Username
Password

Video Tutorial

Vuoi diventare un mago del computer? segui le migliori Video Guide del Web
Rispondi Invia Nuova Discussione 
Saturday, 7 October 2006, 10:58
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

[Win2003] Installare e Configurare un Server VPN


In questo tutorial vedremo come configurare opportunamente un Server Windows 2003 affinché possa essere utilizzato come Server VPN. VPN è l'acronimo di Virtual Private Network e grazie a questa tecnologia, è possibile connettersi ad una rete privata (ad esempio la rete aziendale) mediante una rete pubblica, quale ad esempio la rete Internet.

È possibile sfruttare le caratteristiche delle reti VPN in diversi modi. La situazione più comune è quella che prevede l'accesso di un utente remoto alla rete aziendale tramite un tunnel VPN. Questo scenario viene comunemente definito come "Client-to-LAN VPN". Un altro scenario possibile, è quello che prevede l'interconnessione di due o più sedi di una stessa azienda. Questo seconda tipologia di collegamento viene definita "LAN-to-LAN VPN" o "Site-to-Site VPN". In questa prima parte del tutorial vedremo come mettere in piedi una rete VPN di tipo Client-to-LAN.

Per lo scopo, ho immaginato il seguente scenario:



Come si può vedere dallo schema, la rete locale è composta da due Server Windows 2003 e da un numero imprecisato di Client. Un Server è configurato come Domain Controller del dominio visivagroup.lan mentre l'altro è un semplice Server membro del suddetto dominio. Quest'ultimo Server è configurato come Server VPN di accesso remoto e possiede due schede di rete: una connessa alla rete privata (LAN) e l'altra connessa alla rete pubblica (Internet). Il Client remoto è un normalissimo computer con Windows XP Professional SP2 e collegamento Internet attivo.

I protocolli di tunneling supportati dai sistemi Operativi Windows 2000/XP/2003 sono i seguenti:
  • PPTP (Point-to-Point Tunneling Protocol): consente di crittografare i dati utilizzando la crittografia Microsoft Point-to-Point (MPPE)
  • L2TP (Layer Two Tunneling Protocol): consente di crittografare i dati, autenticarli e conservarne l'integrità utilizzando IPSec.
L'utilizzo del protocollo L2TP/IPSec richiede tipicamente un'infrastruttura a chiave pubblica (PKI=Public Key Infrastructure) per l'emissione di certificati digitali al Server VPN e ai Client in modo che il processo di autenticazione IKE (Internet Key Exchange) possa avere luogo. Windows XP, a differenza di Windows 2000 Professional, consente l'utilizzo di una chiave pre-condivisa per l'autenticazione IKE. Questa funzione è molto utile in tutte quelle situazioni nelle quali non sia possibile o non si desideri implementare un'infrastruttura a chiave pubblica. Nel tutorial mostrerò entrambi i sistemi di autenticazione oltre che la più semplice autenticazione basata sul protocollo PPTP; questo significa che vedremo anche come installare una Certification Authority Aziendale e come utilizzare lo snap-in Certificati per richiedere certificati computer per Client e Server VPN.

NOTA IMPORTANTE: Per impostazione predefinita i Client Windows XP SP2 e i Client Windows Vista/Seven, non sono in grado di stabilire un connessione L2TP/IPsec quando sia il Client che il Server sono protetti da un dispositivo NAT. Il motivo di tale impostazione è spiegato dettagliatamente nell'articolo della Knowledge Base 885348.

Per poter stabilire una connessione L2TP/IPSec tra un Client "nattato" ed un Server "nattato", è necessario apportare una semplice modifica al registry dei Client VPN:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK
  2. Per Windows XP posizionarsi sulla seguente chiave di Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\IPsec
  3. Per Windows Vista/Seven posizionarsi sulla seguente chiave di Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PolicyAgent
  4. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD
  5. Nella casella "Nuovo valore #1" digitare AssumeUDPEncapsulationContextOnSendRule, quindi premere INVIO
  6. Fare doppio clic sulla voce AssumeUDPEncapsulationContextOnSendRule
  7. Nella casella Dati valore digitare il valore 2
  8. Scegliere OK e chiudere l'editor di Registro
  9. Riavviare il computer.
Se il Server VPN si trova dietro un Router o un Firewall, è necessario aprire la porta TCP 1723 se si utilizza il protocollo PPTP e le porte UDP 500 e UDP 4500 se si utilizza il protocollo L2TP/IPSec. E' indispensabile, inoltre, che il Router supporti la funzionalità VPN Passthrough.

Se le istruzioni di questo tutorial vi saranno utili in ambito professionale oppure desiderate ricevere supporto da parte dell'autore, non dimenticate di cliccare sul tasto PayPal. E’ anche un modo per dimostrare che apprezzate il lavoro svolto e uno stimolo in più per il continuo miglioramento della qualità dei contenuti del forum.



__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Commenti a questo messaggio
  : Yabadabaduu!
  : Interessante
Wednesday, 11 October 2006, 18:27
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

In questa seconda parte del tutorial dedicato alle VPN, vedremo come configurare una rete VPN di tipo LAN-to-LAN.

Lo scenario che ho immaginato è il seguente:



La società Visiva Group, ha la sua sede principale a Roma e una filiale a Milano. In ciascuna delle due sedi è presente una rete locale. L'obiettivo della società è quello di mettere in comunicazione la rete locale della filiale di Milano, con la rete locale della sede centrale di Roma.

La rete locale della sede di Roma è composta da due Server Windows 2003 e da un numero imprecisato di Client. Un Server è configurato come Domain Controller del dominio visivagroup.lan mentre l'altro è un semplice Server membro del suddetto dominio. Quest'ultimo Server è configurato come Server VPN con connessione a richiesta e possiede due schede di rete: una connessa alla rete privata (LAN) e l'altra connessa alla rete pubblica (Internet).

La rete locale della sede di Milano invece è più piccola e possiede un solo Server Windows 2003 e un numero imprecisato di Client. Il Server è configurato come Server VPN con connessione a richiesta e possiede anch'esso due schede di rete: una connessa alla rete privata e l'altra connessa alla rete pubblica. Quest'ultimo Server non è un Domain Controller ma un Server autonomo.

Anche in questo tutorial utilizzerò inizialmente il protocollo PPTP, per poi passare al più sicuro protocollo L2TP/IPSec a chiave pre-condivisa.

Se le istruzioni di questo tutorial vi saranno utili in ambito professionale oppure desiderate ricevere supporto da parte dell'autore, non dimenticate di cliccare sul tasto PayPal. E’ anche un modo per dimostrare che apprezzate il lavoro svolto e uno stimolo in più per il continuo miglioramento della qualità dei contenuti del forum.



__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Commenti a questo messaggio
  luckyfat: Grazie, molto utile
  : Interessante
Tuesday, 17 October 2006, 15:04
neo_980
 
 Messaggi: n/a

Innanzitutto compliemnti per l'articolo che risultra molto chiaro e di facile comprensione ma purtroppo mi trovo in una situazione diversa da quella esposta, ovvero il mio server Windows 2003 non ha 2 schede di rete ma solamente 1 e la rete interna (4 Pc + 1 Server) vengono tutti gestiti da un solo router Adsl con funzione firewall (USR 9107).

Come posso fare in queato caso ?

Al massimo potrei aggiungere su una seconda sk di rete al server ma posizionando un hub prima del server e quindi cmq in modo differente rispetto allo schema da te indicato

Insomma dall'attuale struttura:

Internet---------- Router/firevall/switch ----------- Server
----------- Clienti 1
----------- Clienti 2
----------- Clienti 3
----------- Clienti 4


Avere una cosa del tipo:

Internet --------------- Router/firevall/switch ----------- Hub----------Server Sk1
---------- Server Sk2
----------- Clienti 1
----------- Clienti 2
----------- Clienti 3
----------- Clienti 4

Ciao e grazie 1000
    Rispondi Citando Rispondi
Tuesday, 17 October 2006, 15:44
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

Grazie e benvenuto!

Per poter utilizzare il Server Windows 2003 come Server VPN, è indispensabile che quest'ultimo disponga almeno di due schede di rete.

La soluzione da te proposta è corretta e se controlli bene, rispecchia esattamente lo schema da me indicato.

Non ho capito però se desideri mettere in piedi una VPN Client-to-LAN o LAN-to-LAN e, cosa più importante, se i client della LAN devono avere accesso alla rete Internet.
__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Tuesday, 17 October 2006, 17:48
neo_980
 
 Messaggi: n/a

In effetti non sono stato molto chiaro

Il mio intendo è di creare una VPN Client-to-LAN dove come lan ho l'ufficio composto attuamente da 4 Pc + 1 Server + 1 Adsl router che funge anche da switch e firewall (è uno USR9107) e come client il mio Pc di casa e quello di alcuni colleghi (tutti con accesso Adsl residenziale).

Ad oggi tuti i client accedono a internet attraverso il router di cui sopra e questo vorrei rimanesse tale (usato sia per IE che per la posta offerta da gestiore esterno in POP3)

Quello che ti dicevo potrei fare causa budget e visto che tutte le porte del router sono occupate, è mettere un hub prima del server e una sk di rete aggiuntiva nello stesso ma in tal casa mi sembra che lo schema sia un po diverso dal tuo nel senso che entrabbe le sk di rete del server si collegherebbero allo stesso hub che a sua volta si collega all'unico router "multifunzione" di cui di parlavo prima.

Spero di essere stato abbastanza chiaro e in caso contrario mi scuso della confusione e rimango a disposizione per ogni chiariemnto.

Ciao e ancora grazie 1000
    Rispondi Citando Rispondi
Tuesday, 17 October 2006, 19:06
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

Quote:
Originariamente inviato da neo_980
mi sembra che lo schema sia un po diverso dal tuo nel senso che entrambe le sk di rete del server si collegherebbero allo stesso hub che a sua volta si collega all'unico router "multifunzione" di cui di parlavo prima.
Questa configurazione non ha senso. Con gli stessi dispositivi e quindi con lo stesso budget (1 scheda di rete aggiuntiva + 1 Hub) puoi realizzare una configurazione identica a quella del mio schema in cui tutti i PC + l'interfaccia di rete privata del Server, sono collegati all'Hub, mentre solo l'interfaccia pubblica del Server viene collegata direttamente al router. Per i client non cambierebbe nulla ovvero continuerebbero a navigare in Internet e ad utilizzare la posta elettronica.

Lato client dovrai solo modificare il Gateway predefinito inserendo l'indirizzo IP dell'interfaccia privata del Server.

Lato Server l'unica variante che devi apportare rispetto alla procedura esposta nel tutorial, è quella di selezionare l'opzione "Accesso VPN e NAT" invece che "Accesso remoto" (vedere foto).

__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Wednesday, 18 October 2006, 11:34
neo_980
 
 Messaggi: n/a



Per problemi fisici di cablaggio ecco cosa dovrei riuscire e fare nei prossimi giorni dopo di chè partiro con la configurazione da te desritta.... pui confermarmi che il tutto ha un senso come struttura di rete ?

Ops, nonriesco ad alelgare ne il file Ppt ne jpeg ne zip....
    Rispondi Citando Rispondi
Wednesday, 18 October 2006, 11:41
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

Quote:
Originariamente inviato da neo_980
Ops, nonriesco ad alelgare ne il file Ppt ne jpeg ne zip....
Mandamelo via e-mail che te lo allego io!

Eccolo!!

Icone Allegate
Clicca sull'immagine per ingrandirla

Nome:  Schema.jpg
Visite: 35681
Dimensione:  32.6 KB
ID: 6713  
__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Wednesday, 18 October 2006, 13:09
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

Ho apportato una piccola modifica al tuo schema eliminando il cavo di collegamento tra Router e Hub.

Come puoi vedere, tutto il traffico DEVE passare per il Server che, in questo caso, fungerà anche da NAT per i computer della LAN.


Icone Allegate
Clicca sull'immagine per ingrandirla

Nome:  Schema1.jpg
Visite: 35698
Dimensione:  32.5 KB
ID: 6705  
__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Wednesday, 18 October 2006, 13:33
SataNik
 Raffaele Fazio
 Staff
 
L'avatar di  SataNik
 
 Località: Serrastretta (CZ)
 Messaggi: 10,655

Non c'e' un hub di troppo ? basta fare:

PC(da 1 a 4) <-> HUB <-> Server <-> Router
__________________


"Se il risultato conferma le ipotesi, allora hai appena fatto una misura, se il risultato è contrario alle ipotesi, allora hai fatto una scoperta."
    Rispondi Citando Rispondi
Wednesday, 18 October 2006, 15:15
glaio
 Roberto
 Utente Appassionato
 
L'avatar di  glaio
 
 Località: Casa mia
 Età: 53
 Messaggi: 1,335

Quote:
Originariamente inviato da SataNik
Non c'e' un hub di troppo ? basta fare:

PC(da 1 a 4) <-> HUB <-> Server <-> Router

Probabilmente da come ha detto, deve avere dei problemi di cablaggio "fisici"..
__________________
A me gli occhi.....



Ciao.
    Rispondi Citando Rispondi
Thursday, 19 October 2006, 17:41
neo_980
 
 Messaggi: n/a

Ebbeni si, ho dovuto aggiungere un secondo hub perchè gli appareti si trovano a differenti piani/locali e non è possibile tirare nuovi cavi se non "a vista".

Per lo stesso motivo non riesco a relizzare lo schema come da modifica di Jarod in quanto non riesco ad eliminare il cavo Route / Hub

Cercando di fami capire meglio la situazione è:

Piano 3: Router/firewall + 1 Hub

Piano 2: 2 Pc collegati direttamente all'Hub del piano 3 con collegamento "diretto"

Piano 1: 1 Pc + Server + hub con 2 accessi che finiscono al piano 3 nel hub (un accesso mi collega server a router e all'altro collego hub a cui collego Pc e la seconda scheda del server)

Laboratorio (distaccato): 1 Pc collegato direttamente all'Hub del piano 3 con collegamento "diretto"

Spero sia chiaro anche se nemmeno io ci capisco + nulla


Mi pare di capire quindi che posso dire addio al server VPN o qualcuno di voi vede una soluzione differente dal rinunciare o chiamare una società a ricablare !?!


Un saluto a tutti e grazie ancora
    Rispondi Citando Rispondi
Thursday, 19 October 2006, 18:23
Jarod
 Giancarlo
 Staff
 
L'avatar di  Jarod
 
 Località: Karalis
 Età: 55
 Messaggi: 4,519

Scusa ma non ho capito per quale motivo non puoi eliminare il cavo di collegamento tra Router e Hub. Tra l'altro i due dispositivi si trovano anche sullo stesso piano.
__________________
Meglio tacere e passare per idiota che parlare e dissipare ogni dubbio. (Abraham Lincoln)
    Rispondi Citando Rispondi
Friday, 20 October 2006, 08:43
neo_980
 
 Messaggi: n/a

Ops, nemmeno io....

Ok, scusate se ho fatto tanto casino per un problema inesistente ma c penso di aver bisogno di un po di ferie

Rete sistemata, ora provo a configurare il tutto

Ciao e grazie
    Rispondi Citando Rispondi
Friday, 20 October 2006, 13:57
neo_980
 
 Messaggi: n/a

Fatto !!

O perlomeno ho seguito tutta la procedura e per ora ho attivato un protocollo PPTP !!
C'è la possibilità di testare il funzionamento dall'interno della rete ??!!

Sapete, abito a 60 Km dall'ufficio e non è molto comodo per fare le prove

Ciao e grazie
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
SkyDiver, C0m4nch3, microzott, Andrea72, taunus, SataNik, JeanBabalan, Pocket, ggigi99, DDAAXX, Duke Nukem, glaio, SkidArh+, giskard, MovX, ElettroGigio, Breakbll, Carambola, Poker, ale105, pavel, ztonino, indio, Jaco, athlon, Morpheus, M3rcur10, lurker1, TrentaCarrini, RomeoKnight, SanK, Ampexv, foul64, revenge, elcobra, Jarod, gattonero, Duilio, Carson, JoeBar, palin, Scarpetta, lupic, ERBA_CATTIVA, S71ng, paopao, seepo, Overhauser, Ssnake, Byte01, kaos, anita, BRAVO 2, bruno1, SatRider, Mr. 'T', Foxes, Blackwolf, Bramins, pappaalfio, ibby, Taglioecucito, starlesseye, GiNo, BRICO, galbori, Skull, m.merlicco, Ricky_lcg, lcr, targetprice, frykky, raulduke84, MarcoPF, paco28, ale82x, titicaca, pierpaolo.casarola, Neles, FelixModena, tenzen, cicciored, elfichero, Francesco12, ValeriOoz, jeegset, tecnoware, alex4988, enniorob, atrebil, luckyfat, Attilio, ericilrosso, vinello, venezia79, daina, Strangy, fsperandeo, gufo73, maranand, rachel, Diabolico, arllappa, egcfer, mcqueen, davide72, Fabry5005, webmuvi, Pepito Sbazzeguti, Luther71, Tabba, shaba, Luca, bortoly, Mig, jtd, dect, tr4ding, bubbinho, darhom
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 65.497.339
Tutti gli Orari sono GMT +1. Attualmente sono le 22:04.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group