Server VPN con Windows Server : installazione e configurazione

Windows Server 2022Windows Server 2025

In questo tutorial, spiegherò come impostare un server VPN su Windows Server con il ruolo di accesso remoto e configurare l’accesso con NPS.

Quando si configura un server VPN con Windows, vengono installati 3 tipi di servizio VPN :

  • PPTP
  • L2TP
  • SSTP

In questo tutorial vedremo come utilizzare PPTP e SSTP. Quando si configura il client VPN su Windows, viene configurato automaticamente e testerà le connessioni sulle diverse porte per trovare il tipo di servizio VPN.

Per limitare il diritto di connessione VPN, il criterio verrà configurato per consentire agli utenti appartenenti al gruppo Active Directory GRP_SRV_VPN_ALLOW.

Gli indirizzi IP verranno distribuiti da un server DHCP.

Quando si configura il client VPN su Windows, il tipo di VPN viene configurato automaticamente, durante la connessione testerà i diversi tipi per stabilire la connessione. Esistono diversi metodi per forzare un tipo:

  • Configurazione sul client VPN.
  • Configurazione della porta a livello di firewall.
  • Configurazione su NPS nella policy.

Sommario

Installazione del ruolo di accesso remoto

Dal server manager, fare clic su Aggiungi ruoli e funzionalità 1.

Add features

All’avvio della procedura guidata, fare clic su Avanti 1.

Wizard add features

Scegliere l’installazione basata su ruoli o basata su funzionalità 1 e fare clic su Avanti 2 .

Install type

Selezionare il server 1 e fare clic su Avanti 2.

Select server

Controllare la cache del ruolo di accesso remoto 1 e fare clic su Avanti 2.

Select Remote Access

Salta l’elenco delle funzionalità facendo clic su Avanti 1.

pass the features

Un riepilogo del ruolo Accesso remoto che spiega i diversi servizi disponibili come Accesso diretto, server VPN, WAF, Routing …. Fare clic su Avanti 1 per andare alla selezione dei servizi.

Aperçu des rôles dont Serveur VPN / Overview of roles including VPN Server

Cocher DirectAccess et VPN (accès distant) 1 qui est le service qui permet la mise en place d’un serveur VPN.

Choisir DirectAccess et VPN pour le serveur VPN / Choose DirectAccess and VPN for the VPN server

Fare clic sul pulsante Aggiungi funzionalità 1 per installare le console di amministrazione e i ruoli dipendenti.

Dépendances pour le serveur VPN / Dependencies for the VPN server

Il servizio DirectAcces e VPN è selezionato, fare clic su Avanti 1.

Services sélectionnés pour le serveur vpn / Services selected for the vpn server

Il ruolo IIS deve essere installato, viene visualizzato un riepilogo, fare clic su Avanti 1.

Overview Web Server IIS

Lascia i servizi IIS predefiniti, fai clic su Avanti 1.

IIS features

Viene visualizzato un riepilogo dell’installazione, confermare facendo clic su Installa 1.

Démarrer l'installation du serveur VPN / Start the VPN server installation

Attendi che siano installati i ruoli necessari per la configurazione del server VPN …

Patienter pendant l'installation du serveur VPN / Wait while installing the VPN server
Patienter pendant l'installation du serveur VPN / Wait while installing the VPN server
Patienter pendant l'installation du serveur VPN / Wait while installing the VPN server

Una volta completata l’installazione, fare clic su Chiudi 1 per uscire dalla procedura guidata.

Installation completed

Ora che sono installate le funzionalità necessarie per installare un server VPN, passeremo alla configurazione.

Configurazione del servizio VPN

Dal server manager, fare clic sull’icona di notifica 1 quindi su Apri la procedura guidata per le operazioni iniziali 2.

Ouvrir l'assistant de configuration du serveur VPN / Open the VPN Server Configuration Wizard

Fare clic su Distribuisci solo VPN 1, questa azione aprirà la console di Routing e Accesso remoto.

Assistant de configuration / Configuration Wizard

Una volta aperta la console, fare clic con il pulsante destro del mouse sul server 1 e fare clic su Configura e attiva il routing e l’accesso remoto 2.

Start configuration

Viene avviata una nuova procedura guidata, fare clic su Avanti 1.

Wizard configuration

Selezionare Configurazione personalizzata 1 quindi fare clic su Avanti 2.

Custom configuration

Selezionare il servizio di accesso VPN 1 per configurare il server VPN e fare clic su Avanti 2.

Accès VPN pour configurer un serveur VPN / VPN access to configure a VPN server

Fare clic su Fine 1.

Configuration completed

Fare clic su Avvia servizio 1.

Démarrer le service pour rendre accessible le serveur VPN / Start the service to make the VPN server accessible

Il server VPN è ora operativo, per impostazione predefinita l’autorizzazione all’accesso al servizio VPN viene eseguita dalle proprietà dell’utente in Active Directory a livello della scheda Accesso remoto. In un ambiente di grandi dimensioni, questo modo di operare diventa rapidamente complicato per l’amministratore, ora utilizzeremo le funzionalità NPS (Network Policy Server) per concedere i diritti di connessione a un gruppo di Active Directory.

Configurare le autorizzazioni di accesso al servizio VPN

Avvia la console del server NPS sul server.

Serveur NPS

Espandi il nodo Strategie 1 quindi fai clic con il pulsante destro del mouse su Strategie di rete 2 e fai clic su Nuovo 3.

Création d'une stratégie d'accès au serveur VPN / Creating a VPN server access policy

Assegna un nome alla strategia 1 e scegli il tipo Server di accesso remoto (VPN-Dial-up) 2 quindi fai clic su Avanti 3.

Name and type policy

Qui è dove configureremo le condizioni di accesso al servizio, è possibile aggiungere diverse condizioni tra cui l’orario di accesso. Fare clic sul pulsante Aggiungi 1.

Ajouter de conditions d'accès au serveur VPN / Adding access conditions to the VPN server

Scegli Gruppi di utenti 1 quindi fai clic su Aggiungi 2.

Select Users Groups

Si apre una nuova finestra, fare clic su Aggiungi 1 per scegliere il gruppo, una volta selezionato 2 fare clic su OK 3.

Sélection du groupe autorisé à se connecter au serveur VPN / Selecting the group allowed to connect to the VPN server

Dopo aver aggiunto le condizioni, fare clic su Avanti 1.

Conditions accès au serveur VPN ajoutées / VPN server access conditions added

Configurare l’autorizzazione per sapere se il criterio è un criterio di accesso concesso 1 o negato e fare clic su Avanti 2 per convalidare.

Type d'autorisation d'accès au serveur VPN / Type of access authorization to the VPN server

Questa parte della configurazione è importante per il resto, in particolare per la configurazione del client VPN e il livello di sicurezza. L’aggiunta di un tipo di protocollo EAP non è obbligatoria ma fortemente consigliata, fare clic sul pulsante Aggiungi 1.

Configuration de l'authentification sur le serveur VPN / Configuring authentication on the VPN server

Selezionare Microsoft: password sicura (EAP-MSCHAP versione 2) 1 e fare clic su OK 2.

Select EAP

Dopo aver selezionato i tipi e i metodi di autenticazione, fare clic su Avanti 1.

Configuration de l'authentification sur le serveur VPN / Configuring authentication on the VPN server

Se viene visualizzato un messaggio relativo ai metodi di autenticazione, fare clic su No per non aprire la guida.

Nella policy non verrà configurato nessun contrario, ma è possibile aggiungerne alcuni come orari di accesso o forzare un tipo di VPN (NAS). Fare clic su Avanti 1.

Configuration des contraintes d'accès au serveur VPN / Configuring access constraints to the VPN server

Viene visualizzato un riepilogo della strategia, fare clic su Fine 1 per confermare la creazione.

Stratégie configurée pour l'accès au serveur VPN / Policy configured for VPN server access

Il criterio è stato aggiunto 1. Sono trattati come su un firewall, vengono letti dall’alto verso il basso. Se hai più di una policy, di cui una non applicabile, verifica che il traffico non vada a una policy di cui sopra.

Stratégies d'accès au serveur VPN / VPN server access policies

Prima di poter utilizzare il server VPN, è necessario registrare il server NPS in Active Directory affinché le autorizzazioni di accesso vengano elaborate da esso, fare clic con il tasto destro su NPS (Locale) 1 e fare clic su Registra un server in Active Directory 2.

Inscription du serveur NPS dans l'AD pour la gestion des accès au serveur VPN / Register the NPS server in the AD for VPN server access management

Fare clic su OK sui due messaggi di conferma visualizzati.

Prima di passare alla configurazione del client, trova la console di gestione dell’accesso remoto negli strumenti e fai clic su di essa per aprirla. Questa console consente di vedere lo stato dei servizi del server VPN e di visualizzare le connessioni in corso …

Services du serveur VPN / VPN server services

Configura la connessione VPN su Windows 10

Il server VPN è configurato e accessibile da Internet, per configurare la VPN su Windows 10, apri le impostazioni e vai su Rete e Internet. Fare clic su Configura una nuova connessione 1.

Add VPN connection in Windows 10

Scegli l’opzione di connessione: Connetti al tuo spazio di lavoro 1 e fai clic su Avanti 2.

Connection type

Fare clic su Usa la mia connessione Internet (VPN) 1.

Select VPN

Immettere l’indirizzo IP o il nome DNS 1 per la connessione VPN, denominare la connessione 2 e fare clic su Crea 3.

Adresse du serveur VPN / VPN server address

La connessione viene aggiunta 1 nella parte VPN 2.

Connexion VPN ajoutée / VPN connection added

Fare clic su connessione 1 e fare clic su Connetti 2.

Se connecter / Connect to

Immettere le credenziali di un account membro del gruppo configurato nella policy.

Credential

La connessione viene stabilita.

Connecté au serveur VPN / Connected to the VPN server

La connessione alla VPN è disponibile anche a livello di schede di rete in Windows.

Connexions réseau / Network Connections

L’accesso rapido è disponibile anche tramite l’area di notifica facendo clic sull’icona della rete.

Connexions réseau / Network Connections

Sulla console di gestione dell’accesso remoto è possibile monitorare i client connessi.

Vpn connection detail

Se non hai configurato un protocollo EAP, devi modificare le proprietà della connessione VPN accedendo tramite il pannello di controllo / Centro connessioni di rete e condivisione / Modifica i parametri della scheda, fai clic destro sulla scheda di rete VPN e vai su Proprietà. Vai alla scheda Sicurezza 1, scegli Autorizza questi protocolli 2 e controlla i protocolli di autenticazione 3 da utilizzare, quindi convalida facendo clic su OK 4.

Sécurité de la connexion VPN / VPN connection security

All’acquisizione, vediamo che il tipo di VPN è automatico, durante la connessione testerà tutti i tipi conosciuti.

VPN a PPTP

In questa parte vedremo come forzare la VPN PPTP nella configurazione del client e sulla console NPS per forzare questo tipo di tunnel.

Client VPN

Nelle proprietà della connessione nella scheda Protezione 1, scegliere il tipo di rete VPN PPTP (Point to Point Tunneling Protocol) 2 e convalidare facendo clic su OK 3.

Client force PPTP

NPS

Nella console NPS, vai al nodo Criteri di rete 1, fai clic con il pulsante destro del mouse sul criterio di accesso VPN 2 e fai clic su Proprietà 3.

Edit policy

Vai alla scheda Condizioni 1 e fai clic su Aggiungi 2.

Ajouter une condition au serveur VPN / Add a condition to the VPN server

Scegli la condizione del tipo di tunnel 1 e fai clic su Aggiungi 2.

Ajouter une condition au serveur VPN / Add a condition to the VPN server

Selezionare la casella PPTP (Point-to-Point Tunneling Protocol) 1 e fare clic su OK 2.

Select PPTP

È stata aggiunta la condizione del tipo di tunnel PPTP.

condition ajoutée au serveur VPN / condition added to the VPN server

VPN in SSTP

Il tunnel SSTP si basa sulla porta 443 (HTTPS) che ne consente l’utilizzo nella maggior parte delle connessioni WIFI.

L’impostazione della VPN SSTP richiede la configurazione del certificato utilizzato per la connessione. Questo deve essere installato nell’archivio personale del computer.

Per funzionare, l’autorità del certificato deve essere nota ai clienti.

È possibile utilizzare un certificato autofirmato sul server, nel qual caso il certificato deve essere installato sui client nell’archivio Autorità di certificazione radice attendibile. Se utilizzi un’autorità di certificazione autonoma o aziendale, tutto ciò che devi fare è distribuire il certificato dell’autorità.

Configurazione del servizio VPN – Routing e accesso remoto

Sul server VPN dalla console Routing e Accesso remoto, apri le proprietà del server, nella scheda Sicurezza 1 nella sezione Associazione certificato SSL, scegli il certificato 2 quindi convalida facendo clic su Applica 3> > e OK 4.

Select certificate

Le modifiche richiedono un riavvio del servizio, confermare facendo clic su Sì 1.

Restart service

Configurazione client

Il nome dell’host di connessione nella scheda generale deve essere un nome DNS 1 presente nel certificato.

Connection host name

Per quanto riguarda il tunnel VPN PPTP, è possibile forzare il tipo nella scheda Sicurezza 1 selezionando SSTP 2.

SSTP type

NPS

Per quanto riguarda il tunnel PPTP, è possibile forzare il tunnel SSTP nella policy di rete.

Type de serveur VPN : SSTP / VPN server type: SSTP

Errore : la funzione di revoca non è riuscita a verificare la revoca perché il server di revoca è stato disconnesso

Se si utilizza un certificato autofirmato o un certificato emesso da una CA privata che non pubblica l’elenco di revoche su Internet, è necessario aggiungere una chiave di registro al client per ignorare questo controllo.

Apri l’editor del registro e vai alla posizione: HLM \ SYSTEM \ CurrentControlSet \ Services \ SstpSvc \ Parameters e aggiungi la chiave (DWORD) NoCertRevocationCheck assegnandole il valore 1.

NoCertRevocationCheck
Amministrazione di sistema in Windows Server
ReteSSLVPN
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Architetto di sistema | MCSE: Infrastruttura di base
Esperto di infrastrutture IT con oltre 15 anni di esperienza sul campo. Attualmente Project Manager Sistemi e Reti ed esperto di Sicurezza dei Sistemi Informativi, utilizzo la mia competenza per garantire l'affidabilità e la sicurezza degli ambienti tecnologici.

Lascia un commento