How to install VPN with SSTP for RRAS on Windows Server?

 

Install IIS and RRAS:

 

In Server Manager, Manager → Add Roles and Features, check Remote Access and Web Server (IIS).

In Features pane select Remote Server Administration Tools and all submodules and in Remote Access Role Services select DirectAccess, VPN and Routing.

 

Install WACS for LetsEncrypt.

 

https://www.win-acme.com

https://github.com/win-acme/win-acme

 

Run rrasmgmt.msc

Right click server → Configure → Custom Configuration → VPN Access & Demand-dial connections

Start the service.

Right click the server → Properties

IPv4 tab, select static address pool and choose an appropriate IP range for VPN clients (e.g. 192.168.25.40 , 192.168.25.80)

Default Web Site host in IIS has an HTTPS binding, and the Server Name Identification box is UNTICKED! The host used for an SSTP VPN must NOT require SNI.

To get rid of any certificates for the VPN host. In admin terminal:

 

$hostname = "vpn.company.com"

Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match $hostname} | Remove-Item

 

Edit settings_default.json for 4096 bit key size.

C:\WACS\wacs.exe --ocsp-must-staple

Place the certificate in the Personal store explicitly and do ALL additional installation steps.

Doubleclick the .pfx --> import in Personal store

Finally, we can set our RRAS cert to the one we just created:

RRAS properties --> security --> SSTP certificate

LetsEncrypt certificates expire every 3 months, but WACS reschedules updates.

 

Startup RRAS by default on a machine boot:

Run services.msc

Find the Remote Access Connection Manager service, right-click → Properties → Startup type: Automatic

Do not use default gateway on remote network:

Open the Network and Sharing Center, and click into Change adapter settings. Right-click the VPN connection you just created, and select "Properties". Switch to the Networking tab.

Select the Internet Protocol Version 4 (TCP/IPv4) list item, then click the Properties button. Click Advanced, and uncheck Use default gateway on remote network.

 

Troubleshooting:

 

VPN user must be allowed to dial-in:

Run mmc.exe

Add the Local Users and Groups snap-in from the File menu

Click into your user account, then right-click Properties

Dial-in tab, Allow access under Network Access Permission

Network Policy Server must allow VPN connections

If you have NPS enabled, you will have to configure it to allow VPN connections.

Under the NPS snap-in from mmc.exe → Advanced Configuration → Network Policies → Grant access to both policies relating to VPN connections (they are deny by default).

Host machine must be discoverable:

Open up the Network and Sharing Center

Click Advanced sharing settings

Expand the Private and Guest or Public groups, and turn on Network Discovery and File and printer sharing on both.

 

All good?

AWESOME!

 

Lees deze handleiding (en andere) op mijn forumpagina hier:

https://forum.computerbas.nl/viewtopic.php?id=6
    Laatst gewijzigd op 03/03/2023
  Deze server draait Debian 11.6 en Apache 2.4.54
SSL 100% A+ Mozilla A+ Cryptcheck A+ Securityheaders A+ Immuniweb A+ Immuniweb A+ Securityheaders A++ Internet 100% HSTS OK Valid CSS Home Cookie Policy Privacy Policy Facebook Twitter LinkedIn
Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000. Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000. Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000. Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000.