Configurare Win2003 per routing e accesso remoto

In questa guida spiegheremo come configurare il nostro windows 2003 Server sia come gateway per le connessioni a internet che come Server per le connessioni VPN.
Un requisito fondamentale per la corretta configurazione del nostro Server sono l’aver installato due schede di rete, la prima connesse direttamente ed esclusivamente sul router e la seconda connessa alla nostra lan. Le due connessioni di rete dovranno avere una configurazione a livello IP ben distinta, precisamente occuperanno due segmenti di rete diversi. Per facilitarci la questione rinominiamo le due connessioni posizionandoci con il puntatore del mouse su una di queste tasto dx> rinomina e precisamente chiameremo la connessione di rete verso il router (ESTERNA) e quella verso la lan (INTERNA). Per l’assegnazione degli indirizzi IP partiamo da quella ESTERNA dove avremo il nostro IP pubblico (funziona anche con ip statico) es. 192.168.2.1 la subnet relativa, il gateway 192.168.2.10 (l’indirizzo IP del router) e i server dns che ci avrà opportunamente comunicato il nostro ISP. Invece per la connessione INTERNA useremo una subnet diversa con IP 192.168.1.1 non inseriremo nessun gateway e nei dns metteremo l’IP del server stesso 192.168.1.1 che avremo opportunamente configurato come server DNS e settato i relativi server d’inoltro per Internet (la corretta configurazione del Server DNS è stata già trattata in un’altra guida).

 

Allora iniziamo a configurare il nostro server: start -> programmi -> strumenti di amministrazione -> routing e accesso remoto

 

sulla maschera appena aperta ci viene mostrata l’icona del nostro server con il bollino rosso questo sta a significare che non è stato ancora configurato.

 

Tasto dx sul server e clicchiamo su (configura e abilita routing e accesso remoto), dopo aver fatto avanti ci verranno mostrati diversi tipi di configurazione, noi sceglieremo (Accesso VPN rete privata virtuale e NAT).

 

Poi ci viene chiesto quale sarà l’interfaccia di rete che fornirà l’accesso a Intenet e selezioneremo quella ESTERNA. Adesso dobbiamo stabilire in che modo il sistema assegnerà gli indirizzi IP ai client remoti, o in modo automatico (questo presuppone che sul server sia installato e configurato il DHCP) oppure specificando un intervallo d’indirizzi che il server assegnerà direttamente ai client (una sorta di DHCP semplificato), selezioniamo la seconda (da un intervallo di indirizzi specificato), avanti e clicchiamo su nuovo. Adesso inseriremo l’indirizzo IP iniziale dell’intervallo 192.168.1.50 e quello finale 192.168.1.60 in questo modo il Server sarà in grado di accettare un massimo di 11 connessioni simultanea, questo valore è totalmente variabile a seconda delle esigenze.

 

In fine rimane da scegliere il sistema di autenticazione da adottare, o lasciare quello direttamente sul server o impostare su un Server Radius, lasceremo quindi l’autenticazione fatta dal server e concludiamo la configurazione. Ok il nostro Server è pronto, ora andiamo a configurare le connessioni di rete dei client nella LAN. Nella configurazione del TCP/IP del client gli metteremo come indirizzo IP uno utile per il segmento di rete assunto della LAN es. 192.168.1.2, Gateway 192.168.1.1 e DNS 192.168.1.1 ed il gioco e fatto, naturalmente potevamo delegare questa configurazione al Server DHCP sempre se questo è stato opportunamente configurato.
Con questo tipo di configurazione è abilitato di default il firewall sulla scheda di rete ESTERNA gestibile sempre dalla console di del (routing e accesso remoto)> vostro server> routing ip> firewall/NAT> tasto dx su esterna e proprietà. Nella maschera servizi e porte vedrete tutti quelli attivi che di default sono pochi ed in particolare non è attivo il (Desktop remoto) per una ipotetica tele-assistenza.

 

Per collegare i vostri client remoti al Server VPN basta indicare l’indirizzo IP pubblico del vostro server ed inserire le credenziali d’accesso valide, naturalmente nella nostra configurazione saranno utenti del Server stesso dove avremo abilitato nelle proprietà dell’account/chiamate in ingresso/autenticazione di accesso remoto (consenti accesso).