Configurare Win2003 per routing e accesso remoto

In questa guida spiegheremo come configurare il nostro windows 2003 Server sia come gateway per le connessioni a internet che come Server per le connessioni VPN.
Un requisito fondamentale per la corretta configurazione del nostro Server sono l’aver installato due schede di rete, la prima connesse direttamente ed esclusivamente sul router e la seconda connessa alla nostra lan. Le due connessioni di rete dovranno avere una configurazione a livello IP ben distinta, precisamente occuperanno due segmenti di rete diversi. Per facilitarci la questione rinominiamo le due connessioni posizionandoci con il puntatore del mouse su una di queste tasto dx> rinomina e precisamente chiameremo la connessione di rete verso il router (ESTERNA) e quella verso la lan (INTERNA). Per l’assegnazione degli indirizzi IP partiamo da quella ESTERNA dove avremo il nostro IP pubblico (funziona anche con ip statico) es. 192.168.2.1 la subnet relativa, il gateway 192.168.2.10 (l’indirizzo IP del router) e i server dns che ci avrà opportunamente comunicato il nostro ISP. Invece per la connessione INTERNA useremo una subnet diversa con IP 192.168.1.1 non inseriremo nessun gateway e nei dns metteremo l’IP del server stesso 192.168.1.1 che avremo opportunamente configurato come server DNS e settato i relativi server d’inoltro per Internet (la corretta configurazione del Server DNS è stata già trattata in un’altra guida).

 

Allora iniziamo a configurare il nostro server: start -> programmi -> strumenti di amministrazione -> routing e accesso remoto

 

sulla maschera appena aperta ci viene mostrata l’icona del nostro server con il bollino rosso questo sta a significare che non è stato ancora configurato.

 Tasto dx sul server e clicchiamo su (configura e abilita routing e accesso remoto), dopo aver fatto avanti ci verranno mostrati diversi tipi di configurazione, noi sceglieremo (Accesso VPN rete privata virtuale e NAT).

Poi ci viene chiesto quale sarà l’interfaccia di rete che fornirà l’accesso a Intenet e selezioneremo quella ESTERNA. Adesso dobbiamo stabilire in che modo il sistema assegnerà gli indirizzi IP ai client remoti, o in modo automatico (questo presuppone che sul server sia installato e configurato il DHCP) oppure specificando un intervallo d’indirizzi che il server assegnerà direttamente ai client (una sorta di DHCP semplificato), selezioniamo la seconda (da un intervallo di indirizzi specificato), avanti e clicchiamo su nuovo. Adesso inseriremo l’indirizzo IP iniziale dell’intervallo 192.168.1.50 e quello finale 192.168.1.60 in questo modo il Server sarà in grado di accettare un massimo di 11 connessioni simultanea, questo valore è totalmente variabile a seconda delle esigenze.

 In fine rimane da scegliere il sistema di autenticazione da adottare, o lasciare quello direttamente sul server o impostare su un Server Radius, lasceremo quindi l’autenticazione fatta dal server e concludiamo la configurazione. Ok il nostro Server è pronto, ora andiamo a configurare le connessioni di rete dei client nella LAN. Nella configurazione del TCP/IP del client gli metteremo come indirizzo IP uno utile per il segmento di rete assunto della LAN es. 192.168.1.2, Gateway 192.168.1.1 e DNS 192.168.1.1 ed il gioco e fatto, naturalmente potevamo delegare questa configurazione al Server DHCP sempre se questo è stato opportunamente configurato.
Con questo tipo di configurazione è abilitato di default il firewall sulla scheda di rete ESTERNA gestibile sempre dalla console di del (routing e accesso remoto)> vostro server> routing ip> firewall/NAT> tasto dx su esterna e proprietà. Nella maschera servizi e porte vedrete tutti quelli attivi che di default sono pochi ed in particolare non è attivo il (Desktop remoto) per una ipotetica tele-assistenza.

 

Per collegare i vostri client remoti al Server VPN basta indicare l’indirizzo IP pubblico del vostro server ed inserire le credenziali d’accesso valide, naturalmente nella nostra configurazione saranno utenti del Server stesso dove avremo abilitato nelle proprietà dell’account/chiamate in ingresso/autenticazione di accesso remoto (consenti accesso).


Installazione di una VPN con Video: Vedi DOC, Vedi Video 1: Client to Lan (15,2 Mb), Vedi Video 2: Lan to Lan(6,9 Mb)


Installare e configurare un server VPN (Virtual Private Network, rete privata virtuale)
Una rete privata virtuale (VPN, Virtual Private Network) consente di connettere componenti a una rete mediante un'altra rete, ad esempio Internet. È possibile trasformare un computer basato su Windows 2000 Server in un server di accesso remoto affinché altri utenti possano connettersi ad esso mediante VPN e quindi accedere a file condivisi nelle unità locali o in rete. Le reti private virtuali utilizzano a questo scopo il "tunneling" attraverso Internet o un'altra rete pubblica offrendo lo stesso livello di protezione e le stesse funzionalità di una rete privata. Con una rete VPN, le connessioni in una rete pubblica consentono di trasferire dati utilizzando l'infrastruttura di routing di Internet, anche se all'utente l'invio dei dati appare come effettuato mediante un collegamento privato dedicato.

In questo articolo viene descritto come installare reti private virtuali (VPN) e come creare una nuova connessione VPN in Windows 2000.

Una rete privata virtuale (VPN) consente di effettuare la connessione a una rete privata (ad esempio la rete aziendale) mediante una rete pubblica, ad esempio Internet, combinando quindi i vantaggi di una connessione remota a un server di connessione remota con la flessibilità e la semplicità di utilizzo di una connessione Internet. Utilizzando una connessione Internet, è possibile viaggiare e spostarsi ed essere comunque in grado, nella maggior parte dei casi, di effettuare la connessione al proprio ufficio con una telefonata locale al numero telefonico dell'accesso Internet più vicino. Se si dispone di una connessione Internet ad alta velocità (ad esempio via cavo o DSL) al proprio computer (e ai computer aziendali), è possibile comunicare con il proprio ufficio o la propria azienda sfruttando l'elevata velocità di Internet rispetto a qualsiasi connessione remota effettuata mediante un modem analogico.

Le reti VPN consentono di utilizzare collegamenti autenticati per garantire che solo gli utenti autorizzati siano in grado di accedere alla rete e impiegano sistemi crittografici per verificare che i dati inviati su Internet non possano essere intercettati e utilizzati da altri utenti. In Windows questo livello di protezione viene ottenuto mediante l'utilizzo dei protocolli PPTP (Point-to-Point Tunneling Protocol) o L2TP (Layer Two Tunneling Protocol).

La tecnologia VPN consente inoltre alle aziende di connettersi alle proprie filiali o ad altre imprese in una rete pubblica (quale Internet) mantenendo al contempo comunicazioni protette. La connessione VPN su Internet funziona a livello logico come un collegamento WAN (Wide Area Network) dedicato.

Configurazione di porte PPTP
Confermare il numero di porte PPTP desiderate. Per verificare il numero di porte o per aggiungere altre porte, attenersi alla seguente procedura:

1. Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Routing e Accesso remoto.
2. Nella struttura della console espandere Routing e Accesso remoto, espandere il nome del server, quindi fare clic su Porte.
3. Fare clic con il pulsante destro del mouse su Porte, quindi scegliere Proprietà.
4. Nella finestra di dialogo Proprietà della porta selezionare WAN Miniport (PPTP), quindi fare clic su Configura.
5. Nella finestra di dialogo Configura periferica selezionare il numero massimo di porte per la periferica, quindi selezionare le opzioni per specificare se la periferica accetta solo connessioni in ingresso o sia connessioni in ingresso che in uscita.

Gestione dei server dei nomi e degli indirizzi
È necessario che il server VPN disponga di indirizzi IP disponibili per poterli assegnare all'interfaccia virtuale del server VPN e ai client VPN durante la fase di negoziazione IPCP (IP Control Protocol) del processo di connessione. L'indirizzo IP assegnato al client VPN è assegnato all'interfaccia virtuale del client VPN.

Per i server VPN basati su Windows 2000, gli indirizzi IP assegnati ai client VPN vengono ottenuti tramite DHCP in base all'impostazione predefinita. È inoltre possibile configurare un pool di indirizzi IP statici. È necessario che il server VPN sia configurato con server di risoluzione dei nomi, solitamente indirizzi relativi a server DNS e WINS, per l'assegnazione al client VPN durante la negoziazione IPCP.

Gestione dell'accesso
Configurare le proprietà di accesso remoto per account utente e criteri di accesso remoto per gestire l'accesso per connessioni remote e connessioni VPN.

NOTA: in base all'impostazione predefinita agli utenti viene negato l'accesso alle funzionalità di accesso remoto.

Accesso effettuato da account utente
Se l'accesso remoto viene gestito su una base per utente, fare clic su Consenti accesso nella scheda Chiamate in ingresso della finestra di dialogo Proprietà dell'utente per gli account utente a cui è consentito creare connessioni VPN. Se il server VPN consente solo connessioni VPN, eliminare il criterio di accesso remoto predefinito denominato "Consenti accesso se l'autorizzazione chiamate in ingresso è abilitata". Creare quindi un nuovo criterio di accesso remoto con un nome descrittivo, ad esempio Accesso VPN se consentito da account utente. Per ulteriori informazioni, vedere la Guida di Windows 2000.

ATTENZIONE: dopo avere eliminato il criterio predefinito, sarà negato l'accesso a un client di accesso remoto che non corrisponda ad almeno una delle configurazioni dei criteri creati.

Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito ma limitarsi a spostarlo, in modo che sia l'ultimo criterio a essere preso in esame.

Accesso effettuato da gruppi
Se l'accesso remoto viene gestito su una base per gruppi, selezionare Controlla accesso tramite Criteri di accesso remoto in tutti gli account utente. Creare un gruppo Windows 2000 con membri a cui è consentito creare connessioni VPN. Se il server VPN consente solo connessioni VPN , eliminare il criterio di accesso remoto predefinito denominato Consenti accesso se l'autorizzazione chiamate in ingresso è abilitata. Creare un nuovo criterio di accesso remoto con un nome descrittivo, ad esempio Accesso VPN se membro di un gruppo con abilitazione VPN, quindi assegnare il gruppo Windows 2000 al criterio.

Se il server VPN consente anche servizi di accesso remoto, non eliminare il criterio predefinito ma limitarsi a spostarlo, in modo che sia l'ultimo criterio a essere preso in esame.

Configurazione di una connessione VPN da un computer client
Per impostare una connessione a una rete VPN:

1. Nel computer client confermare che la connessione a Internet è configurata correttamente.
2. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote.
3. Fare doppio clic su Crea nuova connessione.
4. Fare clic su Avanti, quindi su Connessione a una rete privata attraverso Internet e infine fare clic su Avanti.
5. Eseguire una delle seguenti operazioni:
* Se si utilizza una connessione remota per connettersi a Internet, fare clic su Connetti automaticamente a, quindi selezionare la connessione Internet dall'elenco.
* Se si utilizza invece una connessione dedicata (ad esempio con un modem via cavo), fare clic su Non effettuare prima alcuna connessione.
6. Fare clic su Avanti.
7. Digitare il nome dell'host (ad esempio, Microsoft.com) o l'indirizzo IP (ad esempio, 123.123.123.123) del computer al quale si desidera effettuare la connessione, quindi fare clic su Avanti.
8. Selezionare Per tutti gli utenti se si desidera che la connessione sia disponibile per chiunque effettui l'accesso al computer oppure selezionare Per uso personale per rendere disponibile la connessione solo quando un utente specifico effettua l'accesso al computer. Fare clic su Avanti.
9. Digitare un nome descrittivo per la connessione, quindi fare clic su Fine.

NOTA: questa opzione è disponibile solo se si effettua l'accesso come membro del gruppo Administrators.
10. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote.
11. Fare doppio clic sulla nuova connessione.
12. Scegliere Proprietà per configurare ulteriori opzioni relative alla connessione:
* Se si effettua la connessione a un dominio, scegliere la scheda Opzioni, quindi selezionare la casella di controllo Includi dominio di accesso Windows per specificare se richiedere informazioni sul dominio di accesso di Windows 2000 prima di effettuare la connessione.
* Se si desidera comporre nuovamente il numero per la connessione nel caso in cui cada la linea, scegliere la scheda Opzioni, quindi selezionare la casella di controllo Ricomponi se cade la linea.

Per utilizzare la connessione:

1. Fare clic sul pulsante Start, scegliere Impostazioni, quindi Rete e connessioni remote.
2. Fare doppio clic sulla nuova connessione.
3. Se non si dispone di una connessione a Internet, in Windows esiste la possibilità di effettuare tale connessione.
4. Una volta creata la connessione a Internet, nome utente e password vengono richiesti dal server VPN. Inserire nome utente e password e fare clic su Connetti: le risorse di rete dovrebbero essere disponibili nello stesso modo in cui sono disponibili connettendosi direttamente alla rete. NOTA: per disconnettersi dalla rete VPN, fare clic con il pulsante destro del mouse sull'icona della connessione, quindi scegliere Disconnetti.

RISOLUZIONE DEI PROBLEMI :
Risoluzione dei problemi relativi ai server VPN di accesso remoto
Impossibile stabilire una connessione VPN di accesso remoto

* Causa: il nome del computer client è uguale al nome di un altro computer in rete.

Soluzione: verificare che tutti i computer in rete e tutti i computer che effettuano connessioni alla rete utilizzino nomi univoci.
* Causa: il servizio Routing e Accesso remoto non è stato avviato nel server VPN.

Soluzione: verificare lo stato del servizio Routing e Accesso remoto nel server VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Monitoraggio del servizio Routing e Accesso remoto; Avvio e interruzione del servizio Routing e Accesso remoto.
* Causa: l'accesso remoto non è stato attivato nel server VPN.

Soluzione: attivare l'accesso remoto nel server VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Attivazione del server di accesso remoto.
* Causa: le porte PPTP o L2TP non sono state abilitate per le richieste di accesso remoto in ingresso.

Soluzione: abilitare le porte PPTP o L2TP, oppure entrambe, per le richieste di accesso remoto in ingresso. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Configurazione di porte per l'accesso remoto.
* Causa: i protocolli LAN utilizzati dai client VPN non sono stati abilitati per l'accesso remoto nel server VPN.

Soluzione: abilitare i protocolli LAN utilizzati dai client VPN per l'accesso remoto nel server VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Visualizzazione delle proprietà del server di accesso remoto.
* Causa: tutte le porte PPTP o L2TP nel server VPN sono già utilizzate da client di accesso remoto o da router di connessione a richiesta correntemente connessi.

Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN non siano già utilizzate facendo clic su Porte in Routing e Accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di porte PPTP o L2TP.
* Causa: il protocollo di tunneling del client VPN non è supportato dal server VPN.

In base all'impostazione predefinita, i client VPN di accesso remoto di Windows 2000 utilizzano l'opzione tipo server Automatico, mediante la quale tentano di stabilire prima una connessione VPN basata su L2TP con IPSec, quindi tentano di stabilire una connessione VPN basata su PPTP. Se i client VPN utilizzano l'opzione tipo server PPTP o L2TP, verificare che il protocollo di tunneling selezionato sia supportato dal server VPN.

In base all'impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e Accesso remoto è un server PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un server che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un server che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.

Soluzione: verificare che sia stato configurato il numero appropriato di porte PPTP o L2TP. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di porte PPTP o L2TP.
* Causa: il client VPN e il server VPN unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.

Soluzione: configurare il client VPN e il server VPN unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di autenticazione comune. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Configurazione dell'autenticazione.
* Causa: il client VPN e il server VPN unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.

Soluzione: configurare il client VPN e il server VPN unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di crittografia comune. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Configurazione della crittografia.
* Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.

Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto. Per stabilire la connessione, è necessario che le impostazioni della connessione:

o Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
o Ottengano un'autorizzazione di accesso remoto mediante l'account utente (impostato su Consenti accesso) o mediante l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
o Corrispondano a tutte le impostazioni del profilo.
o Corrispondano a tutte le impostazioni delle proprietà delle chiamate in ingresso dell'account utente.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Introduzione ai criteri di accesso remoto; Accettazione di un tentativo di connessione.
* Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietà del server VPN.

Le proprietà del profilo relativo al criterio di accesso remoto e le proprietà del server VPN contengono entrambe impostazioni relative a:
o Connessione multipla
o Protocollo di allocazione di ampiezza di banda (BAP, Bandwidth Allocation Protocol)
o Protocolli di autenticazione
Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del server VPN, il tentativo di connessione verrà respinto. Se ad esempio il profilo relativo al criterio di accesso remoto corrispondente specifica che è necessario utilizzare il protocollo di autenticazione EAP-TLS e EAP non è stato attivato nel server VPN, il tentativo di connessione verrà respinto.

Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietà del server VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Attivazione dei protocolli di autenticazione; Configurazione dell'autenticazione.
* Causa: il router di risposta non è in grado di convalidare le credenziali del router di chiamata (nome utente, password e nome dominio).

Soluzione: verificare che le credenziali del client VPN (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal server VPN.
* Causa: non esistono indirizzi sufficienti nel pool di indirizzi IP statici.

Soluzione: se il server VPN è configurato con un pool di indirizzi IP statici, verificare che nel pool vi siano sufficienti indirizzi. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client VPN connessi, il server VPN non è in grado di allocare un indirizzo IP e il tentativo di connessione verrà respinto. Se necessario, modificare il pool di indirizzi IP statici. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: TCP/IP e accesso remoto; Creazione di un pool di indirizzi IP statici.
* Causa: il client VPN è configurato per richiedere il proprio numero di nodo IPX e il server VPN non è configurato per consentire ai client IPX di richiedere il proprio numero di nodo IPX.

Soluzione: configurare il server VPN per consentire ai client IPX di richiedere il proprio numero di nodo IPX. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: IPX e accesso remoto.
* Causa: il server VPN è configurato con un intervallo di numeri di rete IPX utilizzato in un altro punto della rete IPX.

Soluzione: configurare il server VPN con un intervallo di numeri di rete IPX univoco per la propria rete IPX. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: IPX e accesso remoto.
* Causa: il provider delle autenticazioni del server VPN non è stato configurato correttamente.

Soluzione: verificare la configurazione del provider delle autenticazioni. È possibile configurare il server VPN per l'utilizzo di Windows 2000 o RADIUS per l'autenticazione delle credenziali del client VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Provider di autenticazioni e di amministrazione; Utilizzo dell'autenticazione RADIUS.
* Causa: il server VPN non è in grado di effettuare l'accesso ad Active Directory.

Soluzione: per un server VPN membro di un dominio Windows 2000 in modalità mista o in modalità originale configurato per l'autenticazione Windows 2000, verificare che:
o Esista il gruppo di protezione Server RAS e IAS. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Protezione e l'ambito del gruppo su Locale al dominio.
o Il gruppo di protezione Server RAS e IAS disponga dell'autorizzazione di lettura per l'oggetto RAS e IAS Servers Access Check.
o L'account computer del computer server VPN sia un membro del gruppo di protezione Server RAS e IAS. È possibile utilizzare il comando "netsh ras show registeredserver" per visualizzare la registrazione corrente. È possibile utilizzare il comando "netsh ras add registeredserver" per la registrazione del server in un dominio specifico.

Aggiungendo (o rimuovendo) il computer server VPN al gruppo di protezione Server RAS e IAS, la modifica non sarà attiva immediatamente (a causa del modo in cui le informazioni relative a Active Directory vengono memorizzate nella cache da Windows 2000). Perché questa modifica sia immediatamente attiva, è necessario riavviare il computer server VPN.
o Per un dominio in modalità originale, il server VPN sia aggiunto al dominio.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un gruppo; Verifica delle autorizzazioni per il gruppo di protezione RAS e IAS; Comandi NetShell di accesso remoto.
* Causa: un server VPN Windows NT 4.0 non è in grado di convalidare le richieste di connessione.

Soluzione: se i client VPN effettuano chiamate in ingresso a un server VPN che esegue Windows NT 4.0 ed è membro di un dominio Windows 2000 in modalità mista, verificare che il gruppo Everyone sia stato aggiunto al gruppo Pre-Windows 2000 Compatible Access con il comando "net localgroup "Pre-Windows 2000 Compatible Access"". In caso contrario, digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /add al prompt dei comandi in un computer controller di dominio, quindi riavviare il computer controller di dominio. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Server di accesso remoto Windows NT 4.0 in un dominio Windows 2000.
* Causa: il server VPN non è in grado di comunicare con il server RADIUS configurato.

Soluzione: se il server RADIUS è raggiungibile unicamente attraverso l'interfaccia Internet, aggiungere un filtro input e un filtro output all'interfaccia Internet per la porta UDP 1812 (sulla base della specifica RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)") o per la porta UDP 1645 (per i server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139 "Amministrazione RADIUS") o per la porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un filtro dei pacchetti.
* Causa: impossibile connettersi al server VPN su Internet mediante l'utilità Ping.exe.

Soluzione: a causa dei filtri dei pacchetti PPTP e L2TP su IPSec configurati nell'interfaccia Internet del server VPN, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando ping vengono scartati. Per abilitare il server VPN alla risposta ai pacchetti ICMP (ping), è necessario aggiungere un filtro input e un filtro output che consentano il traffico per il protocollo IP 1 (traffico ICMP). Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un filtro dei pacchetti.

Risoluzione dei problemi relativi alle connessioni VPN da router a router
Impossibile stabilire una connessione VPN da router a router

* Causa: il servizio Routing e Accesso remoto non è stato avviato nel client VPN (il router di chiamata) e nel server VPN (il router di risposta).

Soluzione: verificare lo stato del servizio Routing e Accesso remoto nel client VPN e nel server VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Monitoraggio del servizio Routing e Accesso remoto; Avvio e interruzione del servizio Routing e Accesso remoto.
* Causa: il routing LAN e WAN non è stato abilitato nel router di chiamata e nel router di risposta.

Soluzione: abilitare Routing locale e remoto (router LAN e WAN) nel router di chiamata e nel router di risposta. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Abilitazione del routing LAN e WAN.
* Causa: le porte PPTP o L2TP non sono abilitate per connessioni relative al routing con connessione a richiesta in ingresso e in uscita.

Soluzione: abilitare le porte PPTP o L2TP, oppure entrambe, per connessioni relative al routing con connessione a richiesta in ingresso e in uscita. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Abilitazione del routing nelle porte.
* Causa: tutte le porte PPTP o L2TP nel router di chiamata o di risposta sono correntemente utilizzate da client di accesso remoto o da router di connessione a richiesta connessi.

Soluzione: verificare che tutte le porte PPTP o L2TP nel server VPN non siano già utilizzate facendo clic su Porte in Routing e Accesso remoto. Se necessario, modificare il numero di porte PPTP o L2TP per consentire più connessioni simultanee. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di porte PPTP o L2TP.
* Causa: il protocollo di tunneling utilizzato dal router di chiamata non è supportato dal router di risposta.

In base all'impostazione predefinita, le interfacce di connessione a richiesta di Windows 2000 utilizzano l'opzione tipo server Automatico, mediante la quale tentano di stabilire prima una connessione VPN basata su L2TP con IPSec, quindi tentano di stabilire una connessione VPN basata su PPTP. Se i router di chiamata utilizzano l'opzione tipo server PPTP o L2TP, verificare che il protocollo di tunneling selezionato sia supportato dal router di risposta.

In base all'impostazione predefinita, un computer che esegue Windows 2000 Server e il servizio Routing e Accesso remoto è un router di connessione a richiesta abilitato per PPTP e L2TP con cinque porte L2TP e cinque porte PPTP. Per creare un router che utilizzi solo il protocollo PPTP, impostare il numero di porte L2TP su zero. Per creare un router che utilizzi solo il protocollo L2TP, impostare il numero di porte PPTP su zero.

Soluzione: verificare che nel router di chiamata e nel router di risposta sia stato configurato il numero appropriato di porte PPTP o L2TP. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di porte PPTP o L2TP.
* Causa: il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di autenticazione comune.

Soluzione: configurare il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di autenticazione comune. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Configurazione dell'autenticazione.
* Causa: il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto non sono configurati per l'utilizzo di almeno un metodo di crittografia comune.

Soluzione: configurare il router di chiamata e il router di risposta unitamente a un criterio di accesso remoto per l'utilizzo di almeno un metodo di crittografia comune. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Configurazione della crittografia.
* Causa: la connessione VPN non dispone delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto.

Soluzione: verificare che la connessione VPN disponga delle autorizzazioni appropriate mediante le proprietà delle chiamate in ingresso dell'account utente e dei criteri di accesso remoto. Per stabilire la connessione, è necessario che le impostazioni della connessione:
o Corrispondano a tutte le condizioni di almeno un criterio di accesso remoto.
o Le autorizzazioni di accesso remoto vengano concesse attraverso l'account utente (impostato su Consenti accesso) o attraverso l'account utente (impostato su Controlla accesso tramite Criteri di accesso remoto) e l'autorizzazione di accesso remoto del criterio di accesso remoto corrispondente (impostato su Consenti l'accesso remoto).
o Corrispondano a tutte le impostazioni del profilo.
o Corrispondano a tutte le impostazioni delle proprietà delle chiamate in ingresso dell'account utente.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Introduzione ai criteri di accesso remoto; Accettazione di un tentativo di connessione.
* Causa: le impostazioni del profilo relativo al criterio di accesso remoto sono in conflitto con le proprietà del router di risposta. Le proprietà del profilo relativo al criterio di accesso remoto e le proprietà del router di risposta contengono entrambe impostazioni relative a:

o Connessione multipla
o Protocollo di allocazione di ampiezza di banda (BAP, Bandwidth Allocation Protocol)
o Protocolli di autenticazione
Se le impostazioni del profilo del criterio di accesso remoto corrispondente sono in conflitto con le impostazioni del router di risposta, il tentativo di connessione verrà respinto. Se ad esempio il profilo relativo al criterio di accesso remoto corrispondente specifica che è necessario utilizzare il protocollo di autenticazione EAP-TLS e EAP non è stato attivato nel router di risposta, il tentativo di connessione verrà respinto.

Soluzione: verificare che le impostazioni del profilo relativo al criterio di accesso remoto non siano in conflitto con le proprietà del router di accesso remoto. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Attivazione dei protocolli di autenticazione; Configurazione dell'autenticazione.
* Causa: le credenziali del router di chiamata (nome utente, password e nome dominio) non sono corrette e non possono essere convalidate dal router di risposta.

Soluzione: verificare che le credenziali del router di chiamata (nome utente, password e nome dominio) siano corrette e possano essere convalidate dal router di risposta.
* Causa: non esistono indirizzi sufficienti nel pool di indirizzi IP statici.

Soluzione: se il router di risposta è configurato con un pool di indirizzi IP statici, verificare che nel pool vi siano sufficienti indirizzi. Se tutti gli indirizzi nel pool di indirizzi IP statici sono stati allocati a client di accesso remoto o router di connessione a richiesta connessi, il router di risposta non è in grado di allocare un indirizzo IP e il tentativo di connessione verrà respinto. Se necessario, modificare il pool di indirizzi IP statici. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: TCP/IP e accesso remoto; Creazione di un pool di indirizzi IP statici.
* Causa: il router di risposta è configurato con un intervallo di numeri di rete IPX utilizzato in un altro punto della rete IPX.

Soluzione: configurare il router di risposta con un intervallo di numeri di rete IPX univoci per la propria rete IPX. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: IPX e accesso remoto.
* Causa: il provider delle autenticazioni del router di risposta non è stato configurato correttamente.

Soluzione: verificare la configurazione del provider delle autenticazioni. È possibile configurare il router di risposta per l'utilizzo di Windows 2000 o RADIUS per l'autenticazione delle credenziali del client VPN. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Provider di autenticazioni e di amministrazione; Utilizzo dell'autenticazione RADIUS.
* Causa: il router di risposta non è in grado di accedere ad Active Directory.

Soluzione: per un router di risposta membro di un dominio Windows 2000 in modalità mista o in modalità originale configurato per l'autenticazione Windows 2000, verificare che:
o Esista il gruppo di protezione Server RAS e IAS. In caso contrario, creare il gruppo e impostare il tipo di gruppo su Protezione e l'ambito del gruppo su Locale al dominio.
o Il gruppo di protezione Server RAS e IAS disponga dell'autorizzazione di lettura per l'oggetto RAS e IAS Servers Access Check.
o L'account computer del computer router di risposta sia un membro del gruppo di protezione Server RAS e IAS. È possibile utilizzare il comando "netsh ras show registeredserver" per visualizzare la registrazione corrente. È possibile utilizzare il comando "netsh ras add registeredserver" per registrare il server in un dominio specifico.

Aggiungendo il computer router di risposta o rimuovendolo dal gruppo di protezione Server RAS e IAS, la modifica non sarà attiva immediatamente (a causa del modo in cui le informazioni relative ad Active Directory vengono memorizzate nella cache da Windows 2000). Affinché la modifica sia attiva immediatamente, è necessario riavviare il computer router di risposta.
o Per un dominio in modalità originale, il router di risposta sia aggiunto al dominio.
Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un gruppo; Verifica delle autorizzazioni per il gruppo di protezione RAS e IAS; Comandi NetShell di accesso remoto.
* Causa: un router di risposta che esegue Windows NT 4.0 con RRAS (Routing and Remote Access Service) non è in grado di convalidare richieste di connessione.

Soluzione: se i router di chiamata effettuano chiamate in ingresso verso un router di risposta che esegue Windows NT 4.0 con RRAS che è membro di un dominio Windows 2000 in modalità mista, verificare che il gruppo Everyone venga aggiunto al gruppo Accesso compatibile precedente a Windows 2000 con il comando net localgroup "Pre-Windows 2000 Compatible Access". In caso contrario, digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /add al prompt dei comandi in un computer controller di dominio, quindi riavviare il computer controller di dominio. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Server di accesso remoto Windows NT 4.0 in un dominio Windows 2000.
* Causa: il router di risposta non è in grado di comunicare con il server RADIUS configurato.

Soluzione: se il server RADIUS è raggiungibile unicamente attraverso l'interfaccia Internet, aggiungere un filtro input e un filtro output all'interfaccia Internet per la porta UDP 1812 (sulla base della specifica RFC 2138 "Remote Authentication Dial-In User Service (RADIUS)"), o alla porta UDP 1645 (per i server RADIUS meno recenti) per l'autenticazione RADIUS e la porta UDP 1813 (sulla base della specifica RFC 2139 "Amministrazione RADIUS") o alla porta UDP 1646 (per i server RADIUS meno recenti) per l'amministrazione RADIUS. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un filtro dei pacchetti.
* Causa: impossibile connettersi al router di risposta da Internet mediante l'utilità Ping.exe.

Soluzione: a causa dei filtri dei pacchetti PPTP e L2TP su IPSec configurati nell'interfaccia Internet del router di risposta, i pacchetti ICMP (Internet Control Message Protocol) utilizzati dal comando Ping vengono scartati. Per abilitare il router di risposta alla risposta ai pacchetti ICMP, è necessario aggiungere un filtro input e un filtro output che consentano il traffico per il protocollo IP 1 (traffico ICMP). Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un filtro dei pacchetti.

Impossibile inviare e ricevere dati

* Causa: l'interfaccia di connessione a richiesta appropriata non è stata aggiunta al protocollo instradato.

Soluzione: aggiungere l'interfaccia di connessione a richiesta appropriata al protocollo instradato. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un'interfaccia di routing.
* Causa: non esistono route su entrambi i lati della connessione VPN da router a router che supportino lo scambio bidirezionale di traffico.

Soluzione: a differenza di una connessione VPN di accesso remoto, una connessione VPN da router a router non consente di creare automaticamente una route predefinita. È necessario creare route su entrambi i lati della connessione VPN da router a router affinché il traffico possa essere instradato da e verso l'altro lato di tale connessione. È possibile aggiungere manualmente route statiche alla tabella di routing o è possibile aggiungere route statiche mediante protocolli di routing. Per connessioni VPN permanenti, è possibile attivare OSPF (Open Shortest Path First) o RIP (Routing Information Protocol) nella connessione VPN. Per connessioni VPN su richiesta, è possibile aggiornare automaticamente le route mediante un aggiornamento RIP statico automatico. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Aggiunta di un protocollo di routing IP; Aggiunta di una route statica; Esecuzione di aggiornamenti statici automatici.
* Causa: una connessione VPN bidirezionale da router a router viene interpretata dal router di risposta come una connessione di accesso remoto.

Soluzione: se il nome utente nelle credenziali del router di chiamata viene visualizzato in Client chiamate in ingresso in Routing e Accesso remoto, è possibile che il router di risposta interpreti il router di chiamata come client di accesso remoto. Verificare che il nome utente nelle credenziali del router di chiamata corrisponda al nome dell'interfaccia di connessione a richiesta nel router di risposta. Se il chiamante in ingresso è un router, lo stato della porta in corrispondenza della quale è stata ricevuta la chiamata è Attivo e lo stato dell'interfaccia di connessione a richiesta corrispondente è Connesso. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Verifica dello stato della porta nel router di risposta; Verifica dello stato dell'interfaccia di connessione a richiesta.
* Causa: i filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta impediscono il flusso del traffico.

Soluzione: verificare che non vi siano filtri dei pacchetti nelle interfacce di connessione a richiesta del router di chiamata e del router di risposta che impediscano l'invio o la ricezione del traffico. È possibile configurare ogni interfaccia di connessione a richiesta con filtri input e output IP e IPX per controllare l'esatta natura del traffico TCP/IP e IPX in ingresso e in uscita dall'interfaccia di connessione a richiesta. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Gestione dei filtri dei pacchetti.
* Causa: i filtri dei pacchetti nel profilo relativo al criterio di accesso remoto impediscono il flusso del traffico IP.

Soluzione: verificare che non vi siano filtri dei pacchetti TCP/IP configurati nelle proprietà del profilo dei criteri di accesso remoto nel server VPN (o nel server RADIUS se viene utilizzato Servizio di autenticazione Internet) che impediscano l'invio o la ricezione del traffico TCP/IP. È possibile utilizzare criteri di accesso remoto per configurare filtri dei pacchetti input e output TCP/IP che controllino l'esatta natura del traffico TCP/IP consentito per la connessione VPN. Verificare che i filtri dei pacchetti TCP/IP relativi al profilo non impediscano il flusso del traffico necessario. Vedere la Guida in linea di Windows 2000 per ulteriori informazioni sui seguenti argomenti: Configurazione di opzioni IP.

RIFERIMENTI : Per ulteriori informazioni sulla protezione VPN, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):

255784 (http://support.microsoft.com/default.aspx?kbid=255784) Increasing Security on Windows 2000 VPN Server