Questa è una vecchia versione del documento!
Indice
Configurazione VPN di Ateneo
Pulse Secure Download
Per l'uso della VPN è necessario installare il client Pulse Secure.
Per motivi di sicurezza l'accesso alle share di rete non è consentito utilizzando client con sistemi operativi non aggiornati. Gli utenti che usano PC con windows 7 o precedenti oppure Mac versione 10.12 (Sierra) o precedenti possono usare la VPN ma non hanno accesso alle share di rete (vedi elenco share di rete bloccate).
Novità:
con la nuova versione (5.3r3) di Pulse Secure per Linux sono stati risolti i problemi di disconnessione. La versione 5.3r3 è inoltre nativa 64bit.
Per i dispositivi mobili (iPhone, iPod Touch, iPad, Android devices 4.0 o superiori, Windows Mobile 6.5) installare l'app “Pulse Secure”.
(*) Per Mac: Attenzione! Se viene usato il client Safari al file .dmg viene aggiunta l'estensione .exe che va rimossa, oppure effettuare un salva con nome “pulse.dmg”. Per client Firefox o Chrome non è invece stata riscontrata questa anomalia.
configurazione VPN "Classica"
win / MAC
Dopo averla installata, lanciare l' Applicazione Pulse Secure:
Creare quindi una nuova connessione cliccando su '+' e inserendo i parametri corretti:
Per far partire la connessione cliccare su <Connetti>
Inserire nome utente (@unitn.it) e password ed eventualmente memorizzare le credenziali
La connessione è stabilita, per disconnettere cliccare su <Disconnetti>
Notare l'icona di Pulse Secure nell' area di notifica
E' possibile visualizzare una finestra di stato da File→Connessioni→Dettagli avanzati di connessione…
dispositivi mobili
- Creare una nuova connessione inserendo:
- “Nome connessione” (a scelta)
- “URL”: https://vpn-ssl.unitn.it/
- “Nome utente” (nella forma nomeutente@unitn.it)
- toccare su “Crea connessione”
- toccare su “Connetti”, inserire la password e selezionare “Sign In” (eventualmente accettare la richiesta di considerare l' applicazione attendibile)
- a questo punto viene stabilita la connessione, verificabile tramite un tocco su “Stato”
- al termine della sessione, per terminare la connessione, toccare su “Disconnetti”
Linux
Novità:
con la nuova versione (5.3r3) di Pulse Secure per Linux sono stati risolti i problemi di disconnessione. La versione 5.3r3 è inoltre nativa 64bit.
Dopo aver effettuato il download, aprire un terminale e installare Pulse Secure.
Debian-based Linux (ad esempio Ubuntu):
dpkg -i <package name>
RPM-based Linux (ad esempio CentOS):
rpm -ivh <package name>
Per esempio, se Pulse Secure è stato salvato in /$HOME/Downloads su Ubuntu, il comando di installazione sarà:
sudo dpkg -i /$HOME/Downloads/ps-pulse-linux-5.3r3.0-b1021-ubuntu-debian-64-bit-installer.deb
Installare le dipendenze:
user@host:~$ sudo /usr/local/pulse/PulseClient.sh install_dependency_packages
se si vuole lanciare la UI da linea di comando (/usr/local/pulse/pulseUi) esportare il percorso della libreria:
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/pulse
Altrimenti lanciare Pulse dalle Applicazioni installate cliccando sull' icona.
- Schermata principale
- Creazione Connessione:
- Fase di login:
- Stato della connessione:
Se invece si vuol usare la linea di comando, lanciare il client da terminale (ci verrà chiesta la password UniTN):
/usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u nome.cognome@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
Ad Esempio:
user@host:~$ /usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u username@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad Reading package lists... Done Building dependency tree Reading state information... Done lib32z1 is already the newest version. libc6-i386 is already the newest version. 0 upgraded, 0 newly installed, 0 to remove and 557 not upgraded. executing command : /usr/local/pulse/pulsesvc -h vpn-ssl.unitn.it -u username@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad VPN Password:
Dopo pochi secondi la connessione viene stabilita ed è possibile monitorare lo stato da un' altra finestra terminale con il comando:
user@host:~$ /usr/local/pulse/PulseClient.sh -S Connection Status : connection status : Connected bytes sent : 1722 bytes received : 2586 Connection Mode : ESP Encryption Type : AES128/SHA1 Comp Type : None Assigned IP : 10.31.0.80
Per terminare la connessione digitare il comando:
user@host:~$ /usr/local/pulse/PulseClient.sh -K
caratteristiche VPN "Classica"
indirizzo IP assegnato al client
Ai client connessi in vpn viene assegnato un ip nel range che va da 10.31.0.10 a 10.31.0.254
flusso del traffico: funzionalità "split-tunnel"
Il traffico diretto agli IP dell'Ateneo transita nel tunnel VPN mentre il traffico verso altre reti (p.e. internet) esce dalla connessione standard del client (p.e. ADSL di casa).
NB: il routing NON viene modificato per le connessioni già attive al momento della connessione vpn
requisiti firewall lato utente
Il traffico VPN è crittografato in SSL ed usa la porta destinazione TCP 443. Per la modalità ESP (che aumenta le prestazioni) è necessario aprire la porta destinazione UDP 4500.
CLIENT ALTERNATIVO Network Connect (NON CONSIGLIATO)
Installazione del client Network Connect
Prima di essere in grado di utilizzare il servizio è necessaria l' installazione del client “Network Connect”
NOTE:
- prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente)
- il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)
Per installare “Network Connect” sul proprio PC sono possibili 2 modalità:
1) MODALITA' MANUALE
REQUISITI:
- diritti di amministratore (Windows), diritti di root (Linux/Mac)
ISTRUZIONI:
- scaricare manualmente dai link qui sotto il client “Network Connect” per il proprio Sistema Operativo:
Sistema operativo | Download link |
---|---|
Windows 32bit | Network Connect 8.0R11 (build 36363) |
Windows 64bit | Network Connect 8.0R11 (build 36363) |
Linux | Network Connect 8.0R11 (build 36363) |
2) MODALITA' "WEB"
REQUISITI:
- diritti di amministratore (Windows), diritti di root (Linux/Mac)
- browser con Java JRE 6 o superiore installato e funzionante
- dopo l' aggiornamento a Java 7u51, si può verificare un problema per cui il browser continua a richiedere il download di JuniperSetupClientInstaller.exe, per risolvere bisogna aggiungere l' URL 'https://vpn-ssl.unitn.it' alle eccezioni di sicurezza nel Pannello di Controllo Java in ”Sicurezza⇒Modifica lista siti→Aggiungi→https://vpn-ssl.unitn.it“
- verifica ed aggiornamento installazione Java: http://www.java.com/it/download/testjava.jsp
- istruzioni di installazione Java: http://www.java.com/it/download/help/download_options.xml
- su Ubuntu + Firefox devono essere installati IcedTea-Web Plugin (da Firefox Add-ons Manager) e OpenJDK 6 o 7 (via apt-get, vedi sotto)
NOTA PER LINUX 64bit:
- su Linux 64bit è attualmente supportato solo il client 32bit quindi anche Java va installato nella versione 32bit
- su Ubuntu Linux 64bit (12.04) bisogna installare openjdk 6 or 7 (32bit) con questo commando: “sudo apt-get install openjdk-6-jre:i386” oppure “sudo apt-get install openjdk-7-jre:i386”
ISTRUZIONI:
- Collegarsi con un browser all'indirizzo https://vpn-ssl.unitn.it, accedendo con le proprie credenziali d'Ateneo.
- cliccare sul bottonr “Start” vicino alla voce “Network Connect”
- verrà installato ed eseguito sul PC il client “Network Connect” (eventualmente acconsentire le modifiche ed accettare tutti gli avvisi di sicurezza)
SOLO PER WINDOWS:
Utilizzo del client Network Connect
Una volta che il client Network Connect è stato installato con una delle precedenti modalità, per le connessioni successive è sufficiente lanciarlo dai Programmi presenti sul proprio PC, comparirà una finestra di connessione:
NOTE:
- prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente)
- il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)
Basterà a questo punto eseguire 3 semplici operazioni:
- inserire l' URL di connessione (Sign-in Page): https://vpn-ssl.unitn.it/ (se non già presente)
- inserire username e password (credenziali di Ateneo)
- cliccare su “Login”
In pochi secondi verrà avviata la sessione vpn.
SOLO PER WINDOWS:
- facendo doppio click sull' icona è possibile visualizzare le informazioni di connessione:
NB: è sempre possibile stabilire la connessione anche accedendo via browser ripetendo i passaggi riportati sopra nella sezione 1) MODALITA' “WEB”
Utilizzo del client Network Connect dalla linea di comando (Linux)
Dopo l' installazione di Network Connect, è possibile stabilire la connessione direttamente dalla linea di comando, i files si trovano nella directory /home/user/.juniper_networks/network_connect
in alternativa è possibile scaricare e scompattare questo archivio: nc.tgz
Seguire questa procedura (verificata su Ubuntu 64bit 12.0.4):
- 1) spostarsi nella directory /home/user/.juniper_networks/network_connect (o dove si è scompattato l' archivio nc.tgz)
user@linux:home/user# cd .juniper_networks/network_connect
- 2) Scaricare il certificato ssl della vpn (se non è già presente il file “certificato_vpn-ssl.crt”, potete controllare con un comando “ls”)
user@linux:home/user/.juniper_networks/network_connect# openssl s_client -connect vpn-ssl.unitn.it:443 -showcerts < /dev/null 2> /dev/null | openssl x509 -outform der > certificato_vpn-ssl.crt
- 3a) Per stabilire la connessione con la applet di controllo (inserire la password quando richiesto):
user@linux:home/user/.juniper_networks/network_connect# /usr/lib/jvm/java-6-openjdk-i386/bin/java -jar NC.jar -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad Searching for ncsvc in current working directory done Password:
- 3b) Per stabilire la connessione in modalità “silent”, senza applet di controllo (inserire la password quando richiesto):
user@linux:home/user/.juniper_networks/network_connect# ./ncsvc -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad Password: Connecting to vpn-ssl.unitn.it : 443
- 4) Verificare l' avvenuta connessione:
user@linux:home/user/.juniper_networks/network_connect# ip addr show tun0 8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 500 link/none inet 10.31.0.36/32 scope global tun0
elenco share di rete bloccate
alessandria1.unitn.it 192.168.206.42
nx-trento.unitn.it 192.168.132.11
nx-collina.unitn.it 192.168.123.6 192.168.123.5
fluidfs-prod.unitn.it 192.168.123.11
fluidfs-prod2.unitn.it 192.168.123.19 192.168.123.18
f87.unitn.it 192.168.187.25 f85.unitn.it 192.168.187.26