Creare un server VPN risulta molto utile allorquando ci si volesse collegare alle propria rete locale e accedere in sicurezza, a distanza, a tutte le risorse condivise. Nell’articolo VPN cos’è e quali sono i migliori servizi abbiamo visto come funziona una VPN e perché è utile servirsene.
Il consiglio, come abbiamo più volte indicato, è impostare il server VPN sul router oppure su un dispositivo che resta sempre acceso (ad esempio un server NAS) e, soprattutto, servirsi di un protocollo sicuro come OpenVPN (vedere gli articoli Server VPN, come crearlo usando un NAS, Rendere più sicura la VPN sui server NAS Synology e Server OpenVPN con interfaccia grafica: come installarlo) o il più recente e performante WireGuard (WireGuard, come creare un server VPN a casa o in azienda).
Purtroppo ad oggi Windows non supporta direttamente né OpenVPN né tanto meno WireGuard e sia l’impostazione di un server VPN così come il collegamento in modalità client sono possibili soltanto installando i rispettivi software di terze parti.
Anche Windows 10, come le precedenti versioni del sistema operativo, consente di creare un server VPN senza installare software di terze parti ma gli utenti possono creare soltanto un server che usa il vetusto e ormai superato protocollo Microsoft PPTP (Point to Point Encryption Protocol). Spiegavamo come usare questa opzione già nel 2011 (Creare una semplice rete VPN con Windows 7 e Windows XP) ma oggi, come detto, esistono molteplici alternativi molto più sicure.
Per carità, in casi di emergenza, per stabilire una connessione VPN con un server creato su un sistema Windows 10 si può ancora usare PPTP: il client collegato avrà pieno accesso a distanza a tutte le risorse condivise in rete locale, indipendentemente dal dispositivo utilizzato (ci si può collegare da remoto anche da smartphone e tablet). Il server VPN di Windows 10, tuttavia, non offre particolari garanzie in termini di sicurezza e non è possibile collegarsi con un numero di client remoti superiore a uno.
Impostare un server VPN in Windows 10
Per attivare un server VPN basato su protocollo PPTP in Windows 10 basta comunque premere la combinazione di tasti Windows+R
, digitare ncpa.cpl
, premere il pulsante ALT
quindi scegliere Nuova connessione in ingresso.
Nella schermata che comparirà, si deve scegliere il nome utente da usare per effettuare l’autenticazione dal dispositivo remoto che si collega al server VPN.
Dopo aver fatto clic su Avanti si dovrà spuntare la casella Tramite Internet quindi attivare Protocollo Internet versione 4, Condivisione file e stampanti per reti Microsoft e Utilità di pianificazione pacchetti QoS.
Selezionando Protocollo Internet versione 4 e cliccando su Proprietà, si dovrà spuntare la casella Consenti ai chiamanti di accedere alla rete locale quindi specificare un intervallo di indirizzi IP che possono essere assegnati ai dispositivi collegati di volta in volta via VPN (fuori dal range utilizzabile dal server DHCP configurato sul router).
Cliccando su Consenti accesso, nella finestra Connessioni di rete apparirà la nuova icona Connessioni in ingresso. Non appena un client dovesse accedere da remoto attraverso il server VPN appena configurato, comparirà una seconda icona con il nome WAN Miniport (PPTP) e un riferimento all’account utente in uso.
Windows 10 si occupa di impostare automaticamente il suo firewall acconsentendo alla gestione delle richieste di connessione in arrivo sulla VPN. Lo si può verificare digitando Windows Defender Firewall nella casella di ricerca, cliccando su Consenti app o funzionalità attraverso Windows Defender Firewall (colonna di sinistra) quindi sul pulsante Modifica impostazioni. La regola Routing e accesso remoto risulterà abilitata sia per le reti private che per quelle pubbliche: Differenza tra rete pubblica e rete privata in Windows 10.
Il sistema Windows 10 che fa da intermediario per l’accesso remoto alla LAN via VPN deve avere un indirizzo IP privato statico (Indirizzo IP statico, come averlo e a cosa serve).
Dopo averlo annotato, bisogna portarsi nel pannello di amministrazione del router e attivare il port forwarding (Port forwarding, cos’è e qual è la differenza con il port triggering) delle porte TCP 1723 e UDP 1701.
Nell’esempio in figura, il server VPN Windows 10 ha IP privato 192.168.1.60
.
Il router dovrà inoltre usare un indirizzo IP pubblico di tipo statico (in alternativa si dovrà attivare un servizio DDNS): Il mio IP: come trovarlo e a che cosa serve.
Collegare il client al server VPN di Windows 10
Dopo aver riavviato il sistema Windows 10 sul quale si è appena configurata la VPN, si potrà provare a effettuare una connessione da un dispositivo client sia esso Windows, Linux, Android o iOS.
In Windows 10, basta digitare Impostazioni VPN nella casella di ricerca quindi cliccare su Aggiungi connessione VPN.
A questo punto basterà indicare i vari dati richiesti avendo cura di specificare, nel campo Nome o indirizzo server l’indirizzo IP pubblico statico o l’indirizzo mnemonico (gestito via DDNS) della macchina Windows 10 sul quale si è configurato il server VPN.
La connessione remota verrà così immediatamente stabilita e aprendo una finestra del prompt dei comandi, con il comando ping 192.168.1.1
(sostituire l’IP con quello del router o di un altro sistema connesso in LAN) si otterrà immediatamente risposta.
Non solo. Nella finestra Rete di Windows si otterrà la lista dei sistemi collegati alla rete locale, pur essendo connessi a distanza da una rete completamente diversa, e premendo Windows+R
quindi digitando \\NOME-PC\NOME-RISORSA
si potrà accedere direttamente una cartella condivisa (effettuare le opportune sostituzioni).
La stessa operazione può essere effettuata da un client Android cercando VPN tra le impostazioni (scegliere PPTP come Tipo del server VPN).
In tutti i casi, per impostazione predefinita, una volta stabilita la connessione alla VPN, i client navigheranno inoltre sulla rete Internet usando l’IP pubblico associato al router remoto.
Cliccando con il tasto destro del mouse su Connessioni in ingresso nella finestra Connessioni di rete del sistema Windows 10, il server VPN sarà immediatamente disattivato e rimosso.
Creare un server VPN con IPSec su Windows Server
Per creare un server VPN più sicuro, ci si può appoggiare a Windows Server che consente anche l’utilizzo del protocollo IPSec: Reti VPN: differenze tra PPTP, L2TP IPSec e OpenVPN.
Per procedere, dalla finestra Server Manager si deve cliccare su Aggiungi ruoli e funzionalità, selezionare il sistema locale quindi spuntare la casella Accesso remoto.
Nella successiva sezione Servizi ruolo, spuntare le caselle DirectAccess e VPN (RAS) e Routing.
Al termine dell’installazione delle funzionalità per l’accesso remoto, si può cliccare sul link Apre attività iniziali guidate quindi sul pulsante Distribuisci solo VPN.
Cliccando con il tasto destro sul nome del server, bisognerà selezionare Configura e abilita Routing e Accesso Remoto. Bisognerà quindi scegliere l’opzione Configurazione personalizzata, poi attivare la casella Accesso VPN e cliccare sul pulsante Avvia servizio.
Con un clic col tasto destro sul nome del server nella finestra Routing e Accesso remoto (richiamabile anche dal Server Manager cliccando sulla voce di menu Strumenti), selezionando Proprietà ci si dovrà portare nella scheda Sicurezza. Spuntando la casella Consenti criterio IPsec personalizzato per la connessione L2TP/IKEv2, si dovrà quindi impostare una chiave di accesso nel campo sottostante.
Cliccando sulla scheda IPv4, come visto nel caso del server VPN di Windows 10, selezionando l’opzione Pool indirizzi statici si dovrà impostare un intervallo di IP privati che Windows Server potrà assegnare ai client collegati a distanza.
Dopo aver cliccato su OK, si dovrà fare clic con il tasto destro del mouse sul nome del server, scegliere Tutte le attività quindi Riavvia.
Su un server a sé stante, premendo Windows+R
e digitando lusrmgr.msc
, si dovrà cliccare due volte sul nome dell’utente autorizzato ad accedere alla VPN da remoto, selezionare la scheda Chiamate in ingresso quindi selezionare Consenti accesso nel riquadro Autorizzazione di accesso alla rete.
Altrimenti, per i server connessi con un dominio, si dovrà accedere alla finestra per la gestione di utenti e computer di Active Directory.
A questo punto, sul router bisognerà attivare il port forwarding sulle seguenti porte specificando l’indirizzo IP privato della macchina Windows Server:
– TCP 1701
– UDP 500
– UDP 4500
Collegare un client al server VPN IPSec creato sulla macchina Windows Server
Indipendentemente dal tipo di client col quale ci si collega al server VPN remoto, questa volta bisognerà selezionare la voce L2TP/IPSec con chiave già condivisa oppure L2TP/IPSec PSK (acronimo di pre-shared key). Indicare quindi la chiave decida in precedenza in fase di impostazione del server VPN e le credenziali dell’account autorizzato ad accedere a distanza.
Nel caso dei dispositivi Android, ad esempio, la schermata di configurazione della VPN è molto simile:
Nella finestra Routing e Accesso remoto di Windows Server, cliccando su Client di accesso remoto, si otterrà la lista dei dispositivi client al momento connessi a server VPN.
Anche in questo caso i client connessi alla VPN, oltre a poter accedere da remoto alle risorse condivise nella rete locale, navigheranno usando l’IP pubblico del router al quale Windows Server è connesso.
In figura il comando PING lanciato da un dispositivo Android remoto collegato al server VPN verso un sistema collegato alla rete LAN (IP 192.168.1.2
). Come si vede, dallo smartphone collegato alla rete dati dell’operatore di telefonia mobile il sistema risponde in questo caso con una latenza pari a 90-130 ms.