Skip to topic | Skip to bottom
Home
Web attivi: Reteisi | Pmb
user: TWikiGuest
Registrazione | Mappa | Cambiamenti | Indice | Ricerca | Vai | Calcolatrice

Sei qui: Reteisi > DocTecWoody > IsiVpn



Start of topic | Skip to actions

Virtual Private Network

Una VPN è una connessione alla rete locale che avviene via internet anzichè via cavo.
In buona sostanza viene creato un canale di comunicazione punto punto (tunnel) tra il client remoto e il firewall della rete locale, la comunicazione è criptata.
Il modello di rete da noi proposto utilizza le VPN tipicamente per la connessione delle reti delle sedi staccate alla intranet della rete della sede principale della scuola. Altre applicazioni riguardano la possibilità di fornire accesso protetto alla rete della scuola ai pc domestici degli insegnanti e/o degli studenti.

Nel seguito si utilizzeranno le seguenti convenzioni:

IP_CLIENT indirizzo ip privato del client (es. 192.168.1.1), il client può essere il firewall di un plesso oppure il pc di un docente o di un amministratore del sistema

IP_FIREWALL indirizzo ip privato del firewall su una delle sottoreti gestite dal firewall (es.192.168.10.1)

FW_TUNNEL nome della VPN, pur potendo essere qualsiasi, si consiglia di prefissare il nome con fw_

Si presuppone che Argolinux sia installato anche sul client e che si sia in grado di accedere come root via ssh sul firewall.

Configurazione del client

  • aprire una console di root
  • abilitare il modulo del kernel per il supporto VPN, la cosa si ottiene ordinando modprobe tun e modificando il file /etc/modules aggiungendo una riga contenente la sola parola tun
  • modificare il file /etc/devfs/compat_symlinks scommentando le righe iniziali contenenti ^net/tun$
  • ordinando # make_vpn -c IP_CLIENT/24 -s IP_FIREWALL/24 -n FW_TUNNEL si otterranno i due file di configurazione vtund-FW_TUNNEL-cli.conf, file di configurazione della VPN lato client e vtund-FW_TUNNEL-srv.conf, file di configurazione della VPN lato server. Si presti attenzione all'opzione -s IP_FIREWALL/24, sostituendo il /24 con /16 si ottiene l'indifferenza del tunnell in relazione alla pluralità di VLAN eventualmente facenti capo al firewall (semprechè queste esse abbiano i primi 16 bit uguali (es. 192.168.xxx.xxx).
  • copiare e rinominare il file vtund-FW_TUNNEL-cli.conf sul client in /etc/vtund.conf
  • copiare e rinominare il file vtund-FW_TUNNEL-srv.conf sul firewall in /etc/vtund.conf
  • modificare il file /etc/vtund-start.conf aggiungendo una riga contenente IP_CLIENT IP_FIREWALL

Configurazione del server

  • assicurarsi di aver copiato e rinominato il file vtund-FW_TUNNEL-srv.conf sul firewall in /etc/vtund.conf
  • modificare il file /etc/vtund-start.conf scommentando l'ultima riga contenente --server-- 5000
  • modificare il file /etc/argo/fw.conf aggiungendo la porta 5000 alla variabile TCP_DPORTS (la VPN utilizza normalmente questa porta), assicurarsi che il router adsl lasci passare il traffico diretto a questa porta, se la VPN non funziona è probabile che sia proprio per questo motivo, per cui bisognerà provvedere anche all´apertura della porta sul router.
  • modificare il file /etc/devfs/compat_symlinks scommentando le righe iniziali contenenti ^net/tun$
  • abilitare il modulo del kernel per il supporto VPN, la cosa si ottiene ordinando modprobe tun e modificando il file /etc/modules aggiungendo una riga contenente la sola parola tun
  • avviare il servizio sul server con il comando /etc/init.d/vtun start
  • avviare il servizio sul client con il comando /etc/init.d/vtun start

Controllare che il tunnel sia attivo digitando sia sul client che sul server ifconfig tun0. La VPN potrà essere spenta con /etc/init.d/vtun stop e il file di configurazione riletto con /etc/init.d/vtun reload

Uso della VPN

Le VPN permettono di ottenere una connessione di rete geografica (WAN) che nelle scuole può essere estremamente utile per collegare plessi distanti.
Ovviamente si tratta di un collegamento lento perché deve sottostare alla limitata velocità della connessione internet (tipicamente 256/640 kbps con linea Adsl).
Tale collegamento di rete permette la condivisione di cartelle anche tra client Windows. Per avere un link a una cartella condivisa su un PC di un altro plesso si può fare in questo modo:
  • creare il tunnel come spiegato sopra
  • condividere opportunamente la cartella sul PC che fa da server VPN, assegnando gli opportuni permessi
  • su un qualsiasi client Windows facente parte della rete cablata cui è collegato il client VPN, creare un collegamento (link) in una qualsiasi cartella, al limite sul desktop:
    • clic col pulsante destro, Nuovo, Collegamento
    • Nella casella Percorso, digitare \\IP_del_server\cartella_condivisa
    • Confermare con OK
A questo punto, se l'utente ha i permessi di accesso alla cartella condivisa, è possibile lavorare come se la cartella fosse in rete locale.

PS=a tale proposito, se si intende utilizzare questa possibilità, sarà opportuno creare in tutti i plessi degli utenti che hanno il diritto di accesso alle cartelle che si vogliono condividere. La decisione di quali utenti abilitare e quali cartelle condividere va stabilita in base alle esigenze.

Reteisi.IsiVpn r1.1 - 12 Jun 2021 - 06:45 - TWikiGuest
Copyright © 1999-2006 degli autori degli articoli. Tutto il materiale presente su questa piattaforma collaborativa è di proprietà di chi l'ha prodotto. Idee, richieste, problemi relativi a TWiki? Invia feedback