Falls Sie auch das Problem haben, dass Ihre SSTP VPN Verbindung immer direkt nach dem Herstellen der Verbindung wieder abbricht, hilft wahrscheinlich der in diesem Artikel beschriebene Fix.

In der Vergangenheit habe ich immer wieder Windows VPN Server und Clients eingerichtet. Das von mir bevorzugte VPN Protokoll ist hierbei SSTP, da es aus meiner Sicht einige Vorteile gegenüber den anderen VPN Protokollen bietet:

  • Keine Probleme mit Firewalls oder NAT Konfigurationen, wie das oft bei L2TP/IKEv2 der Fall ist (SSTP verwendet nur TCP Port 443/HTTPS)
  • Hohe Sicherheit und Verschlüsselung mit Server SSL Zertifikat und dementsprechender Vorteil gegenüber PPTP
  • Relativ einfaches Setup des VPN Servers unter Windows

Die einzigen Probleme, die aus meiner Erfahrung bei der Konfiguration des VPN Servers des Öfteren auftreten hängen mit dem verwendeten SSL Zertifikat bzw. dessen Einrichtung für SSTP zusammen. Insbesondere, wenn man das SSL Zertifikat des Servers aktualisiert oder wenn man zuvor auf dem Server bereits einen IIS Server mit SSL aktiv hatte, kann es zu Fehlern kommen, die aber in den meisten Fällen leicht zu beheben sind. Hierbei liegt das Problem vielmals daran, dass entweder noch das falsche SSL Zertifikat an die Schnittstelle gebunden ist oder dass der benötigte SHA256 Hash des Zertifikates in der Registrierung auf dem Server fehlt.

Grundsätzlich sollte man bei VPN Verbindungsfehlern immer die Event-Logs auf dem Server und auf dem Client untersuchen, um mögliche Fehlerursachen zu finden.

Sofern der SHA256 Hash in der Registrierung fehlt, sieht es auf dem Client zunächst so aus, als würde die Verbindung korrekt aufgebaut. Direkt im Anschluss trennt der Client jedoch die Verbindung wieder. Im Event Log findet man dann einen Eintrag, der folgendermaßen aussieht:

Die SSTP-basierte VPN-Verbindung mit dem RAS-Server wurde aufgrund eines Fehlers bei der Sicherheitsprüfung beendet. Die Sicherheitseinstellungen auf dem RAS-Server entsprechen nicht den Einstellungen auf dem Computer. Wenden Sie sich an den Systemadministrator des RAS-Servers, und geben Sie folgende Informationen weiter:

SHA1-Zertifikathash: <sha1hash>
SHA256-Zertifikathash: <sha256hash>

Hierbei wird in der Event-Log Meldung der eigentlich erwartete SHA256 Hash genannt, der noch in der Registrierung auf dem Server eingetragen werden muss. Dies kann mit folgendem Befehl durchgeführt werden:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d <sha256hash> /f

Falls dies doch noch nicht die Lösung des Problems ist, empfehle ich, nochmals zu überprüfen, ob das SSL Zertifikat korrekt an den Adapter gebunden ist. Dies kann man mit folgendem Befehl überprüfen:

netsh show http sslcert

Hierbei sollte das entsprechende Zertifikat für das Interface 0.0.0.0:443 erscheinen (zu erkennen an dem SHA1 Hash).