Como configurar um servidor VPN com base no protocolo SSTP (Secure Socket Tunneling Protocol) atrás de um dispositivo NAT no Windows Server 2008

Esse artigo descreve como configurar um servidor VPN com base no protocolo SSTP atrás de um dispositivo de conversão de endereços de rede (NAT) no Windows Server 2008.

O SSTP é um novo tipo de encapsulamento da Rede Virtual Privada (VPN) disponível na função Servidor de roteamento e acesso remoto no Windows Server 2008. O SSTP permite que os pacotes PPP sejam encapsulados através do HTTP. Isso permite que uma conexão VPN seja estabelecida mais facilmente através de um firewall ou de um dispositivo NAT. Além disso, permite que uma conexão VPN seja estabelecida através de um dispositivo de proxy HTTP.

As informações neste artigo podem ser aplicadas a todas as empresas de pequeno e médio porte. Para esses tipos de empresas, é comum ter um endereço IP público atribuído à interface externa de um roteador NAT ou de um dispositivo de gateway. Esse artigo descreve o seguinte cenário:

• Você tem um servidor VPN com base no protocolo SSTP com base no Windows Server 2008.
• O servidor é atribuído a um endereço IP privado.
• O servidor está localizado em uma rede interna atrás do dispositivo NAT.

Visão geral

As informações neste artigo correspondem ao seguinte exemplo de configuração de rede:

• Um dispositivo NAT tem as seguintes atribuições de endereço IP:
  • O seguinte endereço IP público roteado está atribuído à interface externa: 1.2.3.4
  • O seguinte endereço IP privado não roteado está atribuído à interface interna: 192.168.0.1
• Em um servidor DNS que pode ser acessado externamente, o endereço IP público 1.2.3.4 é mapeado para o seguinte nome de domínio totalmente qualificado (FQDN): vpn-1.contoso.com.
• Um servidor de roteamento e acesso remoto com base no Windows Server 2008 têm as seguintes atribuições de endereço IP:
  • Endereço IP: 192.168.0.2
  • Máscara de sub-rede: 255.255.255.0
  • Gateway padrão: 192.168.0.1

Informações sobre a configuração

Aviso O uso incorreto do Editor do Registro, ou outro método, pode causar sérios problemas. Estes problemas talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor de Registro possam ser solucionados. A modificação do Registro é de sua responsabilidade.

Para configurar um servidor VPN com base no protocolo SSTP no cenário descrito na seção "Visão geral", execute as seguintes etapas:

1. Configure o dispositivo NAT para redirecionar o tráfego SSTP da rede externa para o computador com base no Windows Server 2008 que irá atuar como o servidor VPN com base no SSTP. Especificamente, redirecione o tráfego da seguinte maneira:
   • Endereço IP de origem: 1.2.3.4 (a interface externa)
   • Porta de origem: TCP 443
   • Endereço IP de destino: 192.168.0.2 (o endereço IP do servidor de roteamento e acesso remoto)
   • Porta de destino: TCP 443
   Observação Por padrão, o servidor VPN com base no SSTP escuta na porta TCP 443. Entretanto, é possível alterar para outra porta, conforme a sua necessidade. Para obter informações sobre como fazer isso, consulte a etapa 5.
2. Instale um certificado no computador com base no Windows Server 2008. Esse certificado deve ter um nome de entidade (CN) igual ao nome do host ao qual os clientes VPN se conectam. Isso é necessário para que a negociação SSL tenha êxito.
   
   Por exemplo:
   • Se um cliente VPN estiver configurado para se conectar a um endereço IP público do dispositivo NAT (1.2.3.4), o nome da entidade do certificado deverá ser 1.2.3.4.
   • Se um cliente VPN estiver configurado para se conectar ao FQDN (vpn-1.contoso.com), que pode ser acessado publicamente, o nome da entidade do certificado deverá ser vpn-1.contoso.com.
3. Use a ferramenta Gerenciador de Servidores para instalar a função Serviços de acesso e diretiva de rede juntamente com o serviço de função Serviços de roteamento e acesso remoto no computador com base no Windows Server 2008.
4. Após a instalação do serviço de função Serviços de roteamento e acesso remoto, configure o serviço de roteamento e acesso remoto usando o Assistente de serviços de roteamento e acesso remoto.
5. Se você deseja configurar o servidor VPN com base no SSTP para escutar em uma porta que não seja a porta TCP 443, execute as seguintes etapas:
   1. Inicie o Editor do Registro e localize a seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
   2. No painel de detalhes, clique com o botão direito do mouse em ListenerPort e clique em Modificar.
   3. Clique em Decimal, digite um número de porta alternativo como 5000 e clique em OK.
   4. Saia do Editor do Registro e reinicie o serviço de roteamento e acesso remoto.
   Observação Se você alterar o valor ListenerPort, será necessário configurar o dispositivo NAT para encaminhar o tráfego da porta TCP 443 para o novo número de porta que você configurou. Por exemplo, você deve configurar o dispositivo NAT para encaminhar o tráfego recebido na porta TCP 443 para a porta 5000 no servidor VPN com base no SSTP.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: