VPN in Windows XP – Versione 2

Una Virtual Private Network (VPN) collega i computer esterni alla rete locale e cripta i dati. Internet funge da mezzo di trasporto. Se si è connessi alla VPN, si agisce come se si fosse nella …

VPN in Windows XP – Versione 2

  1. Rivista
  2. »
  3. Articolo
  4. »
  5. Rete
  6. »
  7. VPN in Windows XP – Versione 2

Una Virtual Private Network (VPN) collega i computer esterni alla rete locale e cripta i dati. Internet funge da mezzo di trasporto. Se si è connessi alla VPN, si agisce come se si fosse nella rete locale. Questa tecnologia è quindi adatta per l’accesso alla propria LAN o per i giochi multiplayer che consentono l’utilizzo solo all’interno di una LAN.

Questo articolo descrive brevemente come impostare una VPN sul lato server e client in Windows XP. Altre procedure possono essere applicate ad altri sistemi operativi.

La tecnologia

Come già descritto nella prefazione, un computer che si connette alla LAN (Local Area Network) tramite VPN viene trattato come un altro computer della LAN locale. Se l’utente ha a disposizione delle condivisioni, queste possono essere utilizzate, così come stampanti condivise, ecc. Dopo aver effettuato la connessione, ogni utente VPN riceve un indirizzo IP dallo spazio degli indirizzi della rete locale. Ciò significa che ora è possibile giocare in multiplayer a giochi che in precedenza erano giocabili solo nella LAN locale.

Il protocollo VPN PPTP (Point to Point Tunneling Protocol) necessario per la connessione VPN viene installato direttamente in Windows XP. Non ci occuperemo qui di soluzioni tramite “L2TP over IPSec”.

Sul lato client, la connessione è impostata come qualsiasi altra connessione dial-up.

Sul lato server (dove si desidera collegarsi), invece, deve essere in funzione un server VPN. Windows 2000, così come Windows XP Home e la versione Professional, offrono già un server VPN integrato. Tuttavia, questo consente solo una connessione alla volta. Se avete bisogno di più connessioni, dovete acquistare un“vero” server (Windows 2003) o un router con un server VPN integrato. Draytek, ad esempio, vende dispositivi di questo tipo.

Per il nostro scopo, tuttavia, la fornitura è sufficiente.

Sicurezza

La VPN in Windows XP utilizza come protocollo predefinito PPTP. L’ultima versione di questo protocollo offre una crittografia a 128 bit ed è sufficientemente sicura con password sufficientemente lunghe. Il protocollo più moderno IPsec offre una maggiore sicurezza, ma non è supportato da tutti i sistemi operativi.

Se volete saperne di più sulle VPN in ambiente Windows, date un’occhiata all'”Infobook of Microsoft VPN with Windows 2003 – an overview” gratuito. Questo libro bianco fornisce una panoramica delle tecnologie VPN supportate da Windows Server 2003 e Windows XP. Descrive le caratteristiche dei due sistemi operativi che facilitano la gestione delle connessioni VPN nelle reti aziendali e fornisce informazioni di base sui due standard di settore Point-to-Point Tunneling Protocol (PPTP) e Layer-Two Tunneling Protocol with Internet Protocol Security (L2TP/IPSec).

Configurazione sul lato server

Per prima cosa esaminiamo il lato server, ossia il computer su cui avviene la connessione.

Per prima cosa è necessario impostare una nuova connessione in entrata. A tale scopo, andate su “Connessioni di rete” nel “Pannello di controllo” e selezionate“Crea nuova connessione“.

Ab.1 Creare una nuova connessione sul server

Confermate la seguente procedura guidata con Continua e poi selezionate“Imposta una connessione estesa“.

Ab.2 Connessione estesa

Di seguito, selezionare“Consenti connessione in entrata“.

Ab.3 Connessione in entrata

La selezione dei dispositivi che segue deve essere ignorata, poiché la connessione online esistente viene effettuata tramite l’indirizzo IP o un nome di dominio che viene reindirizzato al proprio computer da servizi come http://www.dyn.com/.

Come automatizzare e impostare tale reindirizzamento è stato descritto in dettaglio da Konrad Priemer nel suo articolo “Dynamic DNS Update for the Local Homepage”.

La finestra di dialogo successiva chiede se si desidera consentire le connessioni VPN, che si attiva tramite il pulsante di opzione.

Ab.4

Affinché l’utente che stabilisce la connessione VPN dall’esterno possa accedere alla rete locale, deve essere conosciuto come utente del sistema locale. Nel nostro esempio, l’utente è ancora assente.

From.5 Select user

È quindi possibile creare un nuovo utente tramite il pulsante “Aggiungi”.

Ab.6 Crea utente

L’ospite esterno dovrà accedere in seguito con questi dati. Per motivi di sicurezza, non si deve scegliere una password troppo facile.

Ab.7 Crea utente

Ora abbiamo creato e attivato l’utente VPN (come nome dell’account).

Nella fase successiva, definiamo le impostazioni per la rete. È necessario attivare il protocollo TCP/IP, il client per le reti Microsoft e (se lo si desidera) la condivisione di file e stampanti per le reti Microsoft.

Ab.8 Protocolli e indirizzo IP

Potrebbe essere necessario modificare la voce Protocollo Internet (TCP/IP) in “Proprietà”.

Da.9 Protocolli e indirizzo IP

L’accesso alla rete (sopra) è solitamente attivato per impostazione predefinita.

Se l’indirizzo TCP/IP del computer ospite viene assegnato automaticamente tramite DHCP o manualmente dipende dalle specifiche della rete locale. La cosa più importante è che entrambi i computer si trovino poi nella stessa sottorete (cioè 192.168.x.Y, cioè l’indirizzo IP deve essere identico su entrambi i computer tranne che per la Y).

Se i due computer non si vedono dopo il test successivo, questa potrebbe essere la causa dell’errore. In questo caso, accedere al prompt dei comandi (Start -> Esegui -> CMD) e controllare l’indirizzo IP del computer con IPCONFIG. Se è ad esempio 192.168.1.x, è possibile anche selezionare manualmente un intervallo di indirizzi da 192.168.1.x a 192.168.1.255.

Ab.10 DHCP e indirizzo IP

Questo completa la configurazione sul lato server.

Una nuova icona sotto le connessioni di rete indica che le connessioni in entrata sono attivate. Se un computer stabilisce la connessione, il nome dell’account viene visualizzato proprio qui.

Ab.11 Connessione in entrata attivata

Impostazione del client

Sul lato client, l’impostazione della connessione VPN al server VPN è relativamente semplice.

Anche per Windows 95 e Windows 98 è possibile stabilire una connessione con il server VPN. È sufficiente l’aggiornamento 1.4 per la rete telefonica (Microsoft Windows 98 Dial-Up Networking 1.4) e l’accesso tramite la rete telefonica.

Per Windows 2000 e XP, impostare il contatto con il server VPN come segue:
In “Connessioni di rete” nel “Pannello di controllo” fare clic su“Crea nuova connessione” e selezionare“Connetti alla rete del lavoro” nella seguente procedura guidata.

Ab.12 Nuova connessione sul client

Nella finestra di dialogo successiva, selezionare la connessione VPN.

Ab.13 Connessione VPN

Ora date un nome alla connessione.

Ab.14 Connessione VPN

Infine, la procedura guidata vuole conoscere l’accessibilità del server VPN. Qui si inserisce il nome di reindirizzamento del servizio DYNDNS (vedere Impostazione) o l’indirizzo IP corrente dell’interlocutore con il server VPN. Poiché di solito questo indirizzo cambia a ogni connessione, è necessario inserirlo di nuovo per ogni connessione (vedere “Contatti” di seguito).

Ab.15 Destinazione della connessione

La procedura guidata può ora rendere la connessione disponibile a tutti gli utenti o solo all’utente corrente, e infine può anche creare un collegamento sul desktop.

From.16 For all or one

Contatto

Scoprire l’IP del server

Se il server VPN utilizza una comune connessione dial-up come DSL o ISDN, il server deve prima stabilire una connessione a Internet. A questo punto, l'”ospite” deve essere informato dell’indirizzo IP corrente del server per telefono o per e-mail, ICQ ecc. in modo che anche l’ospite possa indirizzarlo. È possibile conoscere l’indirizzo IP corrente tramite il comando ipconfig dal prompt dei comandi (Start -> Esegui: cmd -> ipconfig). Se necessario, vengono visualizzati diversi IP. Un IP che inizia con 192.x è sempre l’IP del computer locale e non quello del provider Internet. È quindi necessario comunicare all’ospite l’IP del provider Internet.

Un modo più elegante è quello di utilizzare un cosiddetto servizio DYNDNS. Con l’aiuto di strumenti come DirectUpdate, questi servizi vengono sempre informati automaticamente dell’IP corrente del computer. Il computer stesso è sempre accessibile tramite il servizio DYNDNS con lo stesso nome, come nell’esempio testrechner.homedns.org.

Konrad Priemer ha descritto in dettaglio come automatizzare e impostare tale reindirizzamento nel suo articolo “Dynamic DNS update for the local homepage”. Il modo in cui si utilizza un servizio DYNDNS ha il vantaggio che l’ospite può lasciare sempre lo stesso nome nella connessione VPN come destinazione e non deve sempre determinare prima l’IP.

Sul lato client

Come illustrato in precedenza, il client necessita innanzitutto dell’IP del computer di destinazione. Se questo è disponibile o il percorso tramite un nome DYNDNS è risolto, il processo può iniziare.

Innanzitutto, viene stabilita una connessione a Internet.

Facendo doppio clic sulla connessione VPN creata in precedenza, verranno richiesti il nome utente e la password. Qui sono richieste le informazioni che sono state impostate anche sul server.

Ab.17 Dati di accesso al server

Se dovete ancora inserire l’indirizzo IP del server, fate clic su Proprietà.

Ab.18 Accessibilità del server

In Generale si trova nuovamente il campo con i dettagli del computer host. Se avete ricevuto il nuovo IP dal server, inseritelo qui. A proposito, in Rete si deve impostare come protocollo “PPTP-VPN”.

Ab.19 Protocollo

Se la connessione viene stabilita senza errori, sul lato server appare una nuova icona in Connessioni di rete, che mostra l’utente selezionato.

From.20 Contact

Tramite il menu contestuale delle icone, è possibile scollegare la connessione sul lato server o interrogare le informazioni sullo stato.

Ab.21 Informazioni sullo stato

Connessione OK, e ora?

Se la connessione VPN è stata stabilita con successo, il “guest” riceve un indirizzo IP dallo spazio indirizzi del server. In effetti, entrambi i computer si trovano ora nella stessa rete locale. Se le condivisioni di file sono visibili all’utente connesso, quest’ultimo può accedervi anche attraverso l’ambiente di rete.

Se il client o il server avviano un gioco che può essere giocato nella rete locale tramite TCP/IP, entrambi i computer dovrebbero essere visibili anche qui.

Accesso al computer remoto

Idealmente, entrambi i computer dovrebbero far parte dello stesso gruppo di lavoro. Il computer remoto di solito non appare direttamente nell’ambiente di rete perché i dati di trasmissione necessari non vengono trasmessi tramite VPN. Tuttavia, è possibile indirizzare il computer remoto con percorsi UNC attraverso la riga dell’indirizzo in Risorse del computer/Explorer tramite \IPAddress o \IPAddressShare, ad esempio \192.168.1.11Documents. In alternativa, è possibile utilizzare il nome del computer al posto dell’IP.
È possibile collegare anche unità di rete. Anche in questo caso vengono specificate tramite percorsi UNC.

Controllo remoto

Un campo di attività completamente diverso è il controllo remoto del server. Dopo aver stabilito una connessione VPN al server, quest’ultimo può essere controllato completamente a distanza tramite il programma“Remote Desktop Connection“. L’articolo Controllo remoto di Windows XP di PCDMicha descrive in dettaglio come funziona e quali sono gli aspetti da tenere in considerazione.

Problemi dovuti al firewall o al router

Un firewall o un router (software) sono spesso un problema di connessioni VPN non riuscite. Affinché la connessione funzioni senza problemi, il firewall o il router (software) deve essere in grado di consentire le connessioni VPN ai client e al server. I client non sono un problema. In genere non sono necessarie release speciali. Microsoft descrive nell’articolo KB 314076 quali porte devono essere aperte:

Per il PPTP, la porta 1723 TCP è sufficiente sul lato server, vale a dire che questa porta deve essere passata al server VPN.

Tuttavia, la connessione non funziona con tutti i router. Affinché il server VPN dietro il router sia accessibile, il router deve inoltrare le connessioni PPTP in entrata alla rete locale (port forwarding) o il firewall deve lasciarle passare. Tuttavia, il PPTP non utilizza TCP/UDP ma GRE (Generic Routing Encapsulation) come protocollo di trasporto (protocollo numero 47). Non tutti i router sono in grado di inoltrarlo a un server VPN. Molti produttori intendono per capacità VPN solo che il router può connettersi a un server VPN, ma non funziona davanti a un server VPN.

Il problema è quindi il router/firewall davanti al server VPN. O il protocollo GRE per il computer server deve essere inoltrato anche qui o il computer deve essere completamente esentato dal firewall (o dal router) (di solito chiamato DMZ, anche se è più un host esposto). La seconda soluzione, tuttavia, rende il computer vulnerabile a tutti gli attacchi provenienti dall’esterno e dovrebbe quindi essere solo una soluzione di emergenza.

Un server VPN funziona senza problemi sui router Vigor di Draytek o sul Fritz-Fon-Box DSL, ad esempio. Alcuni tipi di router offrono addirittura un server VPN integrato, che può essere disattivato a favore del server VPN di Windows.

Con altri produttori, l’unica cosa che può essere utile è la prova e l’errore: È possibile inoltrare il protocollo GRE al server VPN specificando il suo numero di protocollo IP 47. Per il firewall Kerio, ad esempio, GRE può essere aggiunto tramite “Avanzate” -> Protocollo “Altro” e “Numero di protocollo 47”.

Utilizzando il Fritz-Fon-Box DSL come esempio, ecco le azioni corrette (contrassegnate in giallo):

Ab.23 La porta 1723 è inoltrata al server VPN 192.168.1.11 e GRE è aperto per questo computer
.

Windows Firewall dal Service Pack 2

Il firewall incluso nel Service Pack si imposta automaticamente quando viene creato un server VPN e di solito non deve essere configurato ulteriormente. Le impostazioni si trovano in Windows Firewall – > Avanzate -> Impostazioni [della connessione di rete utilizzata] (ad esempio, la connessione LAN standard). Windows apre qui le porte corrette per PPTP e L2TP. Se si utilizza solo il PPTP, è possibile disattivare gli altri due servizi server.

Ab.24 Condivisioni per i servizi impostati dal firewall di Windows

Un’altra cosa da notare è l’attivazione di “Consenti richieste di eco in entrata” nella scheda ICMP. Questo facilita la risoluzione dei problemi o la diagnosi, poiché altrimenti il computer server non risponde alle richieste di ping.

Ab.25 Consenti richieste di eco sul server

Non utilizzare le stesse reti IP

Come descritto in precedenza, il client riceve un altro IP dal server ed è quindi incluso nella rete remota. Il problema sorge se il client si trova già localmente nello stesso spazio di indirizzi IP della rete remota. Se il client si trova nella rete 192.168.1.x e si collega tramite VPN a una rete che utilizza anch’essa questo spazio di indirizzi, la connessione VPN non funziona perché i pacchetti vengono inviati solo localmente. Occorre quindi assicurarsi che i computer utilizzino localmente altri spazi di indirizzi IP. Chi utilizza un server DHCP tramite software o router deve quindi cambiare lo spazio degli indirizzi.

Un altro problema si verifica quando si utilizza la condivisione della connessione a Internet. In questo caso, XP assegna automaticamente gli indirizzi della rete 192.168.0.x. Se entrambe le parti utilizzano questo spazio di indirizzi, è necessario modificarlo da una parte. Se entrambe le parti utilizzano la condivisione della connessione a Internet, purtroppo non conosciamo alcun modo per Windows 2000 e successivi.

La connessione a Internet non funziona più quando si utilizza una VPN

Se un PC client è collegato a un server VPN tramite VPN, la connessione a Internet sembra non funzionare più.
Il motivo è che il server VPN si configura come un nuovo gateway e il traffico IP viene inviato nel tunnel VPN.
Tuttavia, è possibile disattivare facilmente questo comportamento.
Nell’area “Connessioni di rete”, selezionate le proprietà della connessione VPN, passate alla scheda “Rete” e selezionate le proprietà del protocollo Internet. Sempre in “Avanzate”, c’è una casella di controllo su Generale chiamata“Usa gateway predefinito per la rete remota“. Se questa opzione è disattivata, l’accesso a Internet funziona come di consueto.

Ab.26 Disattiva gateway

Connessioni multiple, Windows Server

Se avete bisogno di più di una connessione VPN, dovete affidarvi a un aiuto esterno. In questo caso si può utilizzare un vero server Windows 2003 (anche SBS) o un’installazione Linux.

Microsoft descrive nell’articolo 323441 come impostare un server VPN in Windows 2003 Server.

Secondo l’esperienza della comunità, sono stati ottenuti ottimi risultati con FLi4L. Il router Linux gratuito viene fornito su un dischetto avviabile e necessita solo di un vecchio computer 486 per svolgere tutte le attività di routing e quindi anche quelle di un server VPN.

Altri problemi?

La stessa Microsoft fornisce suggerimenti per la risoluzione dei problemi nell’articolo KB 314076 se compaiono messaggi di errore durante la creazione di una connessione. Altri punti di contatto sono il forum WinTotal nella sezione Network o NetzwerkTotal.

Un’alternativa alla VPN di Microsoft è la OpenVPN gratuita, con la quale alcuni utenti affermano di avere molti meno problemi nell’ambito dei giochi.

Articoli correlati