Como configurar um servidor VPN baseado no Protocolo SSTP (Secure Socket Tunneling Protocol) atrás de um dispositivo NAT no Windows Server 2008

Este artigo descreve como configurar um servidor VPN baseado no Protocolo SSTP (Secure Socket Tunneling Protocol) atrás de um dispositivo NAT (Network Address Translation) no Windows Server 2008.

O SSTP é um novo tipo de túnel VPN (Virtual Private Networking) disponível na função de Servidor de Encaminhamento e Acesso Remoto no Windows Server 2008. O SSTP permite que pacotes do Protocolo PPP (Point-to-Point Protocol) sejam encapsulados através de HTTP. Isto permite que uma ligação VPN seja estabelecida mais facilmente através de uma firewall ou de um dispositivo NAT (Network Address Translation). Também permite que uma ligação VPN seja estabelecida através de um dispositivo proxy HTTP.

As informações deste artigo poderão aplicar-se especialmente a uma organização de pequena ou média dimensão. Nestes tipos de organizações, é comum ter um endereço IP público atribuído à interface externa de um router NAT ou de um dispositivo de Gateway. Este artigo descreve os seguintes cenários:

• Tem um servidor VPN baseado no Protocolo SSTP (Secure Socket Tunneling Protocol) baseado no Windows Server 2008.
• É atribuído um endereço IP privado ao servidor.
• O servidor encontra-se numa rede interna atrás de um dispositivo NAT.

Descrição geral

As informações contidas neste artigo estão relacionadas com o seguinte exemplo de configuração de rede:

• Um dispositivo NAT tem as seguintes atribuições de endereços IP:
  • O seguinte endereço IP público encaminhável é atribuído à interface externa: 1.2.3.4
  • O seguinte endereço IP privado não encaminhável é atribuído à interface interna: 192.168.0.1
• Num servidor DNS a que possa ter acesso externamente, o endereço IP público 1.2.3.4 é mapeado para o seguinte nome de domínio completamente qualificado (FQDN): vpn-1.contoso.com.
• Um servidor de Encaminhamento e Acesso Remoto baseado no Windows Server 2008 tem as seguintes atribuições de endereços IP:
  • Endereço IP: 192.168.0.2
  • Máscara de sub-rede: 255.255.255.0
  • Gateway predefinido: 192.168.0.1

Informações de configuração

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de Registo ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

Para configurar um servidor VPN baseado em SSTP no cenário descrito na secção "Descrição geral", siga estes passos:

1. Configure o dispositivo NAT para redireccionar tráfego SSTP a partir da rede externa para o computador baseado no Windows Server 2008 que funcionará como o servidor VPN baseado em SSTP. Especificamente, redireccione tráfego de entrada do seguinte modo:
   • Endereço IP de origem: 1.2.3.4 (a interface externa)
   • Porta de origem: TCP 443
   • Endereço IP de destino: 192.168.0.2 (o endereço IP do servidor de Encaminhamento e Acesso Remoto)
   • Porta de destino: TCP 443
   Nota: por predefinição, o servidor VPN baseado em SSTP escuta na porta TCP 443. No entanto, é possível alterar para outra porta, conforme adequado às suas necessidades. Para mais informações sobre como efectuar este procedimento, consulte o passo 5.
2. Instale um certificado de computador no computador baseado no Windows Server 2008. Este certificado tem de ter um nome de requerente (CN) igual ao nome de anfitrião ao qual se ligam os clientes VPN. Isto é necessário para que a negociação SSL tenha êxito.
   
   Por exemplo:
   • Se um cliente VPN estiver configurado para ligar ao endereço IP público do dispositivo NAT (1.2.3.4), o nome do requerente do certificado deverá ser 1.2.3.4.
   • Se um cliente VPN estiver configurado para ligar ao FQDN (vpn-1.contoso.com) ao qual pode ter acesso publicamente, o nome do requerente do certificado deverá ser vpn-1.contoso.com.
3. Utilize a ferramenta Gestor de Servidor para instalar a função Serviços de Política e Acesso de Rede em conjunto com o serviço de função Serviços de Encaminhamento e Acesso Remoto no computador baseado no Windows Server 2008.
4. Após a instalação do serviço de função Serviços de Encaminhamento e Acesso Remoto, configure o serviço Encaminhamento e Acesso Remoto utilizando o Assistente de Serviços de Encaminhamento e Acesso Remoto.
5. Se pretender configurar o servidor VPN baseado em SSTP para escutar numa porta diferente de TCP 443, siga estes passos:
   1. Inicie o Editor de Registo e localize a seguinte subchave de registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
   2. No painel de detalhes, clique com o botão direito do rato em ListenerPort e clique em Modificar.
   3. Clique em Decimal, escreva um número de porta alternativo como 5000 e clique em OK.
   4. Saia do Editor de Registo e reinicie o serviço Encaminhamento e Acesso Remoto.
   Nota: se alterar o valor de ListenerPort, terá de configurar o dispositivo NAT para reencaminhar tráfego da porta TCP 443 para o novo número de porta configurado. Por exemplo, terá de configurar o dispositivo NAT para reencaminhar tráfego de entrada da porta TCP 443 para a porta TCP 5000 no servidor VPN baseado em SSTP.

Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft: