VPN SSTP in Windows Server 2008
Transcript
VPN SSTP in Windows Server 2008
Consulenza Informatica ======================================================================= www.centrosoluzioni.com Introduzione In questa piccola guida viene descritto come configurare un server VPN basato su SSTP Secure Socket Tunneling Protocol dietro un firewall in modalità NAT. Quando un utente su un computer che esegue Windows Server 2008, Windows Server 2008 R2, Windows Vista SP1 o Windows 7 inizia una connessione VPN basata su SSTP i seguenti passaggi vengono eseguiti: 1. L' SSTP client stabilisce una connessione TCP su l' SSTP tra una porta allocata dinamicamente e la porta TCP 443 sul server. 2. L' SSTP client invia un "SSL Client-Hello message", indicando che il client vuole stabilire una connessione VPN con il server. 3. Il server SSTP risponde inviando un certificato di validazione. 4. L' SSTP client valida il certificato , determina un metodo di cifratura per la sessione, genera una chiave e poi la cripta con la chiave pubblica del certificato del server. 5. L' SSTP client spedisce il tutto alla sessione SSTP del server. 6. L'SSTP decripta la sessione con la chiave privata e da questo momento in poi tutte le comunicazione saranno decriptate con il metodo appena negoziato. 7. L' SSTP client spedisce un richiesta "HTTP over SSL" all' SSTP server. 8. L' SSTP negozia un tunnel SSTP. 9. L' SSTP client negozia una connessione PPP con l' SSTP server. Questa negoziazione include le credenziali, il metodo di negoziazione e l'impostaione IPv4. 10. L' SSTP client inizia a generare traffico. Scenario Le informazioni contenute in questa guida si riferiscono al seguente scenario di rete: Il firewall in modalità NAT ha assegnati i seguenti indirizzi: o L'indirizzo IP instradabile pubblico riportato di seguito viene assegnato all'interfaccia esterna: 1.2.3.4 o L'indirizzo IP non instradabile privato riportato di seguito viene assegnato all'interfaccia interna: 192.168.0.1 Su un server DNS accessibile esternamente, il pubblico di indirizzo IP 1.2.3.4 è mappato al seguente nome completo di dominio (FQDN): vpn-1.centroso.com. Un server di routing e accesso remoto basato su Windows Server 2008 dispone le assegnazioni di indirizzi IP seguenti: o Indirizzo IP: 192.168.0.2 o Subnet mask: 255.255.255.0 o Gateway predefinito: 192.168.0.1 www.centrosoluzioni.com Documentazione tecnica Consulenza Informatica ======================================================================= www.centrosoluzioni.com Configurazione Per configurare un server VPN basato su SSTP nello scenario descritto sopra, attenersi alla seguente procedura: 1. Configurare la periferica NAT per reindirizzare il traffico SSTP dalla rete esterna al computer basato su Windows Server 2008 che fungerà da server VPN basato su SSTP. In particolare, reindirizzare il traffico in ingresso come indicato di seguito: o Indirizzo IP di origine: 1.2.3.4 (l'interfaccia esterna) o Porta di origine: TCP 443 o Indirizzo IP di destinazione: 192.168.0.2 (l'indirizzo IP del server di routing e accesso remoto) o Porta di destinazione: TCP 443 Nota Per impostazione predefinita, il server VPN basato su SSTP rimane in attesa sulla porta TCP 443. Tuttavia, è possibile modificare questo in un'altra porta, a seconda dei requisiti. Creare o installare un certificato nel computer basato su Windows Server 2008, questo certificato deve avere nomi soggetto (CN) che corrisponde al nome host a cui si connettono i client VPN. Questa operazione è necessaria affinchè la negoziazione SSL abbia esito positivo. Ad esempio se un client VPN è configurato per connettersi al nome FQDN (vpn-1.centroso.com) al quale è possibile accedere pubblicamente, è necessario che il nome del soggetto del certificato sia vpn-1.centroso.com . 2. Utilizzare lo strumento Server Manager per installare il ruolo di servizi di accesso e criteri di rete insieme con il servizio di ruolo di Routing e servizi di accesso remoto nel computer con Windows Server 2008. 3. Dopo aver installato il servizio di ruolo di Routing e servizi di accesso remoto , configurare il servizio di routing e accesso remoto utilizzando il routing e la configurazione guidata servizi di accesso remoto. 4. Se si desidera configurare il server VPN basato su SSTP per l'ascolto su una porta diversa dalla porta TCP 443, attenersi alla seguente procedura: a. Avviare l'editor del Registro di sistema e individuare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\ b. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su ListenerPort e quindi fare clic su Modifica . c. Fare clic su decimale , digitare un numero di porta alternativa ad esempio 5001 e quindi fare clic suOK . d. Chiudere l'editor del Registro di sistema e riavviare il servizio Routing e accesso remoto. Nota Se si modifica il valore ListenerPort, è necessario configurare la periferica NAT per inoltrare il traffico della porta 443 TCP al nuovo numero di porta è stato configurato. Ad esempio, è necessario configurare la periferica NAT per inoltrare il traffico in ingresso sulla porta 443 TCP alla porta TCP 5000 sul server VPN basato su SSTP. www.centrosoluzioni.com Documentazione tecnica