Configurazione rapida di una rete VPN

di Luciano Serafino

scritto il

Procedura semplice per attivare una rete privata virtuale all'interno della nostra LAN e far comunicare i dipendenti in piena sicurezza con i nostri computer.

Configurare una VPN su Windows

In un precedente articolo abbiamo approfondito i vantaggi di una VPN o rete privata virtuale, vediamo adesso una procedura rapida per attivarla all’interno della vostra LAN. La creazione, ovvero l’installazione, di una rete VPN consiste fondamentalmente nella creazione e conseguente configurazione di un Server e di un Client. Il primo avrà il compito di accettare le “chiamate” in ingresso preferibilmente solo da utenti (Client) autorizzati.Il secondo può essere rappresentato da più utenti, ognuno con la propria autorizzazione, che inviano una richiesta di connessione al Server sfruttando il collegamento virtuale reso disponibile dalla connessione internet. Per quanto detto a proposito delle reti VPN, è infatti indispensabile che gli attori (il Server e uno o più Client) siano collegati, anche in posti fisicamente differenti, alla rete internet. Nel seguito verranno descritte le procedure per la configurazione del Server e del Client di una rete VPN su Windows.

Configurazione Server

Da Pannello di Controllo facciamo clic su Connessioni di Rete e poi su Creazione guidata nuova connessione.

Figura 1: Creazione guidata di una connessione

Creazione guidata di una connessione

Viene mostrata la procedura guidata per la creazione di una nuova connessione. Selezioniamo la voce Installazione di una connessione avanzata e proseguiamo. La successiva schermata ci permetterà di identificare il tipo di Pc che stiamo configurando. Nel nostro caso (Server) dobbiamo spuntare la voce “Accetta connessioni in ingresso”, poiché vogliamo che gli altri Pc della rete si colleghino a noi. Lasciamo invariata la sezione riguardante le periferiche di chiamate in ingresso e proseguiamo.

Figura 2: La selezione della connessione VPN

La selezione della connessione VPN

Nella seguente schermata selezioniamo Consenti connessioni private virtuali, e dopo confermato, possiamo scegliere gli utenti da far collegare alla rete (possiamo anche crearne di nuovi utilizzando il tasto Aggiungi). Dopo aver confermato è possibile modificare i parametri del protocollo TCP secondo le proprie esigenze (lasciando invariato Windows gestirà gli indirizzi in automatico). Andiamo ancora una volta avanti e confermiamo. Ora il Server è pronto ad accettare connessioni in ingresso.

Configurazione Client

Nella prima parte di questo articolo abbiamo descritto come creare il Server per la nostra rete VPN. Ora procederemo alla creazione di una connessione lato Client. Innanzitutto, come per la procedura lato Server, creiamo una nuova connessione (Pannello di controllo, Connessioni di rete, Crea nuova connessione).

Figura 2: La configurazione del Client

La configurazione del Client

Selezioniamo Connessione alla rete aziendale, quindi Connessione VPN. Dopo aver scelto un nome per la connessione (sarà solo il nome visualizzato, quindi qualunque dicitura può andar bene), dovremo procedere ad indicare l’indirizzo IP del Server. Dopo aver inserito l’indirizzo del Server, andiamo avanti e confermiamo la creazione della connessione. Cliccando due volte sulla connessione appena creata, si aprirà una maschera molto simile a quella di una connessione internet normale. Al posto di username e password dovremo inserire i dati relativi all’account creato ad hoc sul Server. Dopo averli inseriti, ci connettiamo e da quel momento è come se i due Pc siano in rete Lan.

Problematiche

Appare evidente come a questo punto la difficoltà principale sia legata all’individuazione dell’indirizzo IP del Server cui ci si vuole collegare. Infatti, le connessioni ad internet si dividono principalmente in due famiglie:

  • IP Statico: l’ISP assegna sempre il medesimo indirizzo per consentire alla macchina di uscire su internet
  • IP Dinamico: l’ISP assegna un indirizzo IP sempre diverso ad ogni connessione ad internet.

Il primo caso ci consentirebbe, evidentemente, di conoscere sempre l’indirizzo IP del Server cui ci si vuole collegare. Il secondo caso appare invece decisamente più complicato, in quanto l’unico via per conoscere l’IP assegnato dall’ISP alla macchina comporterebbe l’avere accesso fisico alla macchina stessa.

Una possibile soluzione, che se da un lato risulta più macchinosa dall’altro consentirebbe sempre di avere un certo controllo sulla possibilità di accesso al Server dall’esterno, potrebbe consistere nel contattare l’amministratore o l’utilizzatore della macchina Server che in tempo reale comunicherebbe l’indirizzo IP assegnato al Server nella sessione di lavoro corrente. La complicazione evidente di questa soluzione è nell’obbligare l’utilizzatore esterno che vuole collegarsi alla VPN a variare di volta in volta la proprietà della connessione creata, modificando l’indirizzo IP dell’host cui collegarsi. In alternativa una possibile soluzione, comunque macchinosa, potrebbe essere trovata nell’invio di una e-mail da parte dell’amministratore con la quale si comunica l’indirizzo IP assegnato alla macchina Server.

DynDNS

Una soluzione decisamente più snella, che comunque consentirebbe un continuo controllo sugli accessi al Server gestendo le autorizzazioni agli utenti creati, è rappresentata dal servizio offerto da DynDNS. Si tratta, infatti, di un servizio (gratuito con qualche limitazione o senza limiti previo un economico acquisto di licenza) per uso commerciale (e non solo) che permette di associare il proprio indirizzo IP (statico o dinamico) ad un DNS (Domain Name System), che consente di tradurre un indirizzo del tipo www.tuonome.it in in indirizzo ip del tipo xxx.xxx.xxx.xxx. In questo modo, durante la configurazione del Client non si dovrà indicare l’indirizzo IP del Server cui collegarsi ma semplicemente un indirizzo internet classico che rimarrà sempre uguale. DynDNS, o servizi simili, sono inoltre offerti in molti router ed è dunque molto facile integrarli all’interno di una rete aziendale. Vediamo nel dettaglio come funziona questo servizio. Creando un account su DynDNS.com, ci verrà associato un indirizzo del tipo http://nomescelto.homeip.net (che sarà quello da indicare durante la configurazione del Client). In realtà il sito offre varie possibilità di modelli di indirizzi da poter scegliere, e quello appena indicato è solo un esempio possibile. Ora abbiamo il nostro DNS personale. Il prossimo passo è fare in modo che il DNS creato (fisso) punti sempre all’indirizzo IP della macchina Server, che ogni volta che la connessione sarà disattivata e riattivata sarà sempre diverso. Utilizziamo a tal fine il software ufficiale di DynDNS, ovvero “DYNDNS UPDATER”. Dopo essere stato installato e configurato (inserendo semplicemente i propri dati di registrazione a DynDNS), il software risiederà nella SystemTray della macchina Server, e provvederà ad aggiornare l’ip corrente (assegnato dall’ISP alla macchina Server) a cui il vostro Dns deve puntare. A questo punto possiamo raggiungere il nostro Pc da qualsiasi luogo inserendo semplicemente l’indirizzo registrato in DynDNS, alla richiesta di host durante la configurazione del Client.