Come configurare un server VPN basato su SSTP Secure Socket Tunneling Protocol dietro un dispositivo NAT in Windows Server 2008

In questo articolo viene descritto come configurare un server VPN basato su SSTP Secure Socket Tunneling Protocol dietro una periferica network address translation (NAT) in Windows Server 2008.

SSTP è un nuovo tipo di tunnel VPN (Virtual Private Networking) disponibile nel ruolo del server di accesso remoto di routing e in Windows Server 2008. SSTP consente pacchetti PPP (Point-to-Point Protocol) da incapsulare su HTTP. In questo modo, una connessione VPN per stabilire più facilmente attraverso un firewall o una periferica Network Address Translation (NAT). Inoltre, questo consente una connessione VPN a essere stabilita tramite una periferica di proxy HTTP.

Le informazioni sono in questo articolo è più probabile che applicare a un'organizzazione di piccole o medie dimensioni. Per questi tipi di organizzazioni, in genere affinché un indirizzo IP pubblico assegnato all'interfaccia esterna di un router NAT o di una periferica gateway. In questo articolo viene descritto lo scenario descritto di seguito:

• Si dispone di un server VPN basato su SSTP Secure Socket Tunneling Protocol basati su Windows Server 2008.
• Il server viene assegnato un indirizzo IP privato.
• Il server è situato su una rete interna dietro un dispositivo NAT.

Cenni preliminari

Le informazioni contenute in questo articolo si riferisce a questo esempio configurazione di rete:

• Una periferica NAT include le assegnazioni di indirizzi IP seguenti:
  • L'indirizzo IP instradabile pubblico riportato di seguito viene assegnato all'interfaccia esterna: 1.2.3.4
  • L'indirizzo IP non instradabile privato riportato di seguito viene assegnato all'interfaccia interna: 192.168.0.1
• Su un server DNS accessibile esternamente, il pubblico di indirizzo IP 1.2.3.4 è mappato al seguente nome completo di dominio (FQDN): vpn-1.contoso.com.
• Un server di routing e accesso remoto basato su Windows Server 2008 dispone le assegnazioni di indirizzi IP seguenti:
  • Indirizzo IP: 192.168.0.2
  • Subnet mask: 255.255.255.0
  • Gateway predefinito: 192.168.0.1

Informazioni di configurazione

avviso Può causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Per configurare un server VPN basato su SSTP nello scenario è descritto nella sezione "Panoramica", attenersi alla seguente procedura:

1. Configurare la periferica NAT di reindirizzare il traffico SSTP dalla rete esterna al computer basato su Windows Server 2008 che fungerà da server VPN basato su SSTP. In particolare, reindirizzare il traffico in ingresso come indicato di seguito:
   • Indirizzo IP di origine: 1.2.3.4 (l'interfaccia esterna)
   • Porta di origine: TCP 443
   • Indirizzo IP di destinazione: 192.168.0.2 (l'indirizzo IP del server di routing e accesso remoto)
   • Porta di destinazione: TCP 443
   Nota Per impostazione predefinita, il server VPN basato su SSTP rimane in attesa sulla porta TCP 443. Tuttavia, è possibile modificare questo in un'altra porta, a seconda dei requisiti. Per ulteriori informazioni su come effettuare questa operazione, vedere passaggio 5.
2. Installare un certificato di computer nel computer basato su Windows Server 2008. Questo certificato deve avere nomi soggetto (CN) che corrisponde al nome host a cui connettono i client VPN. Questa operazione è necessaria per la negoziazione SSL abbia esito positivo.
   
   Ad esempio:
   • Se un client VPN è configurato per connettersi all'indirizzo IP pubblico del dispositivo NAT (1.2.3.4), è necessario che il nome del soggetto del certificato necessario 1.2.3.4 .
   • Se un client VPN è configurato per connettersi al nome FQDN (vpn-1.contoso.com) al quale è possibile accedere pubblicamente, è necessario che il nome del soggetto del certificato necessario 1.contoso.com di vpn .
3. Utilizzare lo strumento Server Manager per installare il ruolo di servizi di accesso e criteri di rete insieme con il servizio di ruolo di Routing e servizi di accesso remoto nel computer con Windows Server 2008.
4. Dopo aver installato il servizio di ruolo di Routing e servizi di accesso remoto , configurare il servizio di routing e accesso remoto utilizzando il routing e la configurazione guidata servizi di accesso remoto.
5. Se si desidera configurare il server VPN basato su SSTP per l'ascolto su una porta diversa dalla porta TCP 443, attenersi alla seguente procedura:
   1. Avviare l'editor del Registro di sistema e individuare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
   2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su ListenerPort e quindi fare clic su Modifica .
   3. Fare clic su decimale , digitare un numero di porta alternativa ad esempio 5000 e quindi fare clic su OK .
   4. Chiudere l'editor del Registro di sistema e riavviare il servizio Routing e accesso remoto.
   Nota Se si modifica il valore ListenerPort, è necessario configurare la periferica NAT per inoltrare il traffico della porta 443 TCP al nuovo numero di porta è stato configurato. Ad esempio, è necessario configurare la periferica NAT per inoltrare il traffico in ingresso sulla porta 443 TCP alla porta TCP 5000 sul server VPN basato su SSTP.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato: