Dieser Blogeintrag bietet eine Anleitung zur Einrichtung eines sicheren VPN auf einem Windows 2022 Server. Ziel ist es, ein VPN mit IKEv2-Protokoll inklusive Root CA und Zertifikat aufzusetzen. Der Beitrag enthält Screenshots und Schritt-für-Schritt-Beschreibungen zur Installation der notwendigen Serverrollen, der Zertifikate sowie der Konfiguration des VPN- und NPS-Servers. 

Voraussetzung

Als Voraussetzung wird eine Public Domain und DNS-Eintrag auf die öffentliche IP-Adresse des Internetzugangs benötigt. z.B. für die Beispiel-Domain "domain.tld" ein DNS A-Record auf "vpn.domain.tld", siehe:

• Website Baukasten vs. Webspace oder ein eigener Webserver? und
• eigene öffentliche IP anzeigen - was ist meine IP-Adresse? sowie
• aus dem Internet verfügbar machen: Port-Forwarding - OpenWRT

Server-Rollen

Wer Windows 2022 oder 2025 installiert hat, kann darauf die notwendigen Rollen aktivieren. Für VPN-Zugriff via IKEv2 sind die Rollen "Remote Access" und "Network Policy and Access Services" sowie die Active Directory Zertifikatsdienste erforderlich.

Zertifizierungsstelle (CA) einrichten.

Nachdem die Zertifizierungsstelle eingerichtet ist, wird ein Zertifikat benötigt. Um die Kompatibilität mit IKEv2 sicherzustellen, benötigen wir zunächst eine Vorlage.

Zertifikatsverwaltung: Manage Templates

Als Grundlage für das IKEv2-VPN Zertifikat kopiere ich die IPSec-Vorlage und passe diese wie folgt an:

Zertifikate mit einer Gültigkeit länger als 2 Jahre?

Damit das Zertifikat eine längere Laufzeit als 2 Jahre bekommt, erhöhe ich das maximale Alter von Zertifikaten für die Zertifizierungsstelle auf 10 Jahre:

Befehl in der Eingabeaufforderung:

certutil -setreg ca\ValidityPeriodUnits 10

Zurück in der Zertifikatsverwaltung füge ich das zuvor erstellte Template zu den verfügbaren Zertifikatsvorlagen hinzu:

Zertifikat ausstellen: Request

Auf Basis der zuvor erstellten Vorlage kann über die mmc.exe, Add Snap-In: Zertifikate: Computer: 

Request New Certificate

Als "Common name" verwende ich den zuvor erstellen DNS-Eintrag.

VPN einrichten

VPN-Ports

An dieser Stelle sollten nur die notwendigen VPN-Ports aktiviert werden: am besten alle Ports außer IKEv2.

NPS (Network Policies) - Dienst

Portforwarding

Um VPN-Anfragen über den Router an den Server weiterzuleiten, ist ein Port-Forwarding der UDP-Ports 500 und 4500 auf die IP-Adresse des Servers erforderlich, siehe: aus dem Internet verfügbar machen: Port-Forwarding - OpenWRT

VPN-Client: Voraussetzungen und Konfiguration

Clients, die in der Domäne sind, erhalten automatisch das für die Verbindung notwendige Root-Zertifikat. Für die Verbindung eines Clients ohne Domain-Mitgliedschaft kann das Root-Zertifikat exportiert und am Client eingespielt werden. Für den Export kann am einfachsten das Webservice der Zertifizierungsstelle verwendet werden:

SplitTunnel / Netze

Die folgende Powershell-Zeile teilt dem VPN-Client mit, dass der Internetdatenverkehr direkt und nicht über den VPN-Tunnel aufgerufen werden soll: 

Set-VpnConnection "VPN Connection Name" -SplitTunneling $true
Add-VpnConnectionRoute "VPN Connection Name" 192.168.0.0/16

bestehende VPN-Profile können aus folgenden Pfad exportiert werden: %appdata%\Microsoft\Network\Connections\Pbk

Server: Fehlersuche

Event ID: 7024 The Routing and Remote Access service terminated with the following service-specific error: 
The callback function must be invoked inline. 

Sollte der Network Policy Server (NPS oder IAS) schneller als Routing and Remote Access (RemoteAccess) starten, wird folgendes Event gelistet und der Routing and Remote Access Service startet nicht.

Lösung: Delayed Start für Routing and Remote Access entfernen und für den Network Policy Server hinzufügen (Für NPS sollte Startup type auf Automatic (Delayed Start) gestellt werden: 

Fazit

Dieser Blogeintrag bietet eine Anleitung zur Einrichtung eines sicheren VPN mit IKEv2 auf einem Windows 2022 Server. Es wird erklärt, wie die Serverrollen, Zertifikate und der NPS-Server korrekt konfiguriert werden. Mit einer Schritt-für-Schritt-Beschreibung und hilfreichen Screenshots kann ein stabiler VPN-Dienst problemlos eingerichtet werden.