VPN SSTP in Windows Server 2008

Consulenza Informatica
=======================================================================
www.centrosoluzioni.com
Introduzione
In questa piccola guida viene descritto come configurare un server VPN basato su SSTP Secure Socket Tunneling Protocol dietro un
firewall in modalità NAT.
Quando un utente su un computer che esegue Windows Server 2008, Windows Server 2008 R2, Windows Vista SP1 o Windows 7
inizia una connessione VPN basata su SSTP i seguenti passaggi vengono eseguiti:
1.
L' SSTP client stabilisce una connessione TCP su l' SSTP tra una porta allocata dinamicamente e la porta TCP 443 sul
server.
2.
L' SSTP client invia un "SSL Client-Hello message", indicando che il client vuole stabilire una connessione VPN con il
server.
3.
Il server SSTP risponde inviando un certificato di validazione.
4.
L' SSTP client valida il certificato , determina un metodo di cifratura per la sessione, genera una chiave e poi la cripta con
la chiave pubblica del certificato del server.
5.
L' SSTP client spedisce il tutto alla sessione SSTP del server.
6.
L'SSTP decripta la sessione con la chiave privata e da questo momento in poi tutte le comunicazione saranno decriptate con
il metodo appena negoziato.
7.
L' SSTP client spedisce un richiesta "HTTP over SSL" all' SSTP server.
8.
L' SSTP negozia un tunnel SSTP.
9.
L' SSTP client negozia una connessione PPP con l' SSTP server. Questa negoziazione include le credenziali, il metodo di
negoziazione e l'impostaione IPv4.
10. L' SSTP client inizia a generare traffico.
Scenario
Le informazioni contenute in questa guida si riferiscono al seguente scenario di rete:


Il firewall in modalità NAT ha assegnati i seguenti indirizzi:
o
L'indirizzo IP instradabile pubblico riportato di seguito viene assegnato all'interfaccia esterna: 1.2.3.4
o
L'indirizzo IP non instradabile privato riportato di seguito viene assegnato all'interfaccia interna: 192.168.0.1
Su un server DNS accessibile esternamente, il pubblico di indirizzo IP 1.2.3.4 è mappato al seguente nome completo di
dominio (FQDN): vpn-1.centroso.com.

Un server di routing e accesso remoto basato su Windows Server 2008 dispone le assegnazioni di indirizzi IP seguenti:
o
Indirizzo IP: 192.168.0.2
o
Subnet mask: 255.255.255.0
o
Gateway predefinito: 192.168.0.1
www.centrosoluzioni.com
Documentazione tecnica
Consulenza Informatica
=======================================================================
www.centrosoluzioni.com
Configurazione
Per configurare un server VPN basato su SSTP nello scenario descritto sopra, attenersi alla seguente procedura:
1.
Configurare la periferica NAT per reindirizzare il traffico SSTP dalla rete esterna al computer basato su Windows
Server 2008 che fungerà da server VPN basato su SSTP. In particolare, reindirizzare il traffico in ingresso come
indicato di seguito:
o
Indirizzo IP di origine: 1.2.3.4 (l'interfaccia esterna)
o
Porta di origine: TCP 443
o
Indirizzo IP di destinazione: 192.168.0.2 (l'indirizzo IP del server di routing e accesso remoto)
o
Porta di destinazione: TCP 443
Nota Per impostazione predefinita, il server VPN basato su SSTP rimane in attesa sulla porta TCP 443. Tuttavia, è
possibile modificare questo in un'altra porta, a seconda dei requisiti.
Creare o installare un certificato nel computer basato su Windows Server 2008, questo certificato deve avere nomi
soggetto (CN) che corrisponde al nome host a cui si connettono i client VPN. Questa operazione è necessaria affinchè
la negoziazione SSL abbia esito positivo.
Ad esempio se un client VPN è configurato per connettersi al nome FQDN (vpn-1.centroso.com) al quale è possibile
accedere pubblicamente, è necessario che il nome del soggetto del certificato sia vpn-1.centroso.com .
2.
Utilizzare lo strumento Server Manager per installare il ruolo di servizi di accesso e criteri di rete insieme con il
servizio di ruolo di Routing e servizi di accesso remoto nel computer con Windows Server 2008.
3.
Dopo aver installato il servizio di ruolo di Routing e servizi di accesso remoto , configurare il servizio di routing e
accesso remoto utilizzando il routing e la configurazione guidata servizi di accesso remoto.
4.
Se si desidera configurare il server VPN basato su SSTP per l'ascolto su una porta diversa dalla porta TCP 443,
attenersi alla seguente procedura:
a.
Avviare l'editor del Registro di sistema e individuare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
b. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su ListenerPort e quindi fare clic
su Modifica .
c.
Fare clic su decimale , digitare un numero di porta alternativa ad esempio 5001 e quindi fare clic suOK .
d.
Chiudere l'editor del Registro di sistema e riavviare il servizio Routing e accesso remoto.
Nota Se si modifica il valore ListenerPort, è necessario configurare la periferica NAT per inoltrare il traffico della porta
443 TCP al nuovo numero di porta è stato configurato. Ad esempio, è necessario configurare la periferica NAT per
inoltrare il traffico in ingresso sulla porta 443 TCP alla porta TCP 5000 sul server VPN basato su SSTP.
www.centrosoluzioni.com
Documentazione tecnica