Azure - Always On VPN: Das Ende von SSTP im Azure VPN Gateway

Microsoft informiert aktuell über eine der relevantesten Änderungen im VPN-Umfeld der letzten Jahre: Die Abschaltung des SSTP-Protokolls im Azure VPN Gateway. Für Unternehmen, die Always On VPN mittels Azure VPN Gateway im Einsatz haben oder den Umstieg planen, hat das spürbare Auswirkungen – aber auch klare Chancen für eine modernere, performante und skalierbare Architektur. 

Was ist SSTP?

SSTP (Secure Socket Tunneling Protocol) war über viele Jahre eine einfache Möglichkeit, VPN-Verbindungen selbst in restriktiven Netzwerken aufzubauen und wurde daher oftmals präferiert für Always On VPN verwendet Microsoft stuft SSTP zunehmend zurück und bestätigt offiziell den vollständigen Retirement-Pfad.  
Die von Microsoft veröffentlichten Termine lauten: 

• 31. März 2026: SSTP kann nicht mehr auf neuen oder bestehenden Gateways aktiviert werden.
• 31. März 2027: Bestehende SSTP-Verbindungen funktionieren endgültig nicht mehr.
  
   

Auswirkungen auf das Always On VPN

Für typische Always-On-VPN-Szenarien fällt das Fazit eindeutig aus: 

Die Abschaltung trifft Unternehmen weniger hart, als man zunächst vermuten könnte. 

SSTP war im Azure VPN Gateway auf eine maximale Session Anzahl begrenzt. Sobald diese überschritten wurde, wurde – sofern konfiguriert- auf IKEv2 umgestellt. Sie sollten dennoch vor dem Retirement prüfen, ob dies auch für Ihre Umgebung gilt. 
 

Wie kann ich prüfen, ob ich betroffen bin? 

Microsoft beschreibt zwei Migrationspfade: 

1.  IKEv2 zusätzlich aktivieren (empfohlener Weg)
   
   Azure erlaubt die Koexistenz von SSTP und IKEv2 auf demselben Gateway. 
   Das bedeutet:
   
   •    bestehende Clients funktionieren weiter
   •    neue Clients können sukzessive auf IKEv2 umgestellt werden
   •    Windows bevorzugt automatisch IKEv2 und fällt nur zurück auf SSTP, solange es verfügbar ist.
   
   Perfekt für einen schrittweisen Rollout ohne Unterbrechung. Microsoft beschreibt in diesem Artikel, wie die Konfiguration überprüft und angepasst werden kann. Bitte beachten Sie bei Änderungen: Diese können Auswirkungen auf Ihre aktiven Clients haben. 
    
2. Wechsel auf OpenVPN
   Eine Alternative zur Umstellung auf IKEv2 ist die Aktivierung von OpenVPN auf dem Azure VPN Gateway. Bitte beachten Sie, hierbei sind weitere Konfigurationen notwendig. Weitere Informationen finden Sie hier:  https://learn.microsoft.com/en-us/azure/vpn-gateway/ikev2-openvpn-from- sstp?tabs=portal#option-2---remove-sstp-and-enable-openvpn-on-the-gateway 
    

Alternativen zum Azure VPN Gateway

Wenn Azure VPN Gateway keine der eigenen Anforderungen erfüllt, sind auch diese Wege möglich: 

• RRAS unter Windows Server (Wichtig: Nicht in Azure VM´s möglich)
• Microsoft Entra Private Access (Zero-Trust-basierte remote-Access-Modernisierung)

Gerade Entra Private Access ist strategisch spannend, um sich vom klassischen VPN zu verabschieden, hin zu Zero Trust. Wenn Sie sich dafür interessieren können Sie sich gerne unsere Videoserie dazu ansehen.

Was Sie jetzt tun sollten

1. Bestehende Gateway-Konfiguration prüfen: 
   Wird bei Ihnen SSTP eingesetzt?
    
2. IKEv2 aktivieren und testen:
   Überprüfen Sie, ob IKEv2 Ihre Anforderungen erfüllt
    
3. Client-Konfigurationen anpassen und migrieren:
   Änderungen lassen sich problemlos mittels Microsoft Intune vornehmen
    
4. Langfristige Architektur überdenken:
   Microsoft Private Access: der SSTP-Ausstieg kann ein sinnvoller Anlass sein, die Struktur insgesamt neu auszurichten. 

Quellen:
SSTP protocol retirement and connections migration - Azure VPN Gateway | Microsoft Learn 
Always On VPN and Azure VPN Gateway SSTP Protocol Retirement | Richard M. Hicks Consulting, Inc.