«

»

Gen 13

Come Connettersi in modo semplice a una VPN PPTP

VPN Virtual Private Network

Chiunque lavori in un’azienda con un ruolo in qualche modo informatico è connesso ad una rete con le sue risorse interne, quali database, applicativi o semplicemente altri client e server. Ma una volta fuori dalla porta dell’ufficio diventa più complesso e più rischioso accedere a queste risorse.Connessione VPN

Una soluzione che da alcuni anni prende piede consiste nel costruire un tunnel in cui il traffico viene crittografato e consente ai client esterni di connettersi ad una rete privata virtuale (VPN, Virtual Private Network) connessa a una parte della rete interna reale.

In questo modo non si espongono ad attacchi esterni le risorse interne della rete e possono transitare informazioni tra gli utenti esterni e la rete interna in maniera più sicura.

La più semplice rete VPN che si può costruire è quella basata sul protocollo PPTP (Point to Point Tunnel Protocol) sviluppato da Microsoft, nativo in tutti i Windows dal 98 in su e il server disponibile su tutti i Windows NT Server. Questa semplicità ha fatto si che molte reti VPN venissero messe a punto con questo protocollo anche se non molto sicuro.

Sebbene esistano alcuni front-end grafici per creare connessioni PPTP (PPTPClient e network-manager-pptp per Network Manager) utilizzeremo il pacchetto pptp-linux e alcuni semplici comandi da console per configurare la connessione in quanto entrambi i pacchetti precedenti mostrano enormi limitazioni sulla configurazione della connessione.

Prima di iniziare assicuriamoci di essere in possesso dei dati di accesso alla rete VPN:

  • Indirizzo del server VPN, qui usato 123.123.123.123
  • Nome utente per l’accesso, qui Paolino Paperino
  • Password relativa all’utente per l’accesso, qui EmyEvyEly
  • Nome del dominio se in una rete con dominio, qui nessuno

Installiamo il pacchetto pptp-linux (sudo apt-get install pptp-linux), decidiamo un nome per il tunnel VPN che qui chiameremo VPNAzienda, può essere qualsiasi parola.

Memorizziamo utente, nome del tunnel e password nel file delle password delle connessioni con:

 gksudo gedit /etc/ppp/chap-secrets 

Aggiungendo in fondo al file l’accesso nella forma:

 "DOMINIONome Utente" NomeTunnel "Password" * 

Se il dominio non viene utilizzato, rimuoverlo, assieme alle barre di separazione. Nel nostro esempio avremo quindi:

 "Paolino Paperino" VPNAzienda "EmyEvyEly" * 

Questi dati saranno utilizzati automaticamente dal servizio di connessione remota ppp per autenticare la connessione.

Fatto ciò creiamo un nuovo file con i parametri per la connessione col nome del tunnel come indicato:

 gksudo gedit /etc/ppp/peers/VPNAzienda 

E scriviamo all’interno:

 pty "pptp 123.123.123.123 --nolaunchpppd" name "Paolino Paperino" remotename VPNAzienda require-mppe-128 usepeerdns file /etc/ppp/options.pptp 

La prima riga avvierà la connessione ppp verso il server 123.123.123.123, la seconda identifica il nome utente da utilizzare, la terza riga identifica il nome della connessione e servirà anche per la ricerca della password nel file chap-secrets.

La quarta riga impone l’uso della crittografia mppe-128, utilizzarla quindi solo se il server VPN la consente. La riga usepeerdns consentirà di ricevere i DNS dal server VPN e utilizzare quelli prima di quelli della nostra connessione internet, se non ne abbiamo bisogno possiamo anche eliminarla. L’ultima riga aggiunge le opzioni predefinite per tutte le connessioni PPTP, indicate su /etc/ppp/options.pptp.

Questi due semplici files già consentono di stabilire la connessione VPN che possiamo attivare con:

 gksudo pon VPNAzienda 

Se tutto va a buon fine la connessione sarà stabilita. E’ possibile osservare i messaggi di connessione con tail /var/log/messages. Verrà attivata una nuova interfaccia di rete (generalmente ppp0) attraverso la quale sarà possibile instradare il traffico diretto verso la nostra rete privata e connettersi ai client della rete, accedere alle risorse condivise.

Generalmente è compito del server VPN definire le rotte verso cui il traffico deve seguire il tunnel VPN. Se così non fosse o desideriamo aggiungere qualche indirizzo alle rotte del tunnel VPN possiamo farlo con:

 sudo route add INDIRIZZO dev INTERFACCIA 

Mentre nel caso di sottoreti intere:

 sudo route add -net INDIRIZZO/CIDR dev INTERFACCIA 

Oppure nella notazione classica con subnet:

 sudo route add -net INDIRIZZO netmask SUBNET dev INTERFACCIA 

Tre esempi valgon più di mille parole:

 sudo route add 123.123.123.125 dev ppp0 sudo route add -net 123.123.124.0/29 dev ppp0 sudo route add -net 123.123.125.0 netmask 255.255.255.0 dev ppp0 

Possiamo osservare le rotte create su tutte le interfacce con:

 route -n 

Se abbiamo qualche difficoltà nella connessione o l’interfaccia ppp non viene avviata, possiamo avviare la connessione da terminale con:

 sudo pon VPNAzienda debug dump logfd 2 nodetach 

E osservare i messaggi man mano che la connessione va avanti. Naturalmente non possiamo stare tutta la vita collegati, per cui quando avremo finito scolleghiamoci con:

 gksudo poff VPNAzienda 

Tutte le rotte definite saranno automaticamente rimosse.

Come Connettersi in modo semplice a una VPN PPTPultima modifica: 2011-01-13T21:13:59+01:00da falchibaiso
Reposta per primo quest’articolo

1 ping

Lascia un commento