# Windows RAS & VPN Server: Sicherer Remote-Zugriff für das Enterprise

TL;DR / Management Summary Die Rolle Remote Access (RAS) verwandelt einen Windows Server in ein VPN-Gateway. Wir konzentrieren uns auf IKEv2 (für Stabilität) und Always-On VPN, das den Laptop des Users bereits vor der Anmeldung mit dem Firmennetz verbindet. Ein Senior Admin kombiniert RAS immer mit dem NPS (Network Policy Server), um granulare Zugriffsregeln und MFA (Multi-Faktor-Authentifizierung) durchzusetzen.

# 1. Einführung & Architektur

Der Tunnel ins LAN.

RAS unterstützt verschiedene VPN-Strategien:

  1. IKEv2 / IPsec: Der Goldstandard. Sicher, schnell und nativ in Windows integriert (kein Drittanbieter-Client nötig).
  2. SSTP: Nutzt HTTPS (Port 443). Ideal, wenn der User hinter restriktiven Firewalls (z.B. Hotel) sitzt.
  3. DirectAccess: (Legacy) Der Vorläufer von Always-On VPN. Schwer zu konfigurieren, da IPv6-only Architektur nötig.

# Architektur-Übersicht (Mermaid)

graph LR
    USER[Remote Laptop] -->|Internet| FW[External Firewall]
    FW -->|Port 500/4500| VPN[Windows RAS Server]
    VPN -->|RADIUS| NPS[Network Policy Server]
    NPS -->|Auth| AD[Active Directory]
    VPN -->|Internal| LAN[Internal Apps / Shares]

# 2. Einrichtung in der Praxis

Vom Server zum Gateway.

# Schritt 1: Rolle installieren

Install-WindowsFeature -Name RemoteAccess -IncludeManagementTools
Install-WindowsFeature -Name DirectAccess-VPN -IncludeManagementTools

# Schritt 2: IKEv2 Konfiguration

In der Routing und RAS Konsole:

  1. RAS aktivieren (Benutzerdefinierte Konfiguration -> VPN-Zugriff).
  2. Zertifikat zuweisen (Zwingend erforderlich für IKEv2!).
  3. Statischen IP-Adresspool definieren (Vermeiden Sie DHCP-Relay, um Komplexität zu reduzieren).

# 3. Deep Dive: Always-On VPN (AOVPN)

Einfach immer da.

AOVPN ist der moderne Ersatz für DirectAccess.

# 4. Day-2 Operations: NPS & Richtlinien

Wer darf wann rein?

Der VPN-Server fragt bei jeder Verbindung den NPS (Network Policy Server):

# Multi-Faktor Authentifizierung (MFA)

Integrieren Sie das Azure MFA NPS Extension. Fluss: User gibt Passwort ein -> NPS schickt Request an Azure -> User bestätigt am Handy -> VPN-Tunnel öffnet sich.

# 5. Troubleshooting & “War Stories”

Wenn der Tunnel hakt.

# Top 3 Fehlerbilder

  1. Symptom: Fehler 13801: “IKE-Authentifizierungsanmeldeinformationen sind ungültig”.

    • Ursache: Das Zertifikat auf dem Server hat nicht den korrekten “Enhanced Key Usage” (Server-Authentifizierung) oder der Client vertraut der Root-CA nicht.
    • Lösung: Zertifikatskette prüfen.

  2. Symptom: User können zwar verbinden, aber keine internen Ressourcen pingen.

    • Ursache: IPv4 Routing am RAS-Server ist nicht aktiv oder Firewall blockiert GRE/ESP Protokolle.
    • Lösung: netsh ras ip set routing enabled prüfen.

  3. Symptom: “The remote connection was denied… policy mismatch”.

    • Lösung: Prüfen Sie im NPS die “Netzwerkrichtlinien”. Oft passt der Name des VPN-Port-Typs nicht (SSTP vs IKEv2).

# “War Story”: Der “Double-NAT” Killer

Ein Kunde betrieb seinen RAS-Server in einer Proxmox-VM hinter einer doppelten NAT-Schicht (Internet-Router -> Firewall-VM -> Windows-VM). Das Problem: IKEv2 (IPsec) kam nicht durch, da die NAT-T (NAT-Traversal) Pakete am äußeren Router hängen blieben. Lösung: Wir mussten den Registry-Key AssumeUDPEncapsulationContextOnSendRule = 2 setzen, damit Windows lernt, dass es OK ist, IPsec-Traffic hinter zwei NAT-Routern zu akzeptieren. Lehre: Vermeiden Sie doppeltes NAT für VPN-Endpunkte um jeden Preis!

# 6. Monitoring & Reporting

Audit der Verbindungen.

# Event Log Analyse

Logs finden Sie im System Log mit der Quelle RemoteAccess.

# 7. Fazit & Empfehlung

Windows RAS ist eine kostengünstige, leistungsstarke VPN-Lösung.

# Anhang: Cheatsheet

Aufgabe Befehl
RAS Dienst neustarten Restart-Service RemoteAccess
IP-Pool prüfen netsh ras ip show pool
NPS Logins prüfen C:\Windows\System32\LogFiles\IN*.log
Port Check (IKEv2) UDP 500, UDP 4500

# Referenzen