5TUD10 C10D0

Appunti di Informatica in Genere,e non solo!


Creazione Semplice di una VPN

Avete mai avuto l’esigenza di accedere al vostro PC di casa/ufficio per controllare i vostri documenti oppure di vedere il vostro programma gestionale installato su quel PC? In questo ci vengono in aiuto le VPN (Virtual Private Network) ovvero la creazione di un tunnel attraverso una rete pubblica (Internet) per accedere ad una rete privata (LAN casalinga/aziendale) in maniera cifrata. Il modo più semplice per crearne una è utilizzare il server PPTP già compreso in Windows (dal 2000 in su) e utilizzare un qualsiasi client (da Windows 98 in su, ma anche Mac e Linux). Una premessa però è obbligatoria, questo sistema è molto pratico ma non del tutto sicuro, nel senso che tanti diversi bug sono stati trovati negli anni, ma anche opportunamente corretti con delle patch di sicurezza inoltre a differenza delle VPN create tramite IPsec o simili (OpenVPN ad esempio) che supportano l’autenticazione tramite certificati l’unico sistema di autenticazione è tramite username e password…viene da sè che utilizzando password "deboli" un malintenzionato può avere facile accesso al sistema. Utilizzare password "robuste" è un "must" inoltre il mio suggerimento è anche di permettere l’ingresso a orari prestabiliti (inutile lasciarlo acceso di notte,no?)

Ma vediamo nel dettaglio la realizzazione, prenderò come esempio un server e un client con Windows XP (data la sua elevata diffusione, Home o Pro non importa).

CREARE IL SERVER:

Andiamo su Pannello di controllo -> Connessioni di Rete -> Crea Nuova Connessione  nel wizard quindi selezioniamo Avanti -> Installa una Connessione Avanzata -> Accetta Connessioni in Ingresso a questo punto vi verrà chiesta una periferica sul quale collegarsi (modem e porte seriali) non selezioniamo niente e andiamo Avanti poi selezioniamo Consenti Connessioni Private Virtuali ora vi verrà chiesto di selezionare gli utenti che possono usare la connessione, tenendo presente che l’utente autenticato è quello che avrà i diritti di accesso alle condivisioni locali consiglio di creare un nuovo utente SOLO per l’accesso alla VPN (in modo che se dovessero entrare dall’esterno complichiamo la vita per l’accesso alle cartelle condivise non avendo i diritti necessari) e creare quindi un nome utente lungo e con caratteri speciali e una password robusta (un esempio può essere utente Ma-R10_R0$$i   e password &Ynq19SwPp7%6n ) nel passaggio successivo dobbiamo assegnare le impostazioni del Protocollo TCP/IP quindi clicchiamo su Proprietà, lasciamo la spunta su Consenti ai chiamanti di accedere alla rete locale mentre su Assegnazione Indirizzi seleziona Specifica Indirizzi TCP/IP e impostiamo un intervallo di IP che non vengono utilizzati nella LAN che saranno assegnati uno al server e i rimanenti ai client remoti (se vogliamo ad esempio una sola connessione per volta,molto consigliato nella maggioranza dei casi, impostate un intervallo di due indirizzi come ad esempio 192.168.1.100 e 192.168.1.101 se vogliamo due client simultanei può andare 192.168.1.100 e 192.168.1.102 e così via) finito ciò clicchiamo su OK e poi Avanti e poi Fine.

CONFIGURA UN CLIENT:

Andiamo su Pannello di controllo -> Connessioni di Rete -> Crea Nuova Connessione  nel wizard quindi selezioniamo Avanti -> Connessione alla rete Aziendale -> Connessione VPN su nome società mettete quello che volete poi Avanti sulla casella Nome Host specificate l’indirrizzo IP o il nome host (assegnato tramite DynDNS per esempio) dell’IP pubblico su cui il nostro server è raggiungibile quindi cliccate Avanti poi Fine.

Avviando la connessione vi verranno chiesti nome utente e password che saranno quelli con cui avete configurato il server.

 

COGNIZIONI GENERALI:

Perchè tutto funzioni occorrono essenzialmente due cose Primo essere raggiungibili da Internet (quindi chi è sotto rete nattata come fastweb ciccia :cry: ) possibilmente tramite un IP fisso oppure registrarsi tramite DynDNS per avere un nome host fisso (molti router anche economici lo supportano) e fare il redirect del traffico PPTP, qui la cosa si complica: di default il protocollo utilizza la porta TCP 1723 e si appoggia inoltre su un protocollo di trasporto che si chiama GRE (id type 47, la microsoft poi ne ha creata una variante tutta sua detta GRE-V2) quindi non è nè TCP nè UDP…e allora??? I Router che permettono il cosiddetto PassThrough PPTP non hanno alcun problema a gestire questi pacchetti (spesso si tratta di router professionali o per piccoli/medi uffici, potete provare anche con quelli più "scadenti" sbloccando la porta TCP 1723 verso il PC di destinazione in alcuni casi funziona lo stesso). Se vi avvalete di un router professionale è possibile impostare un orario per la validità delle regole (per esempio rendere il redirect valido dalle 9 alle 21, lasciando "protetto il server la notte).

Nessun Commento

Ancora nessun Commento.

RSS dei Commenti TrackBack Identifier URI

Lascia un Commento

Marzo 10th, 2008
Esame dell’avvio di Linux Creare un Mini Server SFTP