Guida: configurare Windows 10 come server VPN

Windows 10 consente di trasformare il PC in un server VPN senza bisogno di installare null'altro, persino quando il nostro router è sprovvisto della funzionalità "server VPN". Potremo così connetterci alla LAN con il portatile o lo smartphone mentre siamo fuori casa/ufficio e sfruttare un tunnel crittografato per navigare in sicurezza, persino mediante connessioni Wi-Fi non-protette. Vediamo allora come configurare Windows 10 come server VPN.

Il risultato sarà tecnicamente analogo a quello che abbiamo presentato nell'articolo "Internet/BitTorrent anonimo: la Grande Guida alle VPN":

Vi sono però alcune differenze importanti:

1. poiché il server VPN è il nostro PC di casa/ufficio, la riservatezza è totale: contrariamente alle VPN commerciali, qui non condividiamo il traffico con nessuno
2. l'indirizzo IP "visto" dai siti ed altri host ai quali ci connetteremo è quello del server VPN, ovvero il PC di casa. L'anonimato viene dunque a mancare
3. tutto quanto è assolutamente gratuito
4. la velocità dipende dalla banda in upload disponibile al PC nel ruolo di server VPN. Impiegando una tradizionale linea ADSL, prepariamoci dunque a pazientare parecchio mentre scarichiamo dati ad appena... 512 kbs!

verifica dei requisiti

I requisti per seguire questa guida ed usare un PC Windows 10 come server VPN non sono molti. Serve solo:

1. un comune PC/notebook con Windows sul quale attivare il servizio - questa guida è incentrata su Windows 10, ma la procedura è grossomodo analoga da Windows Vista in poi
2. una connessione a banda larga (come la maggior parte delle ADSL) mediante la quale connettere il succitato PC ad Internet e lasciarlo "sempre connesso"
3. è indispensabile che il provider della connettività Internet non adotti un sistema NAT (Network Address Translation) ma assegni un indirizzo IP pubblico. Per maggiori informazioni:

» Leggi: Significato indirizzo IP pubblico/privato (NAT) e statico/dinamico: confronto connessione ADSL/Fibra TIM, Vodafone, Fastweb, Eolo ecc

Per quanto riguarda il dispositivo "client", ovvero quello che useremo per collegarci da remoto alla nostra VPN, non ci sono requisiti particolari: qualsiasi computer/smartphone/tablet in grado di accedere ad Internet con un qualsiasi tipo di connettività è sufficiente. Per essere assolutamente chiari: la connessione utilizzata dal client può tranquillamente essere anche di tipo NAT: potremo dunque collegarci alla nostra VPN remota anche utilizzando la connessione dati dello smartphone o un router portatile 3G/4G/5G.

Passo 1: Avviare la procedura guidata

La configurazione del server VPN integrato in Windows 10 si svolge tramite il vecchio Pannello di controllo. Per raggiungere rapidamente la posizione appropriata:

1. premere la combinazione da tastiera Win+R per richiamare Esegui
2. impartire il comando control netconnections (in alternativa: ncpa.cpl è equivalente)

Passo 2: Nuova connessione in ingresso

Una volta davanti a Connessioni di rete, premere il tasto Alt sulla tastiera per far comparire la Barra dei menu, quindi cliccare la voce Nuova connessione in ingresso...

In caso vi comparisse una schermata informativa che recita Nessun dispositivo rilevato, cliccate Configura comunque una connessione (questo avviso non sempre appare, ma non sono riuscito a capire da cosa dipenda).

Passo 3: Scelta degli utenti

Spuntate ora gli utenti autorizzati a connettersi tramite VPN, oppure utilizzate il pulsante Aggiungi utente... per creare nuovi account

Gli account già presenti sono quelli "di sistema". Ricordate dunque di proteggere quelli abilitati all'accesso VPN tramite una buona password:

» Leggi: Guida Windows 10: come proteggere con password l'account utente e l'accesso al computer

Passo 4: Accettare connessioni tramite Internet

In caso vi venisse richiesto di confermare le modalità con le quali gli utenti possono connettersi, spuntate soltanto Tramite Internet e proseguite

Passo 5: Opzioni IPv4

Al passo successivo, assicuratevi che siano spuntati:

1. Protocollo Internet versione 4 (TCP/IPv4)
2. Condivisione file e stampanti per reti Microsoft

Ora selezionate Protocollo Internet versione 4 (TCP/IPv4) e cliccate sul pulsante Proprietà.

Sinceratevi che Consenti ai chiamanti di accedere alla rete locale sia attivo, quindi rivolgete la vostra attenzione poco più in basso e scegliete Specifica indirizzi IP.

Ora viene la parte un pochino più delicata. Dobbiamo infatti immettere un intervallo di indirizzi IP di rete locale da riservare alla VPN. Per ottenere il risultato ottimale ed evitare una serie infinita di complicazioni, tale sequenza deve far parte della stessa rete utilizzata internamente dalla nostra LAN.

» Leggi: Trovare il nome, l'indirizzo IP e il MAC address del proprio computer Windows

Per esempio, potremmo scegliere tutti gli indirizzi compresi fra 192.168.0.200 e 192.168.0.210: indicate il primo numero nel campo Da:, ed il secondo in A:

Confermate ed andate avanti.

Passo 6: Finalizzazione

Attendete qualche istante mentre Windows si prepara ad accettare le connessioni VPN

A questo punto potreste ricevere il seguente errore:

Windows: impossibile creare la connessione

Le connessioni in ingresso dipendono dal servizio Routing e Accesso remoto, ma non è stato possibile avviare tale servizio

In tal caso, applicate queste soluzioni e ricominciate la procedura dall'inizio:

» Leggi: Windows 10 errore server VPN: impossibile creare la connessione Le connessioni in ingresso dipendono dal servizio Routing e Accesso remoto, ma non è stato possibile avviare tale servizio

Passo 7: Fine dalla procedura guidata

Quando l'operazione termina con successo, Windows visualizza un messaggio di conferma ed il nome del PC

Tornati alla schermata Connessioni di rete, noterete la comparsa di un nuovo elemento di nome Connessioni in ingresso

Questo conferma che la configurazione è stata conclusa correttamente ed il server VPN di Windows 10 è funzionante.

Passo 8: Aprire le porte sul firewall

Ora che il servizio è operativo, dobbiamo far sì che il firewall non intralci la comunicazione.

Per quanto riguarda Windows Firewall, ovvero il programma integrato nel sistema operativo, la procedura guidata ha già predisposto automaticamente tutto quanto. Per accertarcene, apriamo Windows Firewall -> App consentite e assicuriamoci che per Routing e Accesso remoto siano spuntate sia Privata, sia Pubblica

» Leggi: Guida: come aprire le porte su Windows Firewall

Se invece state utilizzando un firewall di terze parti, fate riferimento alla sua guida in linea per scoprire come creare una regola e consentire tutte le seguenti:

• connessioni in ingresso sulla porta 1723 TCP
• connessioni in ingresso sulla porta 1701 UDP
• connessioni su protocollo GRE

Passo 9: Inoltrare le porte sul router

Dobbiamo ora aprire le porte sul router, ovvero far sì che il router inoltri verso il PC le connessioni VPN dei client. Nello svolgere la procedura, ricordate che le porte da "aprire" sono:

• 1723 TCP
• 1701 UDP

» Leggi: Come aprire le porte sul router/modem: la guida definitiva al port forwarding (inoltro delle porte)

Passo 10: Attivare VPN PassThrough sul router

Sempre dall'interfaccia di configurazione del router, dobbiamo abilitare un'opzione chiamata VPN PassThrough (oppure PPTP Passthrough e/o L2TP Passthrough).

La posizione esatta di questa opzione varia da router a router. Sul mio TP-Link Archer D7, ad esempio, si trova sotto NAT Forwarding -> ALG

Passo 11: Escludere gli IP VPN dal router

Prima di completare la configurazione del router, dobbiamo avere un'altra accortezza: poiché al Passo 4 abbiamo configurato il servizio VPN in modo da assegnare un indirizzo IP di rete locale ai client che si connettono via VPN, dobbiamo fare in modo che il servizio DHCP sul router non distribuisca a propria volta gli stessi indirizzi IP, generando un'incompatibilità. Nel nostro caso, avevamo scelto l'intervallo da 192.168.0.200 a 192.168.0.210., quindi dobbiamo fare in modo che questo range sia escluso dal router.

Ancora una volta, la posizione esatta di questa opzione varia da router a router. Nel mio caso era sotto Network -> LAN Settings, ed è bastato specificare che il servizio DHCP utilizzi gli indirizzi fino a 192.168.0.199

Passo 12: Ottenere un nome a dominio dinamico (DDNS)

Procediamo ora a registrare un nome a dominio dinamico (DDNS): sarà simile a miopc.duckdns.org, e lo utilizzeremo sul client (notebook/smartphone) per indicare a quale server VPN connetterci:

» Leggi: Guida a Dynamic DNS (DDNS) con Duck DNS - Un indirizzo fisso gratuito per il tuo PC su Internet

Passo 13: Connettersi con il client

Arrivati a questo punto, è davvero tutto pronto. Non vi resta altro da fare se non connettervi da uno dei vostri client:

• Windows: Connessione VPN con Windows 10: come si fa?
• Ubuntu: Guida Ubuntu: come connettere il PC portatile alla VPN aziendale
• Android: Creare una connessione VPN da Android: guida rapida

Una volta che il primo client si è connesso, date nuovamente un'occhiata a Connessioni di rete: noterete che:

• di fianco all'icona Connessioni in ingresso è apparsa la dicitura 1 client connesso
• è apparsa una nuova connessione di tipo WAN Miniport che indica il nome dell'account VPN attualmente in uso

Una limitazione importante

Il server VPN integrato in Windows 10 è studiato per farne un uso "personale", ovvero per consentire al proprietario di raggiungere il proprio PC di lavoro anche quando si trova fuori sede. Di conseguenza, può essere usato da una sola persona per volta: se un device è collegato alla VPN, il tentativo di connetterne un secondo si concluderà con l'errore Impossibile connettersi. Impossibile accettare la richiesta di connessione. Un'altra connessione di questo tipo è in uso.

In caso di problemi

Quando tutto sembra essere configurato come da manuale ma il servizio remoto continua a non rispondere, c'è solo una cosa da fare: armarsi di questa "checklist" e... trovare l'inghippo.

» Leggi: "Impossibile connettersi al computer remoto": cosa fare quando i nostri servizi non rispondono ai client