none
Configurazione del router per la connessione VPN

    Question

  • Salve un mio cliente mi ha chiesto di instaurare una connessione VPN con un suo partner, il server che deve accettare le connessioni si trova nella sua rete è un win 2003 ho cercando su internet ho visto che windows mette già a disposizione una creazione guidata della connessione (ho seguito questa guida ).

    Il primo problema è il fatto di non avere un ip fisso, allora ho creato un account tramite dyndns creando il relativo hostname al quale ho assegnato l'indirizzo ip attuale del server.

    Il problema ora è questo: cercando di connettermi da un client verso il server mi restituisce l'errore 800, cioè che non è possibile stabilire la connessione, ho provato a fare il ping sull'indirizzo di dyndns ma mi risponde solo se lo faccio da un pc interno alla rete del mio cliente, dal mio pc in ufficio per esempio il ping fallisce. Dove sta l'intoppo? Devo togliere qualche protezione al server? Non lo fa in automatico windows? Vi prego aiutatemi è molto urgente.

    (è la prima volta che creo una VPN)

    dimenticavo i componenti di rete installati per la connessione in ingresso sono:

    • Protocollo internet (TCP/IP)
    • Condividere file e stampanti per reti microsoft
    • Client per reti microsoft
    dopo alcune ricerche penso che il problema sia la configurazione del router d-link dva-g3670b qualcuno può aiutarmi?
    Thursday, June 10, 2010 9:57 AM

Answers

  • ciao Fabio,

    sicuramente sul router del tuo cliente devi aprire le porte per permettere dall'esterno di accedere al server vpn, che cosa devi aprire dipende da quale tipo di vpn hai creato, comunque sul manuale del router oppure sul sito del produttore trovi senz'altro qualche esempio.

    Alberto

    Thursday, June 10, 2010 11:39 AM
  • se non c'è un'opzione specifica per nattare le singole porte della wan sul router, dovresti trovare qualcosa tipo "nat-server" che praticamente natta tutte le porte verso l'ip privato desiderato. occhio che poi devi configurare bene il firewall di windows.

    altra possibilità che porta ad una soluzione più rapida è quella di cambiare router.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    Thursday, June 10, 2010 3:30 PM
    Moderator
  • e come informazioni mi chiede: "Server Name", "External Port Start", "External Port End", "Protocol", "Internal Port Start", "Internal Port End", "Server IP Address", "Remote IP Address", "Schedule Rule"

     


    "server name": penso sia un campo libero

    External Port start: 1723

    External port End: 1723

    Protocol: TCP

    Internal Port Start 1723

    Internal Port End 1723

    Server ip Adress: l'indirizzo ip del server che ospita la vpn (nel tuo caso openvpn)

    Shedule Rute: penso che puoi impostare degli orari in cui utilizzare la regola (Ad esempio disattivarla di notte per questioni di sicurezza) ma non ne sono sicuro

    Ovviamente devi farlo sulle porte richieste da OpenVPN (lo trovi sicuramene sul manuale del programma), io ad esempio ti ho messo la pptp.... ma non so se serve in questo caso

    Aprine il meno possibile

    Le porte che Forwardi devi aprirle sul firewall dalla wan verso la lan

    La vpn puoi gestira anche con windows 2003 (aggiungi ruolo routing e accesso remoto... acceso remoto... vpn... impostazioni persnalizzate (se usi un'unica scheda eth)...... è abbastanza semplice e per vpn su chiamata funziona bene (problemi se i client usano alcune connessioni fastweb)

    CIao

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    Thursday, June 10, 2010 7:24 PM
  • La procedura da seguire è mettere in piedi un server VPN su Windows 2003 sfruttando il servizio Routing e Remote Access

    http://support.microsoft.com/kb/323441/it

    Per la connessione, se il client è almeno un XP service pack 2 ti consiglio L2TP che ha un livello di sicurezza maggiore

    Le porte da attivare, con il meccanismo che ti hanno già indicato (external port e internal port con lo stesso valore numerico) sono :

     UDP 500 (IKE)
     UDP 1701 (L2TP traffic)
     UDP 4500 (NAT-T traffic)

    Per PPTP (compatibile anche con clients versione precedente) sono :

     TCP 1723  (PPTP tunnel)
     IP Protocol ID 47  (PPTP tunneled data) from the PPTP client to the PPTP server.

    http://technet.microsoft.com/en-us/library/cc737500(WS.10).aspx

    A quel punto sul client devi solo creare la connessione

    http://www.windowsecurity.com/articles/Configure-VPN-Connection-Windows-XP.html


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    Monday, June 14, 2010 9:18 AM

All replies

  • ciao Fabio,

    sicuramente sul router del tuo cliente devi aprire le porte per permettere dall'esterno di accedere al server vpn, che cosa devi aprire dipende da quale tipo di vpn hai creato, comunque sul manuale del router oppure sul sito del produttore trovi senz'altro qualche esempio.

    Alberto

    Thursday, June 10, 2010 11:39 AM
  • come immaginavo, solo che su questo maledetto manuale non c'è traccia di VPN mah...

    la vpn che ho creato è quella tramite la procedura guidata di windows il server deve accettare le connessioni i client le effettuano, se non sbaglio windows usa le connessioni PPTP

    Thursday, June 10, 2010 1:56 PM
  • se non c'è un'opzione specifica per nattare le singole porte della wan sul router, dovresti trovare qualcosa tipo "nat-server" che praticamente natta tutte le porte verso l'ip privato desiderato. occhio che poi devi configurare bene il firewall di windows.

    altra possibilità che porta ad una soluzione più rapida è quella di cambiare router.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    Thursday, June 10, 2010 3:30 PM
    Moderator
  • Ciao Fabio,

    se la vpn sarà gestita dal server 2003 devi aprire queste porte sul firewall e fare il forward sull'indirizzo ipinterno del server (alcuni firewall/router invece che forward parlano di virtualserver, ad esempio quelli di alice):

    pptp 1723

    pptp2 47

    lt2p 1701

    IKE 500 tcp

    nat-t 4500

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    Thursday, June 10, 2010 3:42 PM
  • qual è il fornitore di connettività?

    E il router utilizzato?

    Forse così possiamo darti indicazioni più precise.

    Sul manuale non c'è traccia della vpn, può essere che non le gestisce, ma tanto tu la farai gestire dal server...


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    Thursday, June 10, 2010 3:48 PM
  • grazie a tutti dei consigli

    il fornitore è infostrada il router è un d-link DVA-G3670B

    Ho provato ad installare openVPN la parte server funziona ma dal client c'è sempre il problema nello stabilire la connessione, sul router ho trovato la voce "Port Forwarding Setup" 

    e come informazioni mi chiede: "Server Name", "External Port Start", "External Port End", "Protocol", "Internal Port Start", "Internal Port End", "Server IP Address", "Remote IP Address", "Schedule Rule"

     

    Thursday, June 10, 2010 5:13 PM
  • e come informazioni mi chiede: "Server Name", "External Port Start", "External Port End", "Protocol", "Internal Port Start", "Internal Port End", "Server IP Address", "Remote IP Address", "Schedule Rule"

     


    "server name": penso sia un campo libero

    External Port start: 1723

    External port End: 1723

    Protocol: TCP

    Internal Port Start 1723

    Internal Port End 1723

    Server ip Adress: l'indirizzo ip del server che ospita la vpn (nel tuo caso openvpn)

    Shedule Rute: penso che puoi impostare degli orari in cui utilizzare la regola (Ad esempio disattivarla di notte per questioni di sicurezza) ma non ne sono sicuro

    Ovviamente devi farlo sulle porte richieste da OpenVPN (lo trovi sicuramene sul manuale del programma), io ad esempio ti ho messo la pptp.... ma non so se serve in questo caso

    Aprine il meno possibile

    Le porte che Forwardi devi aprirle sul firewall dalla wan verso la lan

    La vpn puoi gestira anche con windows 2003 (aggiungi ruolo routing e accesso remoto... acceso remoto... vpn... impostazioni persnalizzate (se usi un'unica scheda eth)...... è abbastanza semplice e per vpn su chiamata funziona bene (problemi se i client usano alcune connessioni fastweb)

    CIao

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    Thursday, June 10, 2010 7:24 PM
  •  

    pptp2 47


    per il gre (ip-47) basta il passthrough, non è da nattare.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    Friday, June 11, 2010 6:44 AM
    Moderator
  • "server name": penso sia un campo libero

    External Port start: 1723

    External port End: 1723

    Protocol: TCP

    Internal Port Start 1723

    Internal Port End 1723

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    le porte che mi hai segnato vanno bene per aprire la comunicazione con la vpn che posso creare tramite la procedura guidata di windows?
    Monday, June 14, 2010 8:47 AM
  • La procedura da seguire è mettere in piedi un server VPN su Windows 2003 sfruttando il servizio Routing e Remote Access

    http://support.microsoft.com/kb/323441/it

    Per la connessione, se il client è almeno un XP service pack 2 ti consiglio L2TP che ha un livello di sicurezza maggiore

    Le porte da attivare, con il meccanismo che ti hanno già indicato (external port e internal port con lo stesso valore numerico) sono :

     UDP 500 (IKE)
     UDP 1701 (L2TP traffic)
     UDP 4500 (NAT-T traffic)

    Per PPTP (compatibile anche con clients versione precedente) sono :

     TCP 1723  (PPTP tunnel)
     IP Protocol ID 47  (PPTP tunneled data) from the PPTP client to the PPTP server.

    http://technet.microsoft.com/en-us/library/cc737500(WS.10).aspx

    A quel punto sul client devi solo creare la connessione

    http://www.windowsecurity.com/articles/Configure-VPN-Connection-Windows-XP.html


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    Monday, June 14, 2010 9:18 AM
  • attenzione! Ho impostato nel port Forwarding Setup del router la porta 1723 indicatami da adriano, ora finalmente da un client riesco a pingare l'indirizzo che mi ha assegnato dynDNS, la connessione vpn mi restituisce sempre l'errore 800 ma questo credo che adesso dipenda dalle impostazioni che devo sistemare su win2003, qualcuno sa di preciso cosa devo fare a livello di ruoli del server e di firewall? Pensavo ci pensasse in automatico windows direttamente con la procedura guidata per la creazione della connessione ma forse mi sbaglio, qualcuno può chiarirmi questi dubbi?
    Monday, June 14, 2010 9:31 AM
  • Non basta la porta 1723 ma devi abilitare anche un protocollo GRE (il già citato protocol 47).

    Sul tuo router si potrà fare ma non saprei come.

    Insisto : usa L2TP così hai solo porte UDP.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    Monday, June 14, 2010 10:17 AM
  • quindi nel port Forwarding Setup del router, oltre la porta 1723 devo aggiungere anche le seguenti porte

    pptp 1723 (TCP)

    pptp2 47

    lt2p 1701

    IKE 500 tcp

    nat-t 4500

    ad esclusione della 1723 le altre sono tutte udp?

    Monday, June 14, 2010 10:37 AM
  • L2TP e PPTP sono protocolli di tunnel (creazione connessioni private su ambiente pubblico).

    Puoi lavorare usando uno solo dei due.

    Se usi solo L2TP basta

    UDP 500, UDP 1701 ed UDP 4500

    Se usi PPTP servono

    1723 TCP e protocollo GRE

    Come dicevo all'inizio dipende dai clients che si connettono : L2TP è supportato su tutti i clients da XP service pack 2 in poi e anche su 2000 e XP service pack 1 con apposita patch

    http://support.microsoft.com/kb/818043

    Solo se devi connettere Windows 98 o simili usa PPTP.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    Monday, June 14, 2010 10:47 AM
  • Fabrizio mi sai spiegare perchè quando abilito il ruolo di routing e accesso remoto sul server, non riesco più a connettermi a internet? la lan risulta attiva e collegata, ma non riesco neanche a pingare il router
    Monday, June 14, 2010 11:03 AM
  • posta il risultato di un route print col rras spento

    ed uno col rras attivato.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    Monday, June 14, 2010 11:04 AM
    Moderator
  • questo è con rras image

    questo è senza rras image
    Monday, June 14, 2010 11:22 AM
  • per caso sul rras hai configurato anche il basic firewall ?

    in ogni caso accertati che il basic firewall permetta tutti i procolli outgoing.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    Monday, June 14, 2010 11:56 AM
    Moderator
  • Innanzitutto, vedo una scheda "MSLoopback".

    Se non ti serve in maniera particolare, rimuovila.

    In secondo luogo, come detto da Edoardo, verifica che il firewall non sia attivo.

    Dulcis in fundo, in genere per RRAS come VPN server si preferisce avere due schede, una "interna" e l'altra "esterna".

    Sulla esterna (quella esposta a Internet) dovresti avere il gateway, sull'altra no.

    Hai modo di aggiungere una scheda al server ?


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    Monday, June 14, 2010 12:53 PM
  • se è possibile vorrei risolvere mantenendo una scheda di rete, ho provato anche con il firewall disattivo ma mi da lo stesso problema
    Monday, June 14, 2010 2:29 PM
  • Ok, allora quando configuri il server per RRAS devi selezionare role "custom" e poi puoi fare il setup con una unica NIC

    http://blogs.technet.com/b/rrasblog/archive/2006/06/19/437171.aspx


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    Monday, June 14, 2010 2:33 PM
  • se hai configurato il routing su un'unica scheda, quindi che risponda solo a chiamate in ingresso vpn, non dovresti avere problemi con l'accesso ad internet.

    il traffico dalla lan alla wan non dovrebbe attraversare il tuo server ma essere diretto al gateway predefinito distribuito dal dhcp..

    Prova a ripetere l'operazione:

    prima disattiva tutte le schede Di rete sul server tranne quella della lan;

    lancia la configurazione guidata del servizio di routing e accesso remoto;

    configura solo l'accesso in ingresso sulla vpn

    il wizard dovrebbe restituirti un alert in cui fa presente che è attiva una sola scheda e per questo devi procedere con la configurazione personalizzata...

    dovrebbe funzionare senza particolari problemi.

    Il ping al router non coinvolge il server... nessun firewall, nessuna policy...


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    Monday, June 14, 2010 9:19 PM
  • grazie a tutti veramente per i vostri consigli, guardando le guide su internet non pensavo che fosse così difficile utilizzare windows per creare una VPN, l'urgenza della situazione e la confusione che mi si è creata in testa, mi ha spinto verso OpenVPN con cui sembra funzionare qualcosa anche se ho ancora dei problemi ma non penso sia questo il forum adatto per chiedere aiuto a rigurado. GRAZIE è una sfida solo rimandata.
    Tuesday, June 15, 2010 12:50 PM