Italiano (Italian) English (Inglese)
mercoledì, 8 aprile 2020

Accesso VPN (Virtual Private Network)

Il servizio di VPN di Ateneo (Juniper) è raggiungibile all'indirizzo: https://ssl.unipmn.it/

Questo servizio, rivolto al personale docente e tecnico, è quello consigliato dall'Ateneo per l'accesso tramite VPN.

Per maggiori informazioni, potete contattare l'ufficio Rete Fonia e Sicurezza (ReFoS).

 

Il servizio alternativo descritto in questa pagina è riservato al personale dell'Istituto di Informatica.

OpenVPN

Il servizio di VPN garantisce l'accesso remoto alla rete di Ateneo, e consente anche la navigazione verso l'esterno, come se ci si trovasse in Ateneo.

Come collegarsi

Per utilizzare la VPN occorre installare l'apposito programma sul proprio computer, più alcuni file necessari al suo funzionamento.

Vediamo ora in dettaglio cosa è necessario:

1) OpenVPN

L'installer per Windows è disponibile sul sito di OpenVPN. Dalla pagina dei download , selezionare il file opportuno. Al momento in cui aggiorniamo queste pagine, l'ultima versione è contenuta nell'installer openvpn-install-2.4.0-I602.exe.

Per Mac OS X la versione consigliata è TunnelBlick .

Per CentOS/Red Hat/Fedora il pacchetto openvpn può essere installato con il comando yum (per CentOS/Red Hat serve il repository EPEL):

    yum install openvpn
  

Per Debian/Ubuntu si può utilizzare apt-get:

    apt-get install openvpn
  

Per le altre distribuzioni probabilmente esistono pacchetti già pronti contenenti tutto il necessario; in ogni caso, i sorgenti del programma sono disponibili a questa pagina:

2) File di configurazione

Il file di configurazione deve essere salvato nella directory di configurazione di OpenVPN, ovvero /etc/openvpn/client/ sotto Linux, C:\Programmi\OpenVPN\config\ sotto Windows, e ~/Library/openvpn/ sotto Mac:

3) Certificato della CA

Occorre poi salvare nella stessa directory di prima il file contenente la certification authority utilizzata per la VPN:

4) Login/Password

Per l'accesso viene utilizzato l'AvogadroID (la coppia login/password utilizzata per l'accesso ai laboratori).

Al momento è ancora necessario richiedere esplicitamente l'abilitazione del proprio utente (help[at]di.unipmn.it).

Note sul funzionamento

Di seguito alcune note sul funzionamento della VPN.

5) Prima connessione

Per Windows e Mac l'interfaccia grafica consente di effettuare la connessione in modo semplice.

Chi utilizza la versione testuale sotto Linux, può collegarsi manualmente da terminale lanciando come utente root questo comando:

    cd /etc/openvpn/client
    openvpn --config fox4.conf

6) Percorso del certificato

Nel file di configurazione il percorso del certificato della CA è relativo. A seconda di come viene lanciata la VPN, potrebbe essere necessario inserire nel file di configurazione il percorso completo del file stesso.

7) Password in memoria

All'apertura della VPN, OpenVPN avvisa che:

WARNING: this configuration may cache passwords 
in memory -- use the auth-nocache option to prevent this

Questo è comodo perché, in caso di comunicazione interrotta, consente a OpenVPN di ricollegarsi al server senza dover chiedere la password una seconda volta.

È possibile aggiungere l'opzione:

auth-nocache
alla propria configurazione per non mantenere in memoria la propria password, perdendo però la funzione di riconnessione automatica.

8) DNS

All'apertura del tunnel VPN, il server invia al client i parametri per utilizzare i server DNS dell'Ateneo, per mantenere la riservatezza dei nomi risolti quando la VPN è attiva.

Con Linux, può essere necessario modificare il file di configurazione della VPN per rendere effettivo l'utilizzo dei server DNS consigliati; le modifiche necessarie dipendono dalla configurazione della propria macchina (dalla distribuzione utilizzata, e dal software in uso per la configurazione della rete).

Con Windows, serve una versione recente di OpenVPN (2.3.9 o successiva), come riportato nel ticket Windows 10 DNS Leak .

9) Variazioni rispetto al passato

Da marzo 2017 è necessario utilizzare una nuova configurazione, e un nuovo certificato, perché la vecchia CA è scaduta. Inoltre il server passerà al client anche le impostazioni del DNS, per risolvere i nomi tramite i DNS dell'Ateneo.

Da settembre 2016 non è più necessario utilizzare il proxy dell'università per navigare con il browser sui siti esterni; quando la VPN è attiva, tutto il traffico di rete viene girato sulla VPN.