Sommario
In questo tutorial troverete le istruzioni passo passo per configurare un server di accesso VPN L2TP su Windows Server 2016. La rete privata virtuale (VPN) vi permette di connettervi in modo sicuro alla vostra rete privata da postazioni Internet e vi protegge dagli attacchi e dalle intercettazioni dei dati su Internet.per realizzare un'operazione VPN di successo, è necessario configurare diverse impostazioni sul lato del server VPN.
Come installare un server VPN L2TP/IPSec 2016 con chiave preshared personalizzata.
In questa guida, passo dopo passo, illustriamo la configurazione di L2TP VPN Server 2016 utilizzando il Layer Two Tunneling Protocol (L2TP/IPSEC) con una chiave precondivisa personalizzata, per una connessione VPN più sicura.
Fase 1. Installare il ruolo Routing e accesso remoto su Server 2016.Fase 2. Configurare e abilitare Routing e accesso remoto su Server 2016.Fase 3. Configurare la chiave preshared per le connessioni L2TP/IKEv2.Fase 4. Aprire le porte richieste in Windows Firewall.Fase 5. Configurare il server VPN per consentire l'accesso alla rete.Fase 6. Abilitare le connessioni L2TP/IPsec dietro NAT.Fase 7. Verificare che le porte richieste siano state aperte.I servizi L2TP sono in esecuzione.Passo 8. Selezionare gli utenti VPN.Passo 9. Configurare il firewall dell'ISP per consentire l'accesso VPN L2TP.Passo 10. Configurare la connessione VPN L2TP/IPSec sui client. Passo 1. Come aggiungere il ruolo Accesso remoto (Accesso VPN) su un Server 2016.
Il primo passo per configurare un Windows Server 2016 come server VPN consiste nell'installare il file Accesso remoto ruolo {Servizi di accesso diretto e VPN (RAS)} a Server 2016.
Info: Per questo esempio imposteremo la VPN su una macchina Windows Server 2016, denominata "Srv1" e con indirizzo IP "192.168.1.8".
1. Per installare il ruolo VPN su Windows Server 2016, aprire 'Server Manager' e fare clic su Aggiungere ruoli e funzioni .
2. Nella prima schermata di 'Aggiunta guidata di ruoli e funzionalità', lasciare il campo Installazione basata sui ruoli o sulle funzionalità e fare clic su Il prossimo.
3. Nella schermata successiva, lasciare l'opzione predefinita " Selezionare il server dal pool di server " e fare clic su Il prossimo.
4. Quindi selezionare la voce Accesso remoto e fare clic su Avanti .
5. Nella schermata "Caratteristiche" lasciare le impostazioni predefinite e fare clic su Avanti .
6. Nella schermata informativa "Accesso remoto", fare clic su Avanti .
7. In "Servizi remoti", scegliere la voce Accesso diretto e VPN (RAS) servizi di ruolo e quindi fare clic su Avanti .
8. Quindi fare clic su Caratteristiche aggiuntive.
9. Cliccare Avanti di nuovo.
10. Lasciare le impostazioni predefinite e fare clic su Avanti (due volte) nelle schermate "Ruolo del server Web (IIS)" e "Servizi del ruolo".
11. Nella schermata "Conferma", selezionare Riavviare automaticamente il server di destinazione (se necessario) e fare clic su Installare.
12. Nella schermata finale, assicurarsi che l'installazione del ruolo di Accesso remoto sia avvenuta con successo e che il ruolo di Accesso remoto sia stato installato. Chiudere il mago.
13. Quindi (da Server Manager) Strumenti fare clic su Gestione dell'accesso remoto.
14. Selezionare Accesso diretto e VPN a sinistra e poi fare clic su Eseguire la procedura guidata.
15. Quindi fare clic su Implementazione della VPN solo.
16. Continua a passo-2 di seguito per configurare Routing e Accesso remoto.
Passo 2. Come configurare e abilitare il routing e l'accesso remoto su Server 2016.
Il passo successivo consiste nell'abilitare e configurare l'accesso VPN sul nostro Server 2016. Per fare questo:
1. Fate clic con il tasto destro del mouse sul nome del server e selezionate Configurazione e abilitazione dell'instradamento e dell'accesso remoto *.
Nota: è possibile avviare le impostazioni di Routing e Accesso remoto anche nel modo seguente:
1. Aprire Server Manager e da Strumenti selezionare Gestione del computer.
2. Espandere Servizi e applicazioni
3. Cliccare con il tasto destro del mouse su Routing e accesso remoto e selezionare Configurare e abilitare l'instradamento e l'accesso remoto.
2. Cliccare Avanti a "Installazione guidata del server di routing e accesso remoto".
3. Scegliere Configurazione personalizzata e fare clic su Il prossimo.
4. Selezionare Accesso VPN solo in questo caso e fare clic su Il prossimo.
5. Infine, fare clic su Finitura .
6. Quando viene richiesto di avviare il servizio, fare clic su Inizio .
7. Ora si vedrà una freccia verde accanto al nome del server (ad esempio "Svr1" in questo esempio).
Passo 3. Come attivare il criterio IPsec personalizzato per le connessioni L2TP/IKEv2.
Ora è il momento di consentire un criterio IPsec personalizzato sul server di routing e accesso remoto e di specificare la chiave preshared personalizzata.
1. A Routing e accesso remoto pannello, fare clic con il pulsante destro del mouse sul nome del server e selezionare Proprietà.
2. A Sicurezza selezionare la scheda Consentire un criterio IPsec personalizzato per la connessione L2TP/IKEv2 e poi digitare una chiave preshared (in questo esempio ho digitato: "TestVPN@1234").
3. Quindi fare clic sul pulsante Metodi di autenticazione (sopra) e assicurarsi che la casella Autenticazione criptata Microsoft versione 2 (MS-CHAP v2) è selezionato e quindi fare clic su OK.
4. Selezionare ora la voce IPv4 selezionare la scheda Pool di indirizzi statici e fare clic su Aggiungi .
5. Digitare qui l'intervallo di indirizzi IP che verrà assegnato ai client connessi alla VPN e fare clic su OK (due volte) per chiudere tutte le finestre.
Ad esempio, per questo esempio utilizzeremo l'intervallo di indirizzi IP: 192.168.1.200 - 192.168.1.202.
6. Quando viene visualizzato il messaggio pop-up: "Per abilitare il criterio IPsec personalizzato per le connessioni L2TP/IKEv2 è necessario riavviare Routing e accesso remoto", fare clic su OK .
7. Infine, fare clic con il tasto destro del mouse sul proprio server (ad esempio "Svr1") e selezionare Tutte le attività > Riavvia.
Passo 4. Aprire le porte necessarie in Windows Firewall.
1. Vai a Pannello di controllo > Tutti gli elementi del pannello di controllo > Firewall di Windows .
2. Cliccare Impostazioni avanzate a sinistra.
3. A sinistra, selezionare la voce Regole in entrata .
4a. Fare doppio clic su Routing e accesso remoto (L2TP-In)
4b. Nella scheda "Generale", scegliere Abilitato, consente la connessione e fare clic su OK.
5. Ora, fate clic con il tasto destro del mouse su Regole in entrata a sinistra e selezionare Nuova regola.
6. Nella prima schermata, selezionare Porto e fare clic su Il prossimo.
7. Selezionare ora la voce UDP e nel campo "Porte locali specifiche" digitare: 50, 500, 4500.
Al termine, fare clic su Avanti.
8. Lasciare l'impostazione predefinita "Consenti la connessione" e fare clic su Avanti .
9. Nella schermata successiva, fare clic su Avanti di nuovo.
10. A questo punto, digitare un nome per la nuova regola (ad esempio, "Consenti L2PT VPN") e fare clic su Finitura .
11. Chiudere le impostazioni del Firewall.
Passo 5. Come configurare il server dei criteri di rete per consentire l'accesso alla rete.
Per consentire agli utenti VPN di accedere alla rete attraverso la connessione VPN, procedere e modificare il Network Policy Server come segue:
1. Cliccare con il tasto destro del mouse su Registrazione e criteri dell'accesso remoto e selezionare Avvio dell'NPS
2. Nella scheda "Panoramica", selezionare le seguenti impostazioni e fare clic su OK :
-
- Concedere l'accesso: se la richiesta di connessione corrisponde a questo criterio. Server di accesso remoto (VPN-Dial up)
3. Aprire ora il file Connessioni ad altri server di accesso selezionare le stesse impostazioni e fare clic su OK.
-
- Concedere l'accesso: se la richiesta di connessione corrisponde a questo
criterio. Server di accesso remoto (VPN-Dial
su)
- Concedere l'accesso: se la richiesta di connessione corrisponde a questo
4. Chiudere le impostazioni di Network Policy Server.
Passo 6. Come abilitare le connessioni L2TP/IPsec dietro NAT.
Per impostazione predefinita, i moderni client Windows (Windows 10, 8, 7 o Vista) e i sistemi operativi Windows Server 2016, 2012 e 2008 non supportano le connessioni L2TP/IPsec se il computer Windows o il server VPN si trovano dietro un NAT. Per aggirare questo problema è necessario modificare il registro come segue, nel server VPN e i clienti:
1. Premere contemporaneamente i tasti Finestre 
+ R per aprire la casella di comando Esegui.
2. Tipo regedit e premere Entrare .
3. Nel riquadro di sinistra, spostarsi su questa chiave:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
4. Cliccare con il tasto destro del mouse su Agente politico e selezionare Nuovo -> DWORD (32 bit) Valore .
5. Per il nuovo tipo di nome della chiave: AssumeUDPEncapsulationContextOnSendRule e premere Entrare .
Nota: il valore deve essere inserito come indicato sopra e senza spazi.
6. Fare doppio clic su questa nuova chiave DWORD e inserire i dati del valore: 2
7. Chiudere Editor del Registro di sistema.
* Importante: Per evitare problemi quando ci si connette al server VPN da un computer client Windows (Windows Vista, 7, 8, 10 e 2008 Server), è necessario applicare questa correzione del registro anche ai client.
8. Riavviare la macchina.
Passo 7. Verificare che i servizi IKE e IPsec Policy Agent siano in esecuzione.
Dopo il riavvio, accedere al pannello di controllo dei servizi e assicurarsi che i seguenti servizi siano attivi e funzionanti. A tal fine:
1. Premere contemporaneamente i tasti Finestre 
+ R per aprire la casella di comando Esegui.
2 Nella casella di comando Esegui, digitare: services.msc e premere Entrare.
3. Assicurarsi che i seguenti servizi siano in funzione: *
-
- IKE e AuthIP Moduli di chiave IPsec Agente di policy IPsec
Note:
1. Se i servizi di cui sopra non sono in esecuzione, fare doppio clic su ciascun servizio e impostare il parametro Tipo di avvio a Automatico . Quindi fare clic su OK e riavvio il server.
2. È necessario assicurarsi che i servizi di cui sopra siano in esecuzione anche nel computer client Windows.
Passo 8. Come selezionare gli utenti che avranno l'accesso VPN.
Ora è il momento di specificare quali utenti potranno connettersi al server VPN (autorizzazioni Dial-IN).
1. Aperto Responsabile del server .
2. Da Strumenti selezionare Utenti e computer di Active Directory . *
Nota: se il server non appartiene a un dominio, andare a Gestione del computer -> Utenti e gruppi locali .
3. Selezionare Utenti e fare doppio clic sull'utente a cui si vuole consentire l'accesso VPN.
4. Selezionare la voce Composizione e selezionare Consentire l'accesso . Quindi fare clic su OK .
Passo 9. Come configurare il firewall per consentire l'accesso alla VPN L2TP (Port Forwarding).
Il passo successivo è consentire le connessioni VPN nel firewall.
1. Accedere all'interfaccia web del router.
2. All'interno della configurazione del router, inoltrare le porte 1701, 50, 500 e 4500 all'indirizzo IP del server VPN (consultare il manuale del router per la configurazione dell'inoltro delle porte).
- Ad esempio, se il server VPN ha l'indirizzo IP "192.168.1.8", è necessario inoltrare tutte le porte sopra menzionate a tale IP.
Aiuto supplementare:
- Per potersi connettere al proprio server VPN a distanza è necessario conoscere l'indirizzo IP pubblico del server VPN. Per trovare l'indirizzo IP pubblico (dal PC del server VPN), navigare a questo link: http://www.whatismyip.com/ Per assicurarsi di potersi connettere sempre al proprio server VPN è meglio avere un indirizzo IP pubblico statico. Per ottenere un indirizzo IP pubblico statico è necessario contattare la propriaSe non si vuole pagare per un indirizzo IP statico, si può impostare un servizio di DNS dinamico gratuito (ad esempio, un servizio di DNS dinamico). no-ip .) sul lato del router (server VPN).
Passo 10. Come impostare la connessione VPN L2TP su un computer client Windows.
Il passo finale consiste nel creare una nuova connessione VPN L2TP/IPSec al nostro VPN Server 2016 sul computer client, seguendo le istruzioni riportate di seguito:
- Articolo correlato: Come impostare una connessione VPN PPTP su Windows 10.
ATTENZIONE: Prima di continuare a creare la connessione VPN, procedete ad applicare la correzione del registro di sistema di cui al punto 6 anche sul computer client.
1. Aprire il Centro connessioni di rete e condivisione.
2. Cliccare Impostare una nuova connessione o rete
3. Selezionare Collegarsi al luogo di lavoro e fare clic su Il prossimo.
4. Quindi selezionare Utilizzare la mia connessione Internet (VPN).
5. Nella schermata successiva, digitare il nome Indirizzo IP pubblico del server VPN e la porta VPN assegnata sul lato del router, quindi fare clic su Creare .
Ad esempio, se l'indirizzo IP esterno è: 108.200.135.144, digitare: "108.200.135.144" nella casella Indirizzo Internet e in 'Nome destinazione' digitare il nome desiderato (ad esempio "L2TP-VPN").
6. Digitare il nome utente e la password per la connessione VPN e fare clic su Collegare.
7. Se si configura la VPN su un computer client Windows 7, la VPN tenterà di connettersi. Premere Salto e poi fare clic su Chiudere perché è necessario specificare alcune impostazioni aggiuntive per la connessione VPN.
8. Nel Centro connessioni di rete e condivisione fare clic su Modificare le impostazioni dell'adattatore a sinistra.
9. Cliccate con il tasto destro del mouse sulla nuova connessione VPN (ad esempio "L2TP-VPN") e selezionate Proprietà .
10. Selezionare la voce Sicurezza e scegliere Layer 2 (protocollo di tunneling con IPsec (L2TP/IPsec)) e poi fare clic su Impostazioni avanzate.
11. In "Impostazioni avanzate" digitate la chiave preshared (ad esempio "TestVPN@1234" in questo esempio) e fate clic su OK
12. Quindi fare clic su Consentire questi protocolli e selezionare l'opzione Microsoft CHAP versione 2 (MS-CHAP v2)
13. Quindi selezionare la voce Collegamento in rete Faremo doppio clic su Protocollo Internet versione 4 (TCP/IPv4) per aprire il suo Proprietà .
14. Per Server DNS preferito digitare l'indirizzo IP locale del server VPN (ad esempio "192.168.1.8" in questo esempio). *
Nota: questa impostazione è facoltativa, quindi va applicata solo se necessaria.
15. Quindi fare clic sul pulsante Avanzate e deselezionare il Utilizzare il gateway predefinito sulla rete remota perché vogliamo separare la navigazione in Internet dal PC dalla connessione VPN.
16. Infine, fare clic su OK chiudere continuamente tutte le finestre.
17. Ora fate doppio clic sulla nuova connessione VPN e fate clic su Collegare per collegarsi al proprio posto di lavoro.
Fatemi sapere se questa guida vi è stata utile lasciando un commento sulla vostra esperienza. Vi prego di mettere "Mi piace" e di condividere questa guida per aiutare gli altri.
Andy Davis
Il blog di un amministratore di sistema su Windows
