Abbiamo già parlato più volte della tecnologia Virtual Private Networking (VPN) e degli innumerevoli vantaggi ottenibili predisponendo l'opportuna infrastruttura tecnica
Per chi fosse completamente a digiuno della materia, basti sapere che, disponendo di una VPN, i computer divengono in grado di scambiare file, condividere stampanti e, più in generale, accedere alle risorse come se facessero parte di una stessa rete locale (LAN), anche in caso le workstation in questione siano fisicamente collocate a chilometri di distanza l'una dall'altra.
Questo significa, ad esempio, che è possibile aggregare alla LAN dell'ufficio anche la postazione di casa (o viceversa), oppure realizzare una rete "locale" permanente con gli amici anche quando i calcolatori sono ubicati nelle diverse abitazioni.
Tutti i dati in transito sono crittografati, e la partecipazione alla rete è limitata tramite l'imposizione di una password: la riservatezza, insomma, è garantita.
È proprio quello che volete?
Questa guida è dedicata ad un pubblico di smanettoni che siano disposti a sobbarcarsi alcune complicazioni tecniche a costo di raggiungere l'obbiettivo.
Esistono soluzioni nettamente più semplici che risultano indubbiamente più indicate per l'utenza media: l'impiego di Hamachi, Comodo EasyVPN, Wippien o una delle altre alternative sono, generalmente, consigliabili.
Notate inoltre che, in questa sede, utilizzeremo come punto di riferimento un tradizionale PC equipaggiato con Windows 7: la procedura è quindi indicata per gli impieghi domestici e per i piccoli uffici, ma risulta poco adatta ad un pubblico professionale. Chi si trovasse a lavorare in scenari aziendali o desiderasse ottenere risultati ottimali vorrà utilizzare un approccio differente come, ad esempio, l'impiego di una macchina governata da Linux: ne abbiamo parlato più diffusamente in "Come predisporre un server VPN (PPTP) con CentOS".
Gmaoret e Brenza, che ringrazio, hanno segnalato nei commenti che un solo client per volta potrà collegarsi alla VPN predisposta con questo sistema: l'approccio presentato in questo articolo è quindi sicuramente funzionale per l'uso personale, ma non altrettanto indicato in ambienti professionali nei quali sia richiesto il supporto alla multiutenza.
Requisiti
L'unico vero requisito è la presenza di un PC qualsiasi governato dal sistema operativo Microsoft (la trattazione è incentrata su Windows 7, ma la procedura è facilmente adattabile anche alle generazioni precedenti). Chiameremo questo computer "server VPN", poiché svolgerà questo ruolo dal punto di vista dei client: nulla vieta però che si tratti di un netbook o di un normale PC da scrivania!
Poiché il server VPN dovrà essere sempre raggiungibile dai client che richiedano la connessione, il calcolatore deve rimanere acceso (oppure essere predisposto di modo da ottenere un Wake-on-Internet) e collegato alla rete mondiale.
Come sempre avviene quando si parla di accettare connessioni dall'esterno, il server non potrà utilizzare connettività fornita da Fastweb oppure via UMTS/HSDPA: il sistema ad IP mascherato adottato da questi operatori inibisce infatti tale scenario.
Via al setup
Per iniziare la configurazione, cercate connessioni nel menu Start per avviare il Centro connessioni di rete e condivisione. Da qui, cliccate sul link Modifica impostazioni scheda dalla colonna di sinistra e premete quindi il tasto Alt sulla tastiera per far comparire la barra dei menu.
Scegliete ora File -> Nuova connessione in ingresso
In caso vi comparisse una schermata informativa che recita Nessun dispositivo rilevato, cliccate Configura comunque una connessione (questa videata non sempre appare)
Scelta degli utenti
Spuntate ora gli utenti autorizzati a connettersi tramite VPN, oppure utilizzate il pulsante Aggiungi utente.. per creare nuovi account
In caso vi venisse richiesto di confermare le modalità con le quali gli utenti possono connettersi, spuntate soltanto Tramite Internet e proseguite con Avanti.
Le opzioni di rete
Al passo successivo, assicuratevi che siano spuntati tutti gli elementi presenti nella lista, quindi selezionate Protocollo Internet versione 4 (TCP/IP) e cliccate sul pulsante Proprietà.
Sinceratevi che Consenti ai chiamanti di accedere alla rete locale sia attivato, quindi rivolgete la vostra attenzione poco più in basso e scegliete Specifica indirizzi IP.
Ora viene la parte un pochino più delicata. Dobbiamo infatti immettere un intervallo di indirizzi IP da riservare alla VPN. Per ottenere il risultato ottimale ed evitare una serie infinita di complicazioni, tale sequenza deve far parte della stessa rete utilizzata internamente dalla nostra LAN.
Per esempio, potremmo scegliere tutti gli indirizzi compresi fra 192.168.0.200 e 192.168.0.254: indicate il primo numero nel campo Da:, ed il secondo in A:
Completate ora cliccando Consenti accesso e, dopo pochi istanti d'attesa, Chiudi.
Noterete la comparsa di una nuova connessione di nome Connessioni in ingresso: questo significa che la configurazione è stata conclusa correttamente.
Aprire la porta sul firewall
Ora che il servizio è operativo, dobbiamo far sì che sia raggiungibile e che il firewall non intralci la comunicazione. In particolare, è indispensabile aprire la porta sul firewall: si tratta della 1723 TCP.
Per quanto riguarda lo strumento Windows Firewall integrato nel sistema operativo, la procedura guidata ha già predisposto automaticamente tutto quanto e quindi non c'è altro da fare.
Se invece state utilizzando un prodotto di terzi, fate riferimento alla guida in linea del software stesso.
Configurare il router
Se per il collegamento ad Internet del server viene utilizzato un router, sarà necessario configurare anche l'inoltro della stessa porta (port forwarding).
La procedura esatta varia da modello a modello. Per quanto riguarda il diffusissimo Alice Gate fornito in comodato da Telecom Italia, è disponibile l'articolo "Aprire porte TCP/UDP su modem-router Alice gate 2 Plus e 2 Plus Wi-Fi". Per tutti gli altri apparecchi, dovrete fare riferimento al libretto di istruzioni.
Questo passaggio, da solo, potrebbe però non essere sufficiente. Alcuni router bloccano infatti il protocollo Generic Routing Encapsulation (GRE) utilizzato in questo scenario: è quindi necessario sfogliare fra le opzioni disponibili e sincerarsi che questo sbarramento non sia attivo.
A complicare ulteriormente le cose, altri apparecchi prevedono un'opzione chiamata VPN PassThrough (oppure PPTP Passthrough) che deve essere a propria volta esplicitamente attivata per raggiungere lo scopo: di nuovo, siete chiamati ad usare un po' di acume tecnico e spulciare l'interfaccia di gestione dell'apparecchio per raggiungere lo scopo.
Configurare il server DHCP
Dovete assicurarvi anche che il servizio DHCP che distribuisce gli indirizzi IP alla LAN (il demone integrato nel router, in situazioni standard) non assegni a propria volta gli indirizzi IP utilizzati nella rete VPN (avevamo scelto la fascia da 192.168.0.200 a 192.168.0.254, al passaggio precedente).
Per farlo, entrate nel pannello di configurazione del router e modificate i valori relativi di conseguenza
Ancora una volta, la procedura esatta varia da modello a modello.
Ottenere un nome a dominio dinamico
Per poter raggiungere il server VPN dall'esterno, risulta particolarmente comodo l'utilizzo di un nome a dominio dinamico (sarà qualcosa del tipo servervpn.no-ip.org): NO-IP è sicuramente un strumento ottimo tanto quanto DynDns.
Vi suggerisco caldamente di associarne uno al vostro server prima di proseguire oltre.
Connettersi dal client
Arrivati a questo punto, dovrebbe essere tutto pronto. Non vi resta che connettervi da uno dei client!
La procedura è stata mostrata in "Come connettersi ad un server VPN con Windows 7 e Ubuntu": come unica precauzione, sinceratevi di abilitare la modalità "split tunnel": in caso contrario, perderete la capacità di accedere ad Internet durante le sessioni VPN
Una volta che il collegamento è stabilito, il server si occupa di unire in maniera (quasi) trasparente i due rami di rete: quello della VPN e quello della rete locale alla quale fornisce l'accesso.
Notate che i PC Windows della LAN remota potrebbero non essere correttamente mostrati sotto Risorse di rete: se così fosse, utilizzate il solito \\nome-pc da Windows Explorer per raggiungerli direttamente.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati