VPN Sistemi

Da Wiki-itsos.

Introduzione

Una VPN è una sotto-rete chiusa e criptata, contenuta all’interno di un’altra rete, come ad esempio Internet o Intranet, accessibile solo a predeterminati utenti, il cui accesso viene consentito dall’amministratore di questa rete. Realizzare una VPN significa quindi applicare:
- - - controllo sull'accreditamento ossia scambiare dati con account accreditati ad accedere alla VPN.

- - - crittografia sui dati

- - - tunneling

Mentre la crittografia si applica al campo dati di un pacchetto, il tunneling si applica all'intero pacchetto (o busta). Tunelare, uno dei capisaldi delle VPN, significa imbustare il pacchetto in una nuova busta (con protocollo pptp per esempio). L'utilità del tunneling è quella di non modificare l'ip mittente privato (cosa che avviene regolarmente con il NAT). Il destinatario sa sbustare il protocollo di tunneling e si trova, quindi, l'ip privato del mittente come se fosse in rete locale. Perché VPN? Per poter avere il proprio pc in rete locale con una rete di pc distante da me 'internet' km.

VPN REMOTE ACCESS: la rete che creeremo, sarà di tipo remote access. Quindi lo scenario è quello di un server aziendale a cui si collega un client (dipendente dell'azienda che si trova fuori sede, per e sempio a casa o da un cliente).

Situazione di partenza

pc di casa con SO Win7, collegato a Internet tramite un router linksys x2000

Obiettivo

creare un server per la rete VPN

VPN1.png


Passi da svolgere

configurare il router del server

abilitare il protocollo PPTP: TUNELING


Attiviamo PPTP e Generic Route Encapsulation (GRE) sul Router0. Secondo il tipo di router, è necessario abilitare PPTP e creare una regola alla porta 1723. Se il router ha una impostazione supplementare per PPTP o VPN, occorre assicurarsi che sia abilitata: solitamente è chiamata impostazione “pass-through” (cioè PPTP pass-through o VPN pass-through)

VPN2.png

abilitare il port forwarding verso il server vpn

Configuriamo il router per consentire l’accesso alla porta TCP 1723 in modo da consentire l’accesso in entrata per la connessione VPN [Point-to-Point Tunneling Protocol (PPTP)]
VPN14.png

configurare il server

creare nuova connessione di rete (vpn)

Apriamo il pannello di controllo, quindi 'Rete e Internet', quindi 'Centro connessioni di rete e Condivisione', quindi clicchiamo su 'modifica impostazioni di scheda'

VPN3.png

a questo punto avremo la visione delle connessioni del nostro pc

VPN4.png

Non possediamo uno screenshot del prossimo step, quindi schiacciamo la combinazione di tasti Alt+F: verrà visualizzato il menu File . Scegliamo la voce 'Nuova connessione in ingresso'. Otterremo la seguente finestra:

VPN5.png

specificare quali utenti possono connettersi: ACCREDITAMENTO

A questo punto è possibile selezionare un utente tra quelli del pc o crearne uno nuovo. Io ho scelto l'utente esistente 'daniele'. Quindi scegliamo la modalità di accesso di 'daniele' alla vpn

VPN6.png

infine clicchiamo su 'consento l'accesso'

VPN7.png

e il lavoro termina con la schermata

VPN8.png

Ecco l'evidenza della connessione in ingresso

VPN9.png

Facciamo svolgere al server VPN anche la funzione di server DHCP rispetto ai client che si collegheranno ad esso. A tale scopo selezioniamo la nuova icona creata in Connessioni di rete: 'Connessioni in ingresso'. Quindi clicchiamo su di essa con il tasto destro. Selezioniamo la voce di menu 'Proprietà'. Selezioniamo la linguetta 'Rete' e clicchiamo sul pulsante 'Proprietà' Quindi andiamo sulla scheda 'Rete'

VPN10.png

Selezioniamo 'Protocollo Internet versione 4 (TCP/IP)' e clicchiamo sul pulsante 'Proprietà'. Da qui potremo lasciare che il server attribuisca in automatico ai client gli indirizzi IP nel range da noi desiderato per tutta la durata della sessione. (Assegnazione automatica degli indirizzi IP utilizzando il DHCP)

VPN11.png

Per non creare conflitti di IP, abbiamo disabilitato il server DHCP del router gateway. Ecco l'evidenza:

VPN12.png

Il nostro server VPN deve avere un IP. Diamo al server VPN un IP fisso:

VPN13.png

Se desiderato è possibile gestire gli utenti aggiungendone di nuovi o eliminandoli: - click col tasto destro sull'icona 'Connessioni in ingresso' - quindi click sulla voce 'Proprietà' - selezioniamo la linguetta 'Utenti'

Altra possibilità è installare/rimuovere eventuali protocolli di rete e stabilire nuove modalità d'accesso - click col tasto destro sull'icona 'Connessioni in ingresso' - quindi click sulla voce 'Proprietà'. - selezioniamo la linguetta “Rete”

configurare il client

creare nuova connessione di rete (vpn verso il server aziendale). Utilizzo del protocollo SSTP: CRITTOGRAFIA

andiamo sul pannello di controllo, quindi 'Rete e Internet', 'Centro Connessioni di rete', infine 'Configura nuova connessione o rete'


selezioniamo 'Connessione a una rete aziendale'

VPN15.png
VPN16.png

quindi 'Usa Connessione Internet esistente (VPN)'

VPN17.png

a questo punto ci viene chiesto l'IP del server Inseriamo l'IP pubblico del router gateway su cui è attivo il port forwarding verso il server VPN. Tale IP lo otteniamo aprendo un browser sul server VPN e andando sul sito 'whatismyip'

VPN18.png

clicchiamo su 'avanti': ci verranno chieste le credenziali di accesso al server

VPN19.png
tali credenziali le riceviamo dall'admin del server VPN quindi ci connettiamo al server: 'Connetti'. La precedente figura mostra uno dei capisaldi delle VPN: autenticazione. La seguente figura mostra un altrro dei capisaldi delle VPN: crittografia. Si cita infatti il protocollo SSTP. Il protocollo SSTP (Secure Socket Tunneling Protocol) è un tipo di tunnel VPN che consente il trasporto del traffico PPP (Point-to-Point Protocol) attraverso un canale SSL (Secure Sockets Layer). L'utilizzo del protocollo SSTP migliora la capacità delle connessioni VPN di attraversare firewall e server proxy. Per la prova di connessione al server VPN, ho dovuto accedere al server da 'fuori' della rete locale in cui si trova il server. Nella prova casalinga, client e server sono entrambe all'interno di casa mia. Quindi ho disabilitato la scheda di rete ethernet del client e collegato via wireless il client all'Access Point del cellulare (vedi Fig. 1) Abbiamo cliccato su 'Connetti' della schermata precedente:

VPN20.png

Risultato:

VPN21.png

Sul client troveremo nella finestra 'Rete e Internet' un paio di connessioni attive:

VPN22.png

Tale risultato è confortato anche dall'esito del comando ipconfig: 1. la prima connessione è alla VPN e l'IP è nel range del server DHCP impostato nel server VPN 2. la seconda connessione è relativa alla scheda wireless del client che si è connesso all'AP del cellulare

VPN23.png

Ci viene chiesto, a tal punto, che tipo di rete è questa VPN a cui ci siamo appena collegati. Rispondiamo che è una rete domestica, quindi sicura

VPN24.png

pensiamo infatti di essere in una LAN sicura, privata (vpn), che utilizzata la cifratura per garantire la sicurezza.

VPN25.png

Sul client, proviamo a connetterci al server vpn inserendo in 'esplora risorse' l'indirizzo \\192.168.1.103 purtroppo la connessione non va a buon fine. Notiamo che, sul SERVER, vi è un cambiamento nel 'Centro Connessioni di rete e condivisione'

VPN26.png

Dopo che il client ha provato a connettersi al server è comparsa una connessione RAS (Dial In) Interface. Il SO del server ci chiede di specificare se tale nuova connessione è una rete domestica o aziendale o pubblica. Selezioniamo, sul server, 'rete domestica'. La connessione in ingresso, RAS, proviene da un client della nostra VprivateNetwork è sicura, domestica. A questo punto, ritorniamo sul client e riproviamo a connetterci al server VPN via 'esplora risorse'. Risultato:

VPN27.png

Obiettivo raggiunto Per redarre tale docuemnto ho tratto ampio spunto da