Italiano (Italian) English (Inglese)
venerdì, 17 settembre 2021

Accesso VPN (Virtual Private Network)

Il servizio di VPN di Ateneo (Juniper) è raggiungibile all'indirizzo: https://ssl.unipmn.it/

Questo servizio, rivolto al personale docente e tecnico, è quello consigliato dall'Ateneo per l'accesso tramite VPN.

Per maggiori informazioni, potete contattare l'ufficio Rete Fonia e Sicurezza (ReFoS).

 

Il servizio alternativo descritto in questa pagina è riservato al personale dell'Istituto di Informatica.

OpenVPN

Il servizio di VPN garantisce l'accesso remoto alla rete di Ateneo, e consente anche la navigazione verso l'esterno, come se ci si trovasse in Ateneo.

Come collegarsi

Per utilizzare la VPN occorre installare l'apposito programma sul proprio computer, più alcuni file necessari al suo funzionamento.

Vediamo ora in dettaglio cosa è necessario:

1) OpenVPN

L'installer per Windows è disponibile sul sito di OpenVPN. Dalla pagina dei download , selezionare il file opportuno. Al momento in cui aggiorniamo queste pagine, l'ultima versione è contenuta nell'installer openvpn-install-2.4.10-I601-win10.exe.

Per Mac OS X la versione consigliata è TunnelBlick .

Per CentOS/Red Hat/Fedora il pacchetto openvpn può essere installato con il comando yum (per CentOS/Red Hat serve il repository EPEL):

    yum install openvpn
  

Per Debian/Ubuntu si può utilizzare apt-get:

    apt-get install openvpn
  

Per le altre distribuzioni probabilmente esistono pacchetti già pronti contenenti tutto il necessario; in ogni caso, i sorgenti del programma sono disponibili a questa pagina:

2) File di configurazione

Il file di configurazione deve essere salvato nella directory di configurazione di OpenVPN, ovvero /etc/openvpn/client/ sotto Linux, C:\Programmi\OpenVPN\config\ sotto Windows, e ~/Library/openvpn/ sotto Mac:

3) Login/Password

Per l'accesso viene utilizzato l'AvogadroID (la coppia login/password utilizzata per l'accesso ai laboratori).

Al momento è ancora necessario richiedere esplicitamente l'abilitazione del proprio utente, scrivendo a (help[at]di.unipmn.it).

Note sul funzionamento

Di seguito alcune note sul funzionamento della VPN.

4) Prima connessione

Per Windows e Mac l'interfaccia grafica consente di effettuare la connessione in modo semplice.

Chi utilizza la versione testuale sotto Linux, può collegarsi manualmente da terminale lanciando come utente root questo comando:

    cd /etc/openvpn/client
    openvpn --config fox5.conf

5) Warning relativo alla verifica del certificato remoto

All'apertura della VPN, OpenVPN avvisa che:

WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.

Questo perché il certificato della CA utilizza ancora l'estensione in formato Netscape, e non la più recente TLS. Quando scadrà il certificato passeremo al nuovo formato (e sarà necessario aggiornare la configurazione di tutti i client).

Nota: non è possibile risolvere il warning andando ad aggiornare la sola configurazione, anzi, così facendo non ci si potrà più connettere al server, perché la verifica del certificato fallirà.

6) Password in memoria

All'apertura della VPN, OpenVPN avvisa che:

WARNING: this configuration may cache passwords 
in memory -- use the auth-nocache option to prevent this

Questo è comodo perché, in caso di comunicazione interrotta, consente a OpenVPN di ricollegarsi al server senza dover chiedere la password una seconda volta.

È possibile aggiungere l'opzione:

auth-nocache
alla propria configurazione per non mantenere in memoria la propria password, perdendo però la funzione di riconnessione automatica.

7) DNS

All'apertura del tunnel VPN, il server invia al client i parametri per utilizzare i server DNS dell'Ateneo, per mantenere la riservatezza dei nomi risolti quando la VPN è attiva.

Con Linux, può essere necessario modificare il file di configurazione della VPN per rendere effettivo l'utilizzo dei server DNS consigliati; le modifiche necessarie dipendono dalla configurazione della propria macchina (dalla distribuzione utilizzata, e dal software in uso per la configurazione della rete).

Sotto Linux OpenVPN avviserà che l'opzione utilizzata per forzare l'utilizzo dei soli DNS interni all'Ateneo è sconosciuta:

Options error: Unrecognized option or missing or extra parameter(s)
  in [PUSH-OPTIONS]:4: block-outside-dns (2.4.7)

Con Windows, serve una versione recente di OpenVPN (2.3.9 o successiva), come riportato nel ticket Windows 10 DNS Leak .

8) Variazioni rispetto al passato

Da gennaio 2021 abbiamo due nodi in esecuzione su due macchine fisiche diverse. In caso di problemi a uno dei nodi, la nuova configurazione dovrebbe passare automaticamente all'altro nodo, dopo un timeout (piuttosto lungo, di qualche minuto).

Da marzo 2017 è necessario utilizzare una nuova configurazione, e un nuovo certificato, perché la vecchia CA è scaduta. Inoltre il server passerà al client anche le impostazioni del DNS, per risolvere i nomi tramite i DNS dell'Ateneo.

Da settembre 2016 non è più necessario utilizzare il proxy dell'università per navigare con il browser sui siti esterni; quando la VPN è attiva, tutto il traffico di rete viene girato sulla VPN.