Come creare una VPN PPTP con il firewall 8200
In questa pagina di istruzioni viene spiegato come accedere alla propria LAN da remoto e in maniera sicura
utilizzando una VPN basata sul protocollo PPTP.
Supporremo di avere la seguente tipica situazione
Fig. 1
La Fig. 1 rappresenta una tipica situazione in cui un utente (pc remoto) si trova connesso ad Internet e vuole accedere in modo sicuro alla propria LAN, situata in qualche altro punto di Internet. Nella figura si é supposto che il pc remoto sia connesso a Internet tramite un router ADSL, mentre la sua LAN é schermata da un firewall 8200, a sua volta connesso a Internet via router ADSL.
Gli indirizzi IP riflettono questa situazione. Va osservato che il pc remoto non ha inizialmente alcun indirizzo IP associato alla VPN. L’indirizzo IP esterno del routerADSL-1 é irrilevante.
La configurazione consta di 4 fasi.
Fase 1. Come attivare il server PPTP sul firewall 8200
Si accede all'interfaccia web del 8200, e si sceglie, dal menu a sinistra, la voce "Network connections". Comparirà l'immagine qui sotto.
Fig. 2
Si sceglie "New Connection" (Fig. 2)
Fig. 3
Nella pagina successiva, si sceglie "Point-to-Point Tunneling Protocol Server (PPTP Server)", e poi si preme "Next" (Fig. 3).
La pagina successiva é quella relativa agli utenti (Users). Qui vengono definiti gli utenti che hanno diritto ad accedere alla LAN tramite un tunnel VPN. Infatti, l'autenticazione dell'utente remoto avviene attraverso la presentazione di uno username e una password.
Fig. 4
Nella Fig. 4 non é presente alcun utente, tranne quello di default (Administrator). Ne creiamo quindi uno nuovo, cliccando su "New User".
Fig. 5
La pagina successiva va compilata come illustrato nella Fig. 5. Il "Full name" serve solo a definire l'utente mentre "User Name" (rossi123 nel nostro caso) e "New Password" (che non viene esibita, ma che abbiamo scelto essere 123456789) andranno presentate nella fase di autenticazione della VPN. Notare la spunta in "Remote Access by PPTP": senza di essa l'utente appena definito non avrebbe i privilegi per accedere alla LAN dall'esterno. Notare anche che la password va inserita due volte in "New Password" e "Retype New Pasword". Alla fine va premuto "OK".
Fig. 6
La pagina successiva (Fig. 6) rivela che un nuovo utente é stato aggiunto. Premere "Next".
Fig. 7
Nella pagina successiva, Fig. 7, compaiono gli indirizzi IP che il firewall distribuirà ai client PPTP. Come si vede, appartengono alla rete locale 192.168.2.0, a conferma che il client PPTP remoto apparterrà alla rete locale una volta stabilita la connessione. Assicurarsi che l'intervallo degli indirizzi distribuiti, 245-254 nella Fig. 7, non contenga un indirizzo già esistente nella LAN. Premere "Next".
Fig. 8
Quest'ultima schermata (Fig. 8) indica la conclusione della configurazione. Premere "Finish".
Fig. 9
Alla pagina "Network Connections" (Fig. 9) é ora apparsa una nuova voce, indicante che il server PPTP é in ascolto.
Questo termina la preparazione del server.
Fase 2. Come configurare il routerADSL-2
La fase successiva consiste nel preparare il routerADSL-2 a far passare il tunnel VPN verso il firewall 8200. Qualunque sia il router ADSL, andrà utilizzata la funzione chiamata Virtual Server. Si tratta di ridirigere i pacchetti provenienti dal pc remoto e indirizzati alla porta TCP 1723, quella usata da PPTP, verso l'interfaccia esterna del 8200.
9105/9106.
Con 9105 e 9106 andare alla voce Security > Virtual Server del menu principale. Appare la Fig. 10
Fig. 10
Nella Fig. 10, premere "Add".
Fig. 11
Nella pagina successiva, nel campo "Select a Service", selezionare dal menu a tendina la voce PPTP. I campi relativi alle porte si riempiranno automaticamente. Riempire il campo Server IP Address con l'indirizzo esterno del 8200 (Fig. 11). Premere "Apply" in fondo alla pagina.
Fig. 12
La Fig. 12 indica l'avvenuta configurazione
9107/9108.
Con 9107 e 9108 andare alla voce Security > Virtual Servers del menu di configurazione. Comparirà la seguente pagina
Fig. 13
Premere "Add"
Fig. 14
Nella pagina successiva, nel campo "Select a Service", selezionare dal menu a tendina la voce PPTP. I campi relativi alle porte si riempiranno automaticamente. Riempire il campo Server IP Address con l'indirizzo esterno del 8200 (Fig. 14). Premere "Apply" in fondo alla pagina
Fig. 15
La Fig. 15 indica l'avvenuta configurazione.
9110
Con 9110 (il router del kit 5473) andare alla voce NAT > Virtual Server del menu di configurazione. Compilarlo come segue (Fig. 16) e premere il tasto "Add"
Fig. 16
Fase 3. Come configurare il routerADSL-1
Il routerADSL-1 non necessita di configurazione in quanto é gia pronto per il pass-through
dei tunnel PPTP, almeno nel caso dei router 9105, 9106, 9107, 9108, 9110.
Va però tenuto presente che é consentito il passaggio di un solo tunnel in uscita per volta.
La stessa limitazione non si applica ai tunnel in entrata nel routerADSL-2, purché provengano
da reti diverse.
Fase 4. Come configurare il Pc remoto (client PPTP)
I dettagli di questa fase variano leggermente a seconda della versione di Windows.
Viene qui illustrato il caso di XP.
Occorre prima visualizzare le connessioni di rete, p.es. da
Pannello di Controllo > Connessioni di Rete
Scegliere la voce "Crea una nuova connessione". Parte il wizard di configurazione (Fig. 17)
Fig. 17
Premere "Avanti"
Fig. 18
Scegliere "Connessione alla rete aziendale" (Fig. 18). Premere "Avanti"
Fig. 19
Scegliere "Connessione VPN" (Fig. 19). Premere "Avanti".
Fig. 20
Nella finestra successiva (Fig.20), viene attribuito un nome alla VPN (VPNufficio nel nostro caso). Il nome non ha nessuna relazione con i parametri di rete, é solo il nome con cui apparirà la nuova icona nella sezione "Connession di rete". Premere "Avanti".
Fig. 21
La scelta da fare nella Fig. 21 dipende da come il pc remoto é connesso a Internet. Se, come
nella nostra Fig. 1, si trova dietro un router ADSL, non sarà necessario stabilire alcuna connessione
preliminare, e la scelta giusta é "Non effettuare prima alcuna conessione" come indicato nella
Fig. 21.
Se invece il pc remoto si connette a Internet tramite modem analogico, o con un modem ADSL, é possibile
che sul pc, in connessioni di rete, sia già presente un icona che lancia "a mano" tale connessione.
In tal caso scegliere "Connetti automaticamente a", e poi, dal menu a tendina, il tipo di
connessione. Così facendo, quando si fa partire la VPN, il pc stesso provvederà prima a far
partire la connessione a Internet, senza la quale la VPN non potrebbe esistere.
Premere "Avanti"
Fig. 22
La Fig. 22 é la fase più importante. Bisogna specificare l'indirizzo al quale il client PPTP può
trovare il server PPTP. Notare, v. Fig. 1, che si tratta dell'indirizzo esterno del RouterADSL-2
Grazie alle impostazioni viste nella Fase 2, il router provvederà ad instradare i pacchetti verso
il firewall 8200.
Se il RouterADSL-2 usa il Dynamic DNS, cosa particolarmente utile se la sua connessione
é a IP dinamico, qui dovrà essere inserito il suo FQDN (p.es. nomerouter.dyndns.org).
Premere "Avanti".
Fig. 23
La Fig. 23 termina la procedura. Premere "Fine".
Noterete che in "Connessioni di rete" (e sul Desktop, se così si é scelto alla Fig. 23) é comparsa la seguente icona
Fig. 24
Per far partire la VPN, basta ora cliccare due volte sull'icona della Fig. 24 e compilare i campi con username e password (Fig. 25)
Fig. 25
Va da sé che la password inserita é "123456789" Poi va premuta la voce "Connetti".
Una volta stabilita la VPN, un riassunto dei parametri IP si vede, p.es., dal prompt dei comandi, con il comando ipconfig -all
Fig. 26
Da questi parameteri si vede bene come l'interfaccia VPN abbia un indirizzo IP appartenente alla LAN (192.168.2.245), della quale il pc remoto é entrato a far parte. Tale indirizzo é quello riportato nella Fig. 1.
Nota.
Se il pc remoto si connette a Internet tramite un router 9105/6 e si verificano dei blocchi del tunnel VPN, aprire il prompt dei comandi, subito dopo aver stabilito la connessione VPN, e lanciare un ping continuato verso un indirizzo IP della LAN, p.es. quello interno del firewall 8200.
ping 192.168.2.1 -t