Accesso VPN (Virtual Private Network)
Il servizio di VPN di Ateneo (Pulse Secure) è raggiungibile all'indirizzo: https://ssl.unipmn.it/ ➚
Il servizio VPN Pulse Secure è pensato per tutto il personale docente e tecnico, ed è quello consigliato dall'Ateneo per l'accesso tramite VPN.
Sul sito del DiSIT ci sono delle indicazioni per l'accesso alla VPN Pulse Secure ➚ .
Altrimenti potete contattare l'ufficio Rete Fonia e Sicurezza (ReFoS) per maggiori informazioni.
Il servizio alternativo descritto in questa pagina è riservato al personale dell'Istituto di Informatica, e viene attivato solo su richiesta.
OpenVPN
Il servizio di VPN garantisce l'accesso remoto alla rete di Ateneo, e consente anche la navigazione verso l'esterno, come se ci si trovasse in Ateneo.
Come collegarsi
Per utilizzare la VPN occorre installare l'apposito programma sul proprio computer, più alcuni file necessari al suo funzionamento.
Vediamo ora in dettaglio cosa è necessario:
1) OpenVPN
L'installer per Windows è disponibile sul sito di OpenVPN. Dalla pagina dei download ➚ , selezionare il file opportuno. Al momento in cui aggiorniamo queste pagine, l'ultima versione è contenuta nell'installer openvpn-install-2.4.10-I601-win10.exe.
Per Mac OS X la versione consigliata è TunnelBlick ➚ .
Per CentOS/Red Hat/Fedora il pacchetto openvpn può essere installato con il comando yum (per CentOS/Red Hat serve il repository EPEL):
yum install openvpn
Per Debian/Ubuntu si può utilizzare apt-get:
apt-get install openvpn
Per le altre distribuzioni probabilmente esistono pacchetti già pronti contenenti tutto il necessario; in ogni caso, i sorgenti del programma sono disponibili a questa pagina:
2) File di configurazione
Il file di configurazione deve essere salvato nella directory di configurazione di OpenVPN, ovvero /etc/openvpn/client/ sotto Linux, C:\Programmi\OpenVPN\config\ sotto Windows, e ~/Library/openvpn/ sotto Mac:
- versione windows e mac
- versione linux
3) Login/Password
Per l'accesso viene utilizzato l'AvogadroID (la coppia login/password utilizzata per l'accesso ai laboratori).
Al momento è ancora necessario richiedere esplicitamente l'abilitazione del proprio utente, scrivendo a (help[at]di.unipmn.it).
Note sul funzionamento
Di seguito alcune note sul funzionamento della VPN.
4) Prima connessione
Per Windows e Mac l'interfaccia grafica consente di effettuare la connessione in modo semplice.
Chi utilizza la versione testuale sotto Linux, può collegarsi manualmente da terminale lanciando come utente root questo comando:
cd /etc/openvpn/client
openvpn --config fox5.conf
5) Warning relativo alla verifica del certificato remoto
All'apertura della VPN, OpenVPN avvisa che:
WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Questo perché il certificato della CA utilizza ancora l'estensione in formato Netscape, e non la più recente TLS. Quando scadrà il certificato passeremo al nuovo formato (e sarà necessario aggiornare la configurazione di tutti i client).
Nota: non è possibile risolvere il warning andando ad aggiornare la sola configurazione, anzi, così facendo non ci si potrà più connettere al server, perché la verifica del certificato fallirà.
6) Password in memoria
All'apertura della VPN, OpenVPN avvisa che:
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Questo è comodo perché, in caso di comunicazione interrotta, consente a OpenVPN di ricollegarsi al server senza dover chiedere la password una seconda volta.
È possibile aggiungere l'opzione:
auth-nocachealla propria configurazione per non mantenere in memoria la propria password, perdendo però la funzione di riconnessione automatica.
7) DNS
All'apertura del tunnel VPN, il server invia al client i parametri per utilizzare i server DNS dell'Ateneo, per mantenere la riservatezza dei nomi risolti quando la VPN è attiva.
Con Linux, può essere necessario modificare il file di configurazione della VPN per rendere effettivo l'utilizzo dei server DNS consigliati; le modifiche necessarie dipendono dalla configurazione della propria macchina (dalla distribuzione utilizzata, e dal software in uso per la configurazione della rete).
Sotto Linux OpenVPN avviserà che l'opzione utilizzata per forzare l'utilizzo dei soli DNS interni all'Ateneo è sconosciuta:
Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:4: block-outside-dns (2.4.7)
Con Windows, serve una versione recente di OpenVPN (2.3.9 o successiva), come riportato nel ticket Windows 10 DNS Leak ➚ .
8) Problemi di validazione del certificato
Con le nuove versioni di OpenSSL i certificati con un hash in MD5 non sono più considerati trusted. Nell'output di OpenVPN si vedranno questi messaggi:
CA signature digest algorithm too weak OpenSSL: error:0A000086:SSL routines::certificate verify failed
In attesa che il certificato per la VPN venga rinnovato, è possibile modificare la configurazione sul client per consentire la connessione, aggiungendo questa linea, ad esempio dopo la linea con ns-cert-type:
tls-cipher "DEFAULT:@SECLEVEL=0"
9) Problemi di connessione con OpenVPN 2.6
Oltre alla modifica descritta nel paragrafo precedente, se si utilizza la versione 2.6 di OpenVPN è necessario modificare la configurazione aggiungendo questa linea, ad esempio dopo la linea con cipher:
data-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC
10) Variazioni rispetto al passato
Da gennaio 2021 abbiamo due nodi in esecuzione su due macchine fisiche diverse. In caso di problemi a uno dei nodi, la nuova configurazione dovrebbe passare automaticamente all'altro nodo, dopo un timeout (piuttosto lungo, di qualche minuto).
Da marzo 2017 è necessario utilizzare una nuova configurazione, e un nuovo certificato, perché la vecchia CA è scaduta. Inoltre il server passerà al client anche le impostazioni del DNS, per risolvere i nomi tramite i DNS dell'Ateneo.
Da settembre 2016 non è più necessario utilizzare il proxy dell'università per navigare con il browser sui siti esterni; quando la VPN è attiva, tutto il traffico di rete viene girato sulla VPN.