r9 - 29 Dec 2021 - 07:50:18 - WebMasterYou are here: TWiki >  Reteisi Web > DocTecDebian > IsiVpn
ANNUNCIO: L'aggiornamento dei pacchetti ISI produce importanti cambiamenti, leggete questa nota

Virtual Private Network

Una VPN Ŕ una connessione alla rete locale che avviene via internet anzichŔ via cavo.
In buona sostanza viene creato un canale di comunicazione punto punto (tunnel) tra il client remoto e il firewall della rete locale, la comunicazione Ŕ criptata.
Il modello di rete da noi proposto utilizza le VPN tipicamente per la connessione delle reti delle sedi staccate alla intranet della rete della sede principale della scuola. Altre applicazioni riguardano la possibilitÓ di fornire accesso protetto alla rete della scuola ai pc domestici degli insegnanti e/o degli studenti.

Nel seguito si utilizzeranno le seguenti convenzioni:

IP_CLIENT indirizzo ip privato del client (es. 192.168.1.1), il client pu˛ essere il firewall di un plesso oppure il pc di un docente o di un amministratore del sistema

IP_FW_PRIV indirizzo ip privato del firewall su una delle sottoreti gestite dal firewall (es.192.168.10.1)

IP_FW_PUBL indirizzo ip pubblico del firewall o nome host risolubile da /etc/hosts o dal DNS

FW_TUNNEL nome della VPN, pur potendo essere qualsiasi, si consiglia di prefissare il nome con fw_

Si presuppone che Argolinux sia installato anche sul client e che si sia in grado di accedere come root via ssh sul firewall.

Configurazione del client

  • aprire una console di root
  • abilitare il modulo del kernel per il supporto VPN, la cosa si ottiene ordinando modprobe tun e modificando il file /etc/modules aggiungendo una riga contenente la sola parola tun
  • ordinando # make_vpn -c IP_CLIENT/24 -s IP_FW_PRIV/24 -n FW_TUNNEL si otterranno i due file di configurazione vtund-FW_TUNNEL-cli.conf, file di configurazione della VPN lato client e vtund-FW_TUNNEL-srv.conf, file di configurazione della VPN lato server. Si presti attenzione all'opzione -s IP_FW_PRIV/24, sostituendo il /24 con /16 si ottiene l'indifferenza del tunnell in relazione alla pluralitÓ di VLAN eventualmente facenti capo al firewall (semprechŔ queste esse abbiano i primi 16 bit uguali (es. 192.168.xxx.xxx).
  • copiare e rinominare il file vtund-FW_TUNNEL-cli.conf sul client in /etc/vtund.conf
  • copiare e rinominare il file vtund-FW_TUNNEL-srv.conf sul firewall in /etc/vtund.conf
  • modificare il file /etc/vtund-start.conf aggiungendo una riga contenente FW_TUNNEL IP_FW_PUBL

Configurazione del server

  • assicurarsi di aver copiato e rinominato il file vtund-FW_TUNNEL-srv.conf sul firewall in /etc/vtund.conf
  • modificare il file /etc/vtund-start.conf scommentando l'ultima riga contenente --server-- 5000
  • modificare il file /etc/argo/fw.conf aggiungendo la porta 5000 alla variabile TCP_DPORTS (la VPN utilizza normalmente questa porta), assicurarsi che il router adsl lasci passare il traffico diretto a questa porta, se la VPN non funziona Ŕ probabile che sia proprio per questo motivo, per cui bisognerÓ provvedere anche all┤apertura della porta sul router.
  • abilitare il modulo del kernel per il supporto VPN, la cosa si ottiene ordinando modprobe tun e modificando il file /etc/modules aggiungendo una riga contenente la sola parola tun
  • avviare il servizio sul server con il comando /etc/init.d/vtun start
  • avviare il servizio sul client con il comando /etc/init.d/vtun start

Controllare che il tunnel sia attivo digitando sia sul client che sul server ifconfig tun0. La VPN potrÓ essere spenta con /etc/init.d/vtun stop e il file di configurazione riletto con /etc/init.d/vtun reload

Uso della VPN

Le VPN permettono di ottenere una connessione di rete geografica (WAN) che nelle scuole pu˛ essere estremamente utile per collegare plessi distanti.
Ovviamente si tratta di un collegamento lento perchÚ deve sottostare alla limitata velocitÓ della connessione internet (tipicamente 256/640 kbps con linea Adsl).
Tale collegamento di rete permette la condivisione di cartelle anche tra client Windows. Per avere un link a una cartella condivisa su un PC di un altro plesso si pu˛ fare in questo modo:
  • creare il tunnel come spiegato sopra
  • condividere opportunamente la cartella sul PC che fa da server VPN, assegnando gli opportuni permessi
  • su un qualsiasi client Windows facente parte della rete cablata cui Ŕ collegato il client VPN, creare un collegamento (link) in una qualsiasi cartella, al limite sul desktop:
    • clic col pulsante destro, Nuovo, Collegamento
    • Nella casella Percorso, digitare \\IP_del_server\cartella_condivisa
    • Confermare con OK
A questo punto, se l'utente ha i permessi di accesso alla cartella condivisa, Ŕ possibile lavorare come se la cartella fosse in rete locale.

IDEA! NOTA: se si intende utilizzare questa possibilitÓ, sarÓ opportuno creare in tutti i plessi degli utenti che hanno il diritto di accesso alle cartelle che si vogliono condividere. La decisione di quali utenti abilitare e quali cartelle condividere va stabilita in base alle esigenze.

 

This site is powered by the TWiki collaboration platformCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback