Windows Server 2003: Installare e Configurare un Server VPN - Parte 1

www.VisivaGroup.it
In questo tutorial vedremo come configurare opportunamente un Server Windows 2003 affinché possa essere utilizzato come Server VPN. VPN è l'acronimo di Virtual Private Network e grazie a questa tecnologia, è possibile connettersi ad una rete privata (ad esempio la rete aziendale) mediante una rete pubblica, quale ad esempio la rete Internet.

È possibile sfruttare le caratteristiche delle reti VPN in diversi modi. La situazione più comune è quella che prevede l'accesso di un utente remoto alla rete aziendale tramite un tunnel VPN. Questo scenario viene comunemente definito come "Client-to-LAN VPN". Un altro scenario possibile, è quello che prevede l'interconnessione di due o più sedi di una stessa azienda. Questo seconda tipologia di collegamento viene definita "LAN-to-LAN VPN" o "Site-to-Site VPN". In questa prima parte del tutorial vedremo come mettere in piedi una rete VPN di tipo Client-to-LAN.

Per lo scopo di questo tutorial, ho immaginato il seguente scenario:

Rete locale composta da due Server Windows 2003 e da un numero imprecisato di Client. Un Server è configurato come Domain Controller del dominio visivagroup.lan mentre l'altro è un semplice Server membro del suddetto dominio. Quest'ultimo Server è configurato come Server VPN di accesso remoto e possiede due schede di rete: una connessa alla rete privata (LAN) e l'altra connessa alla rete pubblica (Internet). Il Client remoto è un normalissimo computer con Windows XP Professional SP2 e collegamento Internet attivo.

I protocolli di tunneling supportati dai sistemi Operativi Windows 2000/XP/2003 sono i seguenti:

- PPTP (Point-to-Point Tunneling Protocol): consente di crittografare i dati utilizzando la crittografia Microsoft Point-to-Point (MPPE)
- L2TP (Layer Two Tunneling Protocol): consente di crittografare i dati, autenticarli e conservarne l'integrità utilizzando IPSec.

L'utilizzo del protocollo L2TP/IPSec richiede tipicamente un'infrastruttura a chiave pubblica (PKI=Public Key Infrastructure) per l'emissione di certificati digitali al Server VPN e ai Client in modo che il processo di autenticazione IKE (Internet Key Exchange) possa avere luogo. Windows XP, a differenza di Windows 2000 Professional, consente l'utilizzo di una chiave pre-condivisa per l'autenticazione IKE. Questa funzione è molto utile in tutte quelle situazioni nelle quali non sia possibile o non si desideri implementare un'infrastruttura a chiave pubblica. Nel tutorial mostrerò entrambi i sistemi di autenticazione oltre che la più semplice autenticazione basata sul protocollo PPTP; questo significa che vedremo anche come installare una Certification Authority Aziendale e come utilizzare lo snap-in Certificati per richiedere certificati computer per Client e Server VPN.

NOTA IMPORTANTE: Per impostazione predefinita i Client Windows XP SP2 e i Client Windows Vista/Seven, non sono in grado di stabilire un connessione L2TP/IPsec quando sia il Client che il Server sono protetti da un dispositivo NAT. Il motivo di tale impostazione è spiegato dettagliatamente nell'articolo della Knowledge Base 885348.

Per poter stabilire una connessione L2TP/IPSec tra un Client "nattato" ed un Server "nattato", è necessario apportare una semplice modifica al registry dei Client VPN:

1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK
2. Per Windows XP posizionarsi sulla seguente chiave di Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\IPsec
3. Per Windows Vista/Seven posizionarsi sulla seguente chiave di Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PolicyAgent
4. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD
5. Nella casella "Nuovo valore #1" digitare AssumeUDPEncapsulationContextOnSendRule, quindi premere INVIO
6. Fare doppio clic sulla voce AssumeUDPEncapsulationContextOnSendRule
7. Nella casella Dati valore digitare il valore 2
8. Scegliere OK e chiudere l'editor di Registro
9. Riavviare il computer.

Se il Server VPN si trova dietro un Router o un Firewall, è necessario aprire la porta TCP 1723 se si utilizza il protocollo PPTP e le porte UDP 500 e UDP 4500 se si utilizza il protocollo L2TP/IPSec. E' indispensabile, inoltre, che il Router supporti la funzionalità VPN Passthrough.