Configure L2TP/IPsec in Windows Server 2012 R2

Onlangs bracht Apple iOS 10 uit voor de iPad en iPhone en macOS Sierra voor de Macbook en iMac. Na de installatie van deze update’s constateerden we dat het maken van een PPTP-tunnel niet meer mogelijk is. Na wat zoekwerk kwamen we uit op een ondersteuningspagina van Apple: https://support.apple.com/nl-nl/HT206844, met de volgende mededeling:


Wees voorbereid op de verwijdering van VPN met PPTP voordat u een upgrade naar iOS 10 en macOS Sierra uitvoert
Systeembeheerders die willen upgraden naar iOS 10 en macOS Sierra moeten stoppen met het gebruiken van PPTP-verbindingen voor VPN. Lees hier over de alternatieven die u kunt gebruiken om uw gegevens te beschermen.

Configure L2TP over IPsec Windows Server 2012 R2.png
Waar komt PPTP vandaan?
Het gebruik maken van een VPN-verbinding met het PPTP-protocol (Point-to-Point Tunnelling Protocol), is één van de meest gebruikte type VPN. Dit protocol komt uit 1995. Het is het eerste protocol die door Microsoft werd ondersteund, en wordt nog steeds door de meeste apparatuur ondersteund die gebruik maken van VPN-verbindingen. Vanaf Windows 95 is een PPTP-client standaard geïntegreerd in het Windows-besturingssysteem. In 1997 kwam Linux ook met de ondersteuning voor het PPTP-protocol. Genoeg geschiedenis.

Waarom blokkeert Apple PPTP?
Als we kijken naar de algemene veiligheid op het internet, is het van Apple een logische stap om een blokkade op te werpen voor PPTP. In de zojuist genoemde ondersteuningspagina van Apple, hekelt Apple de veiligheid van PPTP, waarbij Apple de kern van de zaak raakt. PPTP is vrij eenvoudig te configureren. Zo eenvoudig als het te configureren is, is het voor iemand met de juiste technische kennis eenvoudig om de authenticatie te kraken en al het netwerkverkeer te ‘sniffen’. Al langere tijd staat de veiligheid van PPTP ter discussie. Apple heeft als toonaangevend merk als eerste het initiatief genomen om PPTP te blokkeren op haar apparaten. De verwachting is dat de komende tijd meer bedrijven met een PPTP blokkade komen op hun apparatuur. Er moet worden gezocht naar een alternatief en veilig VPN-protocol.

L2TP over IPsec

Hét alternatief voor PPTP is L2TP over IPsec. Dit protocol werd gelanceerd in 1999 en werd als de nieuwe standaard voorgesteld. Het vindt zijn oorsprong in L2F(Cisco) en PPTP(Microsoft).

Voordelen: L2TP
In L2TP is, ten opzichte van, PPTP de veiligheid beter gewaarborgd. Het ondersteund de volgende encryptie algoritmen: (AES) 256, AES 192, AES 128, en 3DES. Het verkeer wat over de tunnel wordt getransporteerd wordt daardoor beveiligd tegen wijzigen. Er is encryptie aanwezig in het authenticatieproces . Het maakt gebruik van het UDP-protocol om de data snel te kunnen transporteren over de tunnel en is daarmee redelijk eenvoudig te configureren in de meeste firewalls.

Nadelen: L2TP
L2TP is moeilijker te configureren als er gebruik wordt gemaakt van certificaten. De verbeterde beveiliging zorgt voor hoger CPU-verbruik. In Windows Server 2008 is er een registerwijziging nodig om L2TP werkend te krijgen, evenals op de Windows-client waar vandaag de L2TP-tunnel wordt opgebouwd. Eén van de meest voorkomende fouten met L2TP is dat de authenticatiesleutels niet overeenkomen. Als er gebruik wordt gemaakt van de authenticatiesleutel, moet bij het wijzigen hiervan de wijziging aan server en cliënt kant worden doorgevoerd.

Configureer L2TP over IPsec in Windows Server 2012

Installeer de Remote Access role volgende deze pagina: Configureer VPN in Windows Server 2012 R2. Zorg er daarna voor dat op de firewall de onderstaande poorten worden opengezet en dat ze in de NAT-regels worden geforward naar de VPN-server:

  • UDP 500, voor Internet Key Exchange (IKE).
  • UDP 4500, dit laat IPsec Network Address Translation (NAT-T) toe.
  • UDP 1701 voor L2TP verkeer.
  1. Open Routing and Remote Access.

Configureer L2TP in Windows Server 2012

  1. Klik met de rechtermuisknop op de servernaam. Navigeer in het dialoogvenster naar het tabblad Security, zet een vinkje bij Allow custom IPsec policy for L2TP/IKEv2 connection. En voer vervolgens een authenticatiesleutel in. Klik op OK.

Configureer L2TP in Windows Server 2012 R2

  1. Controleer vervolgens bij Ports of er genoeg L2TP poorten beschikbaar zijn. Als dit niet het geval is, klik met de rechtermuisknop op Ports en kies voor Properties. In het dialoogvenster wordt vervolgens weergegeven hoeveel poorten er zijn gereserveerd per protocol. Klik op L2TP en kies voor Configure. Voer vervolgens de hoeveelheid poorten gelijk aan hoeveel gebruikers tegelijkertijd een VPN-verbinding mogen opzetten (Standaard 128).

Configureer L2TP Windows Server 2012 R2

Standaard wordt in de Windows Firewall in Windows Server 2012 L2TP verkeer toegelaten. Daar zijn dus geen wijzigingen voor nodig.

Configureer L2TP over IPsec in Windows 10

Nu moet op de cliënt, in dit geval op een Windows 10 machine. De VPN-tunnel worden geconfigureerd.

  1. Open het Configuratiescherm en ga naar het Netwerkcentrum. Klik vervolgens op Een nieuwe verbinding of een nieuw netwerk instellen.

Configureer L2TP over IPsec in Windows 10

  1. Kies vervolgens voor Verbinding met een bedrijfsnetwerk maken. Klik daarna op Volgende. Kies in het volgende dialoogvenster voor Mijn internetverbinding (VPN) gebruiken.

Configure L2TP over IPsec in Windows 10

  1. Voer vervolgens het IP-adres/hostname in van het netwerk waar naartoe de VPN-verbinding moet worden opgebouwd. Klik daarna op Maken.

Configureer L2TP over IPsec in Windows 10

  1. Er is nu een nieuwe netwerkverbinding aangemaakt. Ga in het netwerkcentrum naar Adapterinstellingen wijzigen. Klik vervolgens met de rechtermuisknop op de zojuist aangemaakte VPN-verbinding. Ga vervolgens naar het tabblad Beveiliging. Kies bij Type VPN voor L2TP/IPsec (Layer 2 Tunneling Protocol met IPsec).

Configure L2TP over IPsec in Windows 10 L2TP

  • Klik vervolgens op Geavanceerde instellingen en voer de authenticatiesleutel in die ook op de server is ingevoerd. Klik daarna 2x op Ok.

Configure L2TP over IPsec in Windows 10 authentication

Om de tunnel succesvol op te kunnen bouwen, moeten deze sleutels met elkaar overeenkomen.

Standaard ondersteund Windows geen L2TP naar een server die achter NAT staat… Hierover laat ik Microsoft zelf het woord: https://support.microsoft.com/nl-nl/kb/926179. Als nu een poging wordt gedaan om de tunnel online te krijgen, wordt de onderstaande foutmelding zichtbaar:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine wich device may be causing the problem.

The network connection between your computer and the vpn server could not be established windows 10.png

Om dit op te lossen moet er een wijziging in het register worden doorgevoerd, de onderstaande waarde moet worden aangepast:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]

"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Herstart de computer om de wijziging door te voeren. Daarna kan er succesvol een VPN-tunnel opgebouwd worden naar de VPN-server.

Configure L2TP over IPsec in Windows 10 regestry

L2TP over IPsec toevoegen met Powershell

Onlangs heb ik een Powershell script gemaakt om L2TP over IPsec VPN toe te voegen. Dit script maakt gebruik van de ‘Add-VpnConnection’ cmdlet en is beschikbaar vanaf Windows 8.1. 

L2TP over IPsec Powershell script

Heb je wat aan dit artikel gehad of heb je nog vragen laat gerust een reactie achter.

https://i0.wp.com/windowstechblog.nl/wp-content/uploads/2016/11/Windows-Server-2012-R2-configureer-L2TP-over-IPsec.png?fit=300%2C200&ssl=1https://i0.wp.com/windowstechblog.nl/wp-content/uploads/2016/11/Windows-Server-2012-R2-configureer-L2TP-over-IPsec.png?resize=150%2C150&ssl=1Martien van DijkWindows Server 2012VPN,Windows Server 2012 R2Configure L2TP/IPsec in Windows Server 2012 R2 Onlangs bracht Apple iOS 10 uit voor de iPad en iPhone en macOS Sierra voor de Macbook en iMac. Na de installatie van deze update's constateerden we dat het maken van een PPTP-tunnel niet meer mogelijk is. Na wat zoekwerk kwamen we uit op...it's all about Microsoft