Autore: Giulio Martino
Data: 19.11.2006
Informazioni sull'Autore: opera su sistemi Microsoft fin dai tempi del DOS senza trascurare sistemi Unix, Linux. Le sue competenze spaziano anche nella installazione e configurazione di apparati di rete, firewall e sistemi di posta. Svolge la propria attività a Matera.

Domande sull'articolo? Scrivi sul forum di ISAServer.it >>

ISA Server 2006 / 2004: Implementare una VPN con i protocolli PPTP e L2TP/IPSec

Scenario di Riferimento:
1) Server ISA 2004 installato su Win2003 Server
2) ISA server membro di AD
3) RRAS e VPN abilitati
4) Certificati lato Server installati
5) Client Windows XP Professional SP2
6) Autorità di certificazione Microsoft installata su Win2003
7) Autorità di certificazione Microsoft (WEB Interface) pubblicata su internet
In questa guida vedremo la configurazione lato client di una connessione VPN con il nostro server aziendale sia in PPTP che L2TP/IPSEC.

CREAZIONE CONNESSIONE VPN
Dalle proprietà di risorse di rete, aggiungiamo una Nuova Connessione

E' visualizzata la maschera di benvenuto, andiamo Avanti . Qui selezioniamo ‘Connessione alla rete aziendale’ e nuovamente Avanti. Selezioniamo ‘Connessione VPN’ e Avanti. Diamo un nome alla nostra connessione - es. VPN Acme SpA - e Avanti.


Qui dobbiamo dire alla connessione in che modo raggiungere il server VPN.
1) Tramite “Connessione di accesso remoto”, es, ‘tin’ o ‘tiscali’, per la connessione ad internet
2) Tramite connessione diretta.

A questo punto dobbiamo indicare l’indirizzo IP del SERVER VPN. Io nell’esempio ho inserito un indirizzo privato, di solito dovrebbe essere l’indirizzo pubblico su cui è stato pubblicato il server VPN tramite ISA 2004/2006 server. La nostra connessione VPN è pronta.
Basta lanciare la nuova connessione, inserire Username e Password e, se il server VPN è configurato correttamente, la connessione avverrà con successo utilizzando il protocollo PPTP.

PPTP
La configurazione di un client PPTP come abbiamo visto è molto semplice e non richiede particolari attenzioni nella configurazione. La nota negativa riguarda la sicurezza. Infatti sia lo username che la password, viaggiano in chiaro, mettendo a rischio l’integrità e la segretezza dei dati. Quindi la conseguenza nasce spontanea, trasformare la nostra VPN da PPTP in L2TP/IPSEC.A questo punto, la configurazione, si complica un attimino.

L2TP\IPSEC
La prima operazione da fare è dire al Client di utilizzare L2TP/IPSEC al posto di PPTP per farlo procedere come segue.
Andare nelle Proprietà della connessione VPN creata - es. VPN Acme SpA -. Nel tab ‘RETE’ in tipo VPN dovremmo avere Automatico.


Qui, selezioniamo L2TP IPSEC VPN.

Spostiamoci sul tab ‘PROTEZIONE’ e selezioniamo ‘Avanzate (Impostazioni personalizzate’ e facciamo clic sul pulsante Impostazioni.
Selezioniamo i protocolli ‘Microsoft CHAP’ come riportato in figura.


NOTE: è possibile utilizzare anche EAP, ma la sua abilitazione richiede la configurazione di un server RADIUS, che sarà oggetto di un’altra discussione.A questo punto in nostro client è configurato per l’utilizzo di L2TP/IPSEC. Se proviamo a lanciare la connessione, fallirà. I motivi sono due:
1) Manca il certificato per l’utente client
2) Bisogna abilitare sul servizio IPSEC del client l’utilizzo del NAT

CERTIFICATI
Per quanto riguarda i certificati, sarà necessario installare sul client, un certificato che certifichi l’identità dell’utente in modo da poter inizializzare una connessione protetta IPSEC. Le note che seguono funzionano solo se sono rispettati i punti 6 e 7 inseriti dello Scenario.
L’host e il dominio cert.miodominio.it vanno sostituiti con il nome host e il nome dominio del vostro server.
Andare sul sito della Autorità di certificazione Microsoft : https://cert.miodominio.it/certsrv
Alla richiesta di login, inserire il proprio nome utente e la propria password.

Si ricorda che le note di questa guida fanno riferimento ad uno scenario con Active Directory installato.

Selezionare la voce ‘Richiedi un Certificato’
Selezionare la voce ‘Richiesta avanzata di certificati’, selezionare la voce ‘Creare e inviare una richiesta a questa CA’. Aprire la combo ‘Modelli di Certificato’ e
selezionare ‘Modello di certificato’ --> ‘Utente’.


Selezionare la check ‘Archivia certificato nell’archivio certificati del computer locale ‘ed Inviare.

Dopo l’invio viene visualizzato un messaggio di avviso, confermare selezionado ‘SI’

Bene a questo punto il nostro certificato è pronto e dobbiamo installarlo. Quindi selezionare la voce ‘Installa questo certificato’.

Confermare il messaggio di avviso selezionando ‘SI’.Il nostro certificato è installato sul nostro PC, ma non è ancora pronto per essere utilizzato dalle applicazioni. Per rendere il certificato operativo applicare la seguente procedura:
- Creare una nuova MMC (Avvio | Esegui... | scrivere MMC e poi INVIO).
- Dopodiche' da File | Aggiungi\Rimuovi SnapIn
- Selezionare ‘Aggiungi’
- Selezionare ‘Certificati’ ed ‘Aggiungi’
- Selezionare ‘Account del Computer’ e terminare l’aggiunta di SnapIn
A questo punto vedremo il nostro certificato, inserito nella sezione ‘Personale’


Per rendere questo certificato utilizzabile dalle applicazioni, sarà necessario esportarlo in ‘Autorità di certificazione fonti Attendibili’.
- Selezioniamo la voce ‘Esporta’, al messaggio di benvenuto, andiamo avanti


- Selezionare ‘Esporta la chiave privata’
- Verificare che le selezioni corrispondano all’immagine riportata


Inserire una password di protezione per il certificato esportato.
Non trascurate questo aspetto, perché se non mettete la password, e il file certificato finisce in mani sbagliate, metterebbe a rischio la sicurezza della VPN.

Assegnare un nome al certificato ed eventualmente scegliere un percorso per il salvataggio.

Abbiamo completato l’esportazione del certificato.

Passiamo alla fase di importazione nelle fonti attendibili.
Selezionare la voce ‘importa’ da Certificati di ‘Autorità di certificazione fonti attendibili’

Messaggio di benvenuto, andiamo avanti.
Selezionare il file esportato precedentemente. Alla richiesta della password, inserire la password immessa durante l’esportazione.Andiamo avanti fino al termine del wizard.
La fase di installazione dei certificati è terminata.

VERSIONE SISTEMA OPERATIVO
Per i client con sistema operativo Win2000 Professional e XP senza SP2 è necessario prima di procedere fare riferimento al seguente bollettino tecnico Microsoft KB818043.
Una volti certi di avere il sistema operativo aggiornato, possiamo procedere con la configurazione del servizio IPSec.Per poter abilitare/Disabilitare il servizio IpSec all’utilizzo di VPN protette da NAT, è necessario inserire una chiave di registro, come riporta nella figura di seguito:


La nuova chiave di tipo DWORD andrà inserita nel servizio IpSec che trova nel percorso seguente del registro di sistema:
HLM\System\CurrentControlSet\Services
Il nome della chiave è : AssumeUDPEncapsulationContextOnSendRule
Ed i valori possibili sono:
0 (predefinito) - Un valore 0 (zero) configura Windows per fare in modo che non vengano stabilite associazioni di protezione con server protetti da dispositivi NAT.
1 - Il valore 1 configura Windows per fare in modo che vengano stabilite associazioni di protezione con server protetti da dispositivi NAT.
2 - Il valore 2 configura Windows per fare in modo che vengano stabilite associazioni di protezione quando il server e il computer client basato su Windows XP SP2 sono protetti da dispositivi NAT.

Il valore che andremo ad inserire è il 2, che si adatta bene a tutte le situazioni:
1) Client connesso direttamente ad Internet
2) Client dietro NAT
A questo punto la nostra Connessione VPN sicura è completata e, se lato server, le configurazioni sono state fatte correttamente, tutto funzionerà senza problemi.

Giulio Martino

ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.