugang und VPN auf der linken Seite und klicken Sie dann auf Führen Sie den Assistenten für erste Schritte aus.
15. Dann klicken Sie auf VPN bereitstellen nur.
16. Weiter zu Stufe 2 unten, um Routing und Remote Access zu konfigurieren.
Schritt 2: Konfigurieren und Aktivieren von Routing und Remote Access auf Server 2016.
Der nächste Schritt besteht darin, den VPN-Zugang auf unserem Server 2016 zu aktivieren und zu konfigurieren, um dies zu tun:
1. Klicken Sie mit der rechten Maustaste auf den Namen des Servers und wählen Sie Konfigurieren und Aktivieren von Routing und Fernzugriff *.
Hinweis: Sie können die Einstellungen für das Routing und den Fernzugriff auch auf folgende Weise aufrufen:
1. öffnen Sie den Server Manager und wählen Sie Werkzeuge Menü, wählen Sie Computer-Management.
2) Erweitern Dienste und Anwendungen
3. rechtsklicken Sie auf Routing und Fernzugriff und wählen Sie Konfigurieren und Aktivieren von Routing und Fernzugriff.
2. Klicken Sie auf Weiter unter 'Assistent für die Einrichtung von Routing- und Fernzugriffsservern'.
3. Wählen Sie Benutzerdefinierte Konfiguration und klicken Sie Nächste.
4. Wählen Sie VPN-Zugang nur in diesem Fall und klicken Sie auf Nächste.
5. Klicken Sie schließlich auf Oberfläche .
6. Wenn Sie aufgefordert werden, den Dienst zu starten, klicken Sie auf Start .
7. Jetzt sehen Sie einen grünen Pfeil neben dem Namen Ihres Servers (z. B. "Svr1" in diesem Beispiel).
Schritt 3: So aktivieren Sie die benutzerdefinierte IPsec-Richtlinie für L2TP/IKEv2-Verbindungen.
Jetzt ist es an der Zeit, eine benutzerdefinierte IPsec-Richtlinie auf dem Routing- und Remote Access-Server zuzulassen und den benutzerdefinierten Preshared Key festzulegen.
1. Unter Routing und Fernzugriff Panel, klicken Sie mit der rechten Maustaste auf den Namen Ihres Servers und wählen Sie Eigenschaften.
2. Unter Sicherheit Registerkarte, wählen Sie Benutzerdefinierte IPsec-Richtlinie für L2TP/IKEv2-Verbindung zulassen und geben Sie dann einen Preshared Key ein (in diesem Beispiel gebe ich ein: "TestVPN@1234").
3. Klicken Sie dann auf die Schaltfläche Authentifizierungsmethoden (oben) und stellen Sie sicher, dass die Microsoft verschlüsselte Authentifizierung Version 2 (MS-CHAP v2) ausgewählt ist, und klicken Sie dann auf GUT.
4. Wählen Sie nun die IPv4 Registerkarte, wählen Sie Statischer Adresspool und klicken Sie hinzufügen .
5. Geben Sie hier den IP-Adressbereich ein, der den mit dem VPN verbundenen Clients zugewiesen werden soll, und klicken Sie auf OK (zweimal), um alle Fenster zu schließen.
z.B. Für dieses Beispiel verwenden wir den IP-Adressbereich: 192.168.1.200 - 192.168.1.202.
6. Wenn Sie mit der Popup-Meldung: "Um die benutzerdefinierte IPsec-Richtlinie für L2TP/IKEv2-Verbindungen zu aktivieren, müssen Sie Routing und Remote Access neu starten" aufgefordert werden, klicken Sie auf OK .
7. Klicken Sie schließlich mit der rechten Maustaste auf Ihren Server (z. B. "Svr1") und wählen Sie Alle Tasks > Neustart.
Schritt 4: Öffnen Sie die erforderlichen Ports in der Windows-Firewall.
1. Gehe zu Bedienfeld > Alle Elemente der Systemsteuerung > Windows-Firewall .
2. Klicken Sie auf Erweiterte Einstellungen auf der linken Seite.
3. Wählen Sie auf der linken Seite die Inbound-Regeln .
4a. Doppelklick auf Routing und Fernzugriff (L2TP-In)
4b. Auf der Registerkarte "Allgemein" wählen Sie Aktiviert, Erlaubt die Verbindung und klicken Sie GUT.
5. Klicken Sie nun mit der rechten Maustaste auf Inbound-Regeln auf der linken Seite und wählen Sie Neue Vorschrift.
6. Wählen Sie auf dem ersten Bildschirm Hafen und klicken Sie Nächste.
7. wählen Sie nun die UDP Protokolltyp und im Feld "Spezifische lokale Ports" geben Sie ein: 50, 500, 4500.
Wenn Sie fertig sind, klicken Sie auf Weiter.
8. Belassen Sie die Standardeinstellung "Verbindung zulassen" und klicken Sie auf Weiter .
9. Klicken Sie auf dem nächsten Bildschirm auf Weiter wieder.
10. Geben Sie nun einen Namen für die neue Regel ein (z. B. "L2PT VPN zulassen") und klicken Sie auf Oberfläche .
11. schließen die Firewall-Einstellungen.
Schritt 5: So konfigurieren Sie den Netzwerkrichtlinienserver, um den Netzwerkzugang zuzulassen.
Um den VPN-Benutzern den Zugriff auf das Netzwerk über die VPN-Verbindung zu ermöglichen, gehen Sie wie folgt vor und ändern Sie den Netzwerkrichtlinienserver wie folgt:
1. Rechtsklick auf Fernzugriffsprotokollierung und -richtlinien und wählen Sie NPS starten
2. Wählen Sie auf der Registerkarte "Übersicht" die folgenden Einstellungen und klicken Sie auf OK :
-
- Zugang gewähren: Wenn die Verbindungsanfrage dieser Richtlinie entspricht. Remote Access Server (VPN-Anwahl)
3. Öffnen Sie nun die Verbindungen zu anderen Zugangsservern Richtlinie, wählen Sie die gleichen Einstellungen und klicken Sie auf GUT.
-
- Zugang gewähren: Wenn die Verbindungsanfrage mit dieser
Richtlinie: Remote Access Server (VPN-Dial)
up)
- Zugang gewähren: Wenn die Verbindungsanfrage mit dieser
4. schließen Sie die Einstellungen des Netzwerkrichtlinienservers.
Schritt 6: So aktivieren Sie L2TP/IPsec-Verbindungen hinter NAT.
Moderne Windows-Clients (Windows 10, 8, 7 oder Vista) und die Betriebssysteme Windows Server 2016, 2012 & 2008 unterstützen standardmäßig keine L2TP/IPsec-Verbindungen, wenn sich der Windows-Rechner oder der VPN-Server hinter einem NAT befinden. Um dieses Problem zu umgehen, müssen Sie die Registrierung wie folgt ändern, im VPN-Server und die Kunden:
1. Drücken Sie gleichzeitig die Windows 
+ R Tasten, um das Befehlsfeld "Ausführen" zu öffnen.
2. Typ regedit und drücken Sie Eingabe .
3. Navigieren Sie im linken Fensterbereich zu diesem Schlüssel:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Rechtsklick auf PolicyAgent und wählen Sie Neu -> DWORD (32 Bit) Wert .
5. Für den neuen Schlüsselnamen Typ: AssumeUDPEncapsulationContextOnSendRule und drücken Sie Eingabe .
Hinweis: Der Wert muss wie oben gezeigt und ohne Leerzeichen eingegeben werden.
6. Doppelklicken Sie auf diesen neuen DWORD-Schlüssel und geben Sie die Daten für den Wert ein: 2
7. schließen Registrierungs-Editor *.
* Wichtig: Um Probleme zu vermeiden, wenn Sie sich von einem Windows-Client-Computer (Windows Vista, 7, 8, 10 und 2008 Server) mit Ihrem VPN-Server verbinden, müssen Sie diese Registrierungskorrektur auch auf Clients anwenden.
8. neu starten die Maschine.
Schritt 7: Überprüfen Sie, ob die Dienste IKE und IPsec Policy Agent laufen.
Gehen Sie nach dem Neustart in die Systemsteuerung der Dienste und stellen Sie sicher, dass die folgenden Dienste aktiv sind und laufen:
1. Drücken Sie gleichzeitig die Windows 
+ R Tasten, um das Befehlsfeld "Ausführen" zu öffnen.
2 Geben Sie in das Befehlsfeld Ausführen ein: services.msc und drücken Sie Eintreten.
3. Stellen Sie sicher, dass die folgenden Dienste ausgeführt werden: *
-
- IKE und AuthIP IPsec-Schlüsselmodule IPsec-Richtlinienagent
Anmerkungen:
1. wenn die oben genannten Dienste nicht laufen, doppelklicken Sie auf jeden Dienst und setzen Sie die Startup-Typ zu Automatisch Dann klicken Sie OK und Neustart den Server.
2) Sie müssen sicherstellen, dass die oben genannten Dienste auch auf dem Windows-Client-Rechner laufen.
Schritt 8: So wählen Sie aus, welche Benutzer VPN-Zugang haben sollen.
Nun ist es an der Zeit festzulegen, welche Benutzer sich mit dem VPN-Server verbinden können (Dial-IN-Berechtigungen).
1. Öffnen Sie Server-Manager .
2. Von Werkzeuge Menü, wählen Sie Active Directory-Benutzer und -Computer . *
Hinweis: Wenn Ihr Server nicht zu einer Domäne gehört, dann gehen Sie zu Computer-Management -> Lokale Benutzer und Gruppen .
3. Wählen Sie Benutzer und doppelklicken Sie auf den Benutzer, dem Sie den VPN-Zugang erlauben wollen.
4. Wählen Sie die Einwahl und wählen Sie Zugang gewähren Dann klicken Sie OK .
Schritt 9: So konfigurieren Sie die Firewall für den L2TP-VPN-Zugang (Portweiterleitung).
Der nächste Schritt besteht darin, die VPN-Verbindungen in Ihrer Firewall zuzulassen.
1. Melden Sie sich bei der Webschnittstelle des Routers an.
2. Leiten Sie in der Router-Konfiguration die Ports 1701, 50, 500 und 4500 an die IP-Adresse des VPN-Servers weiter (siehe Handbuch Ihres Routers zur Konfiguration der Portweiterleitung).
- Wenn der VPN-Server zum Beispiel die IP-Adresse "192.168.1.8" hat, müssen Sie alle oben genannten Ports an diese IP-Adresse weiterleiten.
Zusätzliche Hilfe:
- Um sich mit Ihrem VPN-Server aus der Ferne verbinden zu können, müssen Sie die öffentliche IP-Adresse des VPN-Servers kennen. Um die öffentliche IP-Adresse (vom VPN-Server-PC aus) zu ermitteln, navigieren Sie zu diesem Link: http://www.whatismyip.com/ Um sicherzustellen, dass Sie sich immer mit Ihrem VPN-Server verbinden können, ist es besser, eine statische öffentliche IP-Adresse zu haben. Um eine statische öffentliche IP-Adresse zu erhalten, müssen Sie sich an IhrenWenn Sie nicht für eine statische IP-Adresse bezahlen wollen, können Sie einen kostenlosen dynamischen DNS-Dienst einrichten (z. B. no-ip .) auf der Seite Ihres Routers (VPN-Server).
Schritt 10: So richten Sie die L2TP-VPN-Verbindung auf einem Windows-Client-Computer ein.
Der letzte Schritt besteht darin, eine neue L2TP/IPSec VPN-Verbindung zu unserem VPN Server 2016 auf dem Client-Rechner zu erstellen, indem Sie die folgenden Anweisungen befolgen:
- Ähnlicher Artikel: So richten Sie eine PPTP-VPN-Verbindung unter Windows 10 ein.
ACHTUNG! Bevor Sie mit dem Erstellen der VPN-Verbindung fortfahren, sollten Sie die in Schritt 6 beschriebene Registrierungskorrektur auch auf dem Client-Computer anwenden.
1. Öffnen Sie das Netzwerk- und Freigabecenter.
2. Klicken Sie auf Eine neue Verbindung oder ein neues Netzwerk einrichten
3. Wählen Sie Verbindung zum Arbeitsplatz und klicken Sie Nächste.
4. Wählen Sie dann Verwenden Sie meine Internetverbindung (VPN).
5. Geben Sie auf dem nächsten Bildschirm die Die öffentliche IP-Adresse des VPN-Servers und den VPN-Port, den Sie auf der Routerseite zugewiesen haben, und klicken Sie dann auf erstellen. .
Wenn die externe IP-Adresse z.B. 108.200.135.144 lautet, geben Sie in das Feld Internetadresse "108.200.135.144" und in das Feld Zielname einen beliebigen Namen ein (z.B. "L2TP-VPN").
6. Geben Sie den Benutzernamen und das Passwort für die VPN-Verbindung ein und klicken Sie auf Verbinden.
7. Wenn Sie das VPN auf einem Windows 7-Client-Rechner einrichten, wird es versuchen, eine Verbindung herzustellen. Überspringen und klicken Sie dann auf Schließen Sie da Sie einige zusätzliche Einstellungen für die VPN-Verbindung vornehmen müssen.
8. Klicken Sie im Netzwerk- und Freigabecenter auf Ändern Sie die Adaptereinstellungen auf der linken Seite.
9. Klicken Sie mit der rechten Maustaste auf die neue VPN-Verbindung (z.B. "L2TP-VPN") und wählen Sie Eigenschaften .
10. Wählen Sie die Sicherheit und wählen Sie Schicht 2 (Tunneling Protocol mit IPsec (L2TP/IPsec) und klicken Sie dann auf Erweiterte Einstellungen.
11. Geben Sie unter "Erweiterte Einstellungen" den Preshared Key ein (z.B. "TestVPN@1234" in diesem Beispiel) und klicken Sie auf OK
12. Klicken Sie dann auf Erlauben Sie diese Protokolle und wählen Sie die Microsoft CHAP Version 2 (MS-CHAP v2)
13. Wählen Sie dann die Vernetzung Wir doppelklicken auf die Registerkarte Internet-Protokoll Version 4 (TCP/IPv4) zu öffnen. Eigenschaften .
14. Für Bevorzugter DNS-Server geben Sie die lokale IP-Adresse des VPN-Servers ein (z. B. "192.168.1.8" in diesem Beispiel). *
Hinweis: Diese Einstellung ist optional, daher sollten Sie sie nur bei Bedarf vornehmen.
15. Klicken Sie dann auf die Schaltfläche Erweitert und abhaken. die Standard-Gateway im entfernten Netzwerk verwenden weil wir unser PC-Internet-Browsing von der VPN-Verbindung trennen wollen.
16. Klicken Sie schließlich auf OK ständig alle Fenster zu schließen.
17. Doppelklicken Sie nun auf die neue VPN-Verbindung und klicken Sie auf Verbinden Sie , um eine Verbindung zu Ihrem Arbeitsplatz herzustellen.
Das war's! Lassen Sie mich wissen, ob dieser Leitfaden Ihnen geholfen hat, indem Sie einen Kommentar über Ihre Erfahrungen hinterlassen. Bitte mögen und teilen Sie diesen Leitfaden, um anderen zu helfen.
Andy Davis
Der Blog eines Systemadministrators über Windows
