Italiano (Italian) English (Inglese)
martedì, 3 dicembre 2024
You are here: Home» Servizi Online» Accesso VPN

Accesso VPN (Virtual Private Network)

Il servizio di VPN di Ateneo (Pulse Secure) è raggiungibile all'indirizzo: https://ssl.unipmn.it/

Il servizio VPN Pulse Secure è pensato per tutto il personale docente e tecnico, ed è quello consigliato dall'Ateneo per l'accesso tramite VPN.

Sul sito del DiSIT ci sono delle indicazioni per l'accesso alla VPN Pulse Secure .

Altrimenti potete contattare l'ufficio Rete Fonia e Sicurezza (ReFoS) per maggiori informazioni.

 

Il servizio alternativo descritto in questa pagina è riservato al personale dell'Istituto di Informatica, e viene attivato solo su richiesta.

OpenVPN

Il servizio di VPN garantisce l'accesso remoto alla rete di Ateneo, e consente anche la navigazione verso l'esterno, come se ci si trovasse in Ateneo.

Come collegarsi

Per utilizzare la VPN occorre installare l'apposito programma sul proprio computer, più alcuni file necessari al suo funzionamento.

Vediamo ora in dettaglio cosa è necessario:

1) OpenVPN

L'installer per Windows è disponibile sul sito di OpenVPN. Dalla pagina dei download , selezionare il file opportuno. Al momento in cui aggiorniamo queste pagine, l'ultima versione è la 2.6.12, rilasciata a luglio 2024.

Per Mac OS X la versione consigliata è TunnelBlick .

Per CentOS/Red Hat/Fedora il pacchetto openvpn può essere installato con il comando yum (per CentOS/Red Hat serve il repository EPEL):

    yum install openvpn

Per Debian/Ubuntu si può utilizzare apt-get:

    apt-get install openvpn

Per le altre distribuzioni probabilmente esistono pacchetti già pronti contenenti tutto il necessario; in ogni caso, i sorgenti del programma sono disponibili a questa pagina:

2) File di configurazione

Il file di configurazione deve essere salvato nella directory di configurazione di OpenVPN, ovvero /etc/openvpn/client/ sotto Linux, C:\Programmi\OpenVPN\config\ sotto Windows, e ~/Library/openvpn/ sotto Mac:

Nota: attualmente l'unica differenza dei due file è l'estensione.

3) Login/Password

Per l'accesso viene utilizzato l'AvogadroID (la coppia login/password utilizzata per l'accesso ai laboratori).

Al momento è ancora necessario richiedere esplicitamente l'abilitazione del proprio utente, scrivendo a (help[at]di.unipmn.it).

Note sul funzionamento

Di seguito alcune note sul funzionamento della VPN.

La nostra configurazione è (più o meno) compatibile con un certo range di versioni di OpenVPN e di OpenSSL; ma con alcune versioni potrebbe esser necessario modificare leggermente la configurazione.

In questa pagina vengono elencati i vari casi e le relative modifiche.

4) Prima connessione

Per Windows e Mac l'interfaccia grafica consente di effettuare la connessione in modo semplice.

Chi utilizza la versione testuale sotto Linux, può collegarsi manualmente da terminale lanciando come utente root questo comando:

    cd /etc/openvpn/client
    openvpn --config fox6.conf

5) Warning relativo alla compressione

All'apertura della VPN, OpenVPN avvisa che:

WARNING: Compression for receiving enabled. Compression has been
used in the past to break encryption. Sent packets are not
compressed unless "allow-compression yes" is also set.

Per compatibilità con le versioni precedenti di OpenVPN, al momento la configurazione del server prevede ancora la compressione. Lato client le versioni nuove già adesso non comprimono i dati che inviano, come riportato nel messaggio.

6) Password in memoria

All'apertura della VPN, OpenVPN avvisa che:

WARNING: this configuration may cache passwords 
in memory -- use the auth-nocache option to prevent this

Questo è comodo perché, in caso di comunicazione interrotta, consente a OpenVPN di ricollegarsi al server senza dover chiedere la password una seconda volta.

È possibile aggiungere l'opzione: 

auth-nocache
alla propria configurazione per non mantenere in memoria la propria password, perdendo però la funzione di riconnessione automatica.

7) DNS

All'apertura del tunnel VPN, il server invia al client i parametri per utilizzare i server DNS dell'Ateneo, per mantenere la riservatezza dei nomi risolti quando la VPN è attiva.

Con Linux, può essere necessario modificare il file di configurazione della VPN per rendere effettivo l'utilizzo dei server DNS consigliati; le modifiche necessarie dipendono dalla configurazione della propria macchina (dalla distribuzione utilizzata, e dal software in uso per la configurazione della rete).

Sotto Linux OpenVPN avviserà che l'opzione utilizzata per forzare l'utilizzo dei soli DNS interni all'Ateneo è sconosciuta:

Options error: Unrecognized option or missing or extra parameter(s)
  in [PUSH-OPTIONS]:4: block-outside-dns (2.4.7)

Con Windows, serve una versione recente di OpenVPN (2.3.9 o successiva), come riportato nel ticket Windows 10 DNS Leak .

8) Variazioni rispetto al passato

Da novembre 2024 abbiamo un nuovo certificato, che utilizza un algoritmo di hash più sicuro, e una nuova versione del file di configurazione. (Anche se la vecchia configurazione dovrebbe comunque essere in grado di collegarsi al server VPN.)

Da gennaio 2021 abbiamo due nodi in esecuzione su due macchine fisiche diverse. In caso di problemi a uno dei nodi, la nuova configurazione dovrebbe passare automaticamente all'altro nodo, dopo un timeout (piuttosto lungo, di qualche minuto).

Da marzo 2017 è necessario utilizzare una nuova configurazione, e un nuovo certificato, perché la vecchia CA è scaduta. Inoltre il server passerà al client anche le impostazioni del DNS, per risolvere i nomi tramite i DNS dell'Ateneo.

Da settembre 2016 non è più necessario utilizzare il proxy dell'università per navigare con il browser sui siti esterni; quando la VPN è attiva, tutto il traffico di rete viene girato sulla VPN.