Windows RRAS mit IkeV2, hinter NAT Router - zwei IPs für Provider Failover
Ich habe erfolgreich einen Windows Server 2016 mit Routing und Remote Access für den RRAS VPN Zugang installiert und konfiguriert. Wir authentifizieren unsere VPN-Teilnehmer mit der Authentifizierungsmethode IKEv2 | Benutzerzertifikate. Alle VPN-Teilnehmer verfügen über ein Benutzer-Zertifikat und der Server über ein gültiges Server-Zertifikat. Da sich unser RRAS-Server hinter einem NAT-Router befindet, muss der Betreff des Server-Zertifikats mit der öffentlichen IP-Adresse des NAT-Routers übereinstimmen. (docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee922679(v=ws.10)) . So weit so gut, alle unsere Clients können auf den RRAS-Server zugreifen, sich erfolgreich authentifizieren und per VPN auf unser Netzwerk zugreifen.
Nun hat unser NAT-Router DualWan-Fähigkeiten, wir haben zwei öffentliche IPs von zwei verschiedenen Anbietern, für Failover-Szenarios, für den Fall, wenn unser primärer Anbieter einen Ausfall hat. Meine Frage ist nun, wie kann ich den RRAS-Server so konfigurieren, dass er RRAS-Anfragen von beiden öffentlichen IPs akzeptiert. Wie bereits erwähnt, muss der Betreff des Serverzertifikats die öffentliche IP des NAT-Routers repräsentieren. Ich habe zwei Zertifikate für beide IPs installiert, aber in der NPS-Richtlinie des RRAS-Servers kann ich nur ein Zertifikat für die Serverauthentifizierung auswählen.
Ist es möglich, über NPS Connection Request Policies / Bedingungen zu verschiedenen NPS Policies für jede öffentliche IP zu verweisen und wenn ja, wie, oder gibt es eine Möglichkeit, ein gültiges Zertifikat für beide öffentliche IPs zu erstellen?
Vielen Dank im Voraus für alle Tipps.
Nun hat unser NAT-Router DualWan-Fähigkeiten, wir haben zwei öffentliche IPs von zwei verschiedenen Anbietern, für Failover-Szenarios, für den Fall, wenn unser primärer Anbieter einen Ausfall hat. Meine Frage ist nun, wie kann ich den RRAS-Server so konfigurieren, dass er RRAS-Anfragen von beiden öffentlichen IPs akzeptiert. Wie bereits erwähnt, muss der Betreff des Serverzertifikats die öffentliche IP des NAT-Routers repräsentieren. Ich habe zwei Zertifikate für beide IPs installiert, aber in der NPS-Richtlinie des RRAS-Servers kann ich nur ein Zertifikat für die Serverauthentifizierung auswählen.
Ist es möglich, über NPS Connection Request Policies / Bedingungen zu verschiedenen NPS Policies für jede öffentliche IP zu verweisen und wenn ja, wie, oder gibt es eine Möglichkeit, ein gültiges Zertifikat für beide öffentliche IPs zu erstellen?
Vielen Dank im Voraus für alle Tipps.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 369867
Url: https://administrator.de/forum/windows-rras-mit-ikev2-hinter-nat-router-zwei-ips-fuer-provider-failover-369867.html
Ausgedruckt am: 26.04.2025 um 19:04 Uhr
2 Kommentare
Neuester Kommentar
Wie bereits erwähnt, muss der Betreff des Serverzertifikats die öffentliche IP des NAT-Routers repräsentieren
Nein muss es nicht, stattdessen benutzt du im Server-Zertifikat einen DNS-Namen im Common Name welcher extern und intern auf deine zwei IPs zeigt. (per DNS-Roundrobin). IPs als Commonname zu benutzen macht heute kaum noch einer weil viel zu unflexibel!Alternativ ein externer Loadbalancer mit eindeutigem FQDN für die Clients der je nach Situation auf die eine oder andere umswitcht.
Btw. RRAS? Mach es doch gleich vernünftig und mach den VPN Endpoint am Perimeter mit einer Firewall und bohr dir keine unsicheren Löcher ins interne Netz.
Gruß Schnuffi
Moin..
das ist gruselig....
Frank
Ich habe erfolgreich einen Windows Server 2016 mit Routing und Remote Access für den RRAS VPN Zugang installiert und konfiguriert.
das ist gruselig....
Frank
