Strumenti Utente

Strumenti Sito


pub:conf-vpn

Configurazione VPN di Ateneo (basata su crittografia SSL)

Pulse Secure Download

Per l'uso della VPN è necessario installare il client Pulse Secure.

Novità:
con la nuova versione (5.3r3) di Pulse Secure per Linux sono stati risolti i problemi di disconnessione. La versione 5.3r3 è inoltre nativa 64bit.

Per i dispositivi mobili (iPhone, iPod Touch, iPad, Android devices 4.0 o superiori, Windows Mobile 6.5) installare l'app “Pulse Secure”.

(*) Per Mac: Attenzione! Se viene usato il client Safari al file .dmg viene aggiunta l'estensione .exe che va rimossa, oppure effettuare un salva con nome “pulse.dmg”. Per client Firefox o Chrome non è invece stata riscontrata questa anomalia.

configurazione VPN "Classica"

win / MAC

Dopo averla installata, lanciare l' Applicazione Pulse Secure:

Creare quindi una nuova connessione cliccando su '+' e inserendo i parametri corretti:

Per far partire la connessione cliccare su <Connetti>

Inserire nome utente (@unitn.it) e password ed eventualmente memorizzare le credenziali

La connessione è stabilita, per disconnettere cliccare su <Disconnetti>

Notare l'icona di Pulse Secure nell' area di notifica

E' possibile visualizzare una finestra di stato da File→Connessioni→Dettagli avanzati di connessione…

dispositivi mobili

  • Creare una nuova connessione inserendo:
    • “Nome connessione” (a scelta)
    • “Nome utente” (nella forma nomeutente@unitn.it)
    • toccare su “Crea connessione”

  • toccare su “Connetti”, inserire la password e selezionare “Sign In” (eventualmente accettare la richiesta di considerare l' applicazione attendibile)

  • a questo punto viene stabilita la connessione, verificabile tramite un tocco su “Stato”

  • al termine della sessione, per terminare la connessione, toccare su “Disconnetti”

Linux

Novità:
con la nuova versione (5.3r3) di Pulse Secure per Linux sono stati risolti i problemi di disconnessione. La versione 5.3r3 è inoltre nativa 64bit.

Dopo aver effettuato il download, aprire un terminale e installare Pulse Secure.

Debian-based Linux (ad esempio Ubuntu):

dpkg -i <package name>

RPM-based Linux (ad esempio CentOS):

rpm -ivh <package name>

Per esempio, se Pulse Secure è stato salvato in /$HOME/Downloads su Ubuntu, il comando di installazione sarà:

sudo dpkg -i /$HOME/Downloads/ps-pulse-linux-5.3r3.0-b1021-ubuntu-debian-64-bit-installer.deb

Installare le dipendenze:

user@host:~$ sudo /usr/local/pulse/PulseClient.sh install_dependency_packages

se si vuole lanciare la UI da linea di comando (/usr/local/pulse/pulseUi) esportare il percorso della libreria:

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/pulse

Altrimenti lanciare Pulse dalle Applicazioni installate cliccando sull' icona.

  • Schermata principale

  • Creazione Connessione:

  • Fase di login:

  • Stato della connessione:

Se invece si vuol usare la linea di comando, lanciare il client da terminale (ci verrà chiesta la password UniTN):

/usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u nome.cognome@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad

Ad Esempio:

user@host:~$ /usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u username@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
Reading package lists... Done
Building dependency tree
Reading state information... Done
lib32z1 is already the newest version.
libc6-i386 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 557 not upgraded.
executing command : /usr/local/pulse/pulsesvc -h vpn-ssl.unitn.it -u username@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
VPN Password:

Dopo pochi secondi la connessione viene stabilita ed è possibile monitorare lo stato da un' altra finestra terminale con il comando:

user@host:~$ /usr/local/pulse/PulseClient.sh -S

Connection Status :

         connection status : Connected
         bytes sent : 1722
         bytes received : 2586
         Connection Mode : ESP
         Encryption Type : AES128/SHA1
         Comp Type : None
         Assigned IP : 10.31.0.80

Per terminare la connessione digitare il comando:

user@host:~$ /usr/local/pulse/PulseClient.sh -K

caratteristiche VPN "Classica"

indirizzo IP assegnato al client

Ai client connessi in vpn viene assegnato un ip nel range che va da 10.31.0.10 a 10.31.0.254

flusso del traffico: funzionalità "split-tunnel"

Il traffico diretto agli IP dell'Ateneo transita nel tunnel VPN mentre il traffico verso altre reti (p.e. internet) esce dalla connessione standard del client (p.e. ADSL di casa).

NB: il routing NON viene modificato per le connessioni già attive al momento della connessione vpn

requisiti firewall lato utente

Il traffico VPN è crittografato in SSL ed usa la porta destinazione TCP 443. Per la modalità ESP (che aumenta le prestazioni) è necessario aprire la porta destinazione UDP 4500.

CLIENT ALTERNATIVO Network Connect (NON CONSIGLIATO)

Installazione del client Network Connect

Prima di essere in grado di utilizzare il servizio è necessaria l' installazione del client “Network Connect”

NOTE:

  • prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente)
  • il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)

Per installare “Network Connect” sul proprio PC sono possibili 2 modalità:

1) MODALITA' MANUALE

REQUISITI:

  • diritti di amministratore (Windows), diritti di root (Linux/Mac)

ISTRUZIONI:

  • scaricare manualmente dai link qui sotto il client “Network Connect” per il proprio Sistema Operativo:

Per Mac: Attenzione!!! Se viene usato il client Safari: al file .dmg viene appeso un'estensione .exe che va rimossa per poter ulilizzare il file, oppure effettuare un salva con nome “networkconnect.dmg”. Per client Firefox o Chrome non sono state riscontrate anomalie nel download.

Sistema operativoDownload link
Mac OS XNetwork Connect 8.0R11 (build 36363)
  • eseguire il pacchetto d' installazione scaricato sul proprio PC
    • NB: sono necessari i diritti di amministratore (Windows o Mac) o root (Linux)

2) MODALITA' "WEB"

REQUISITI:

  • diritti di amministratore (Windows), diritti di root (Linux/Mac)
  • browser con Java JRE 6 o superiore installato e funzionante

NOTA PER LINUX 64bit:

  • su Linux 64bit è attualmente supportato solo il client 32bit quindi anche Java va installato nella versione 32bit
    • su Ubuntu Linux 64bit (12.04) bisogna installare openjdk 6 or 7 (32bit) con questo commando: “sudo apt-get install openjdk-6-jre:i386” oppure “sudo apt-get install openjdk-7-jre:i386”

ISTRUZIONI:

  • Collegarsi con un browser all'indirizzo https://vpn-ssl.unitn.it, accedendo con le proprie credenziali d'Ateneo.
  • cliccare sul bottonr “Start” vicino alla voce “Network Connect”

  • verrà installato ed eseguito sul PC il client “Network Connect” (eventualmente acconsentire le modifiche ed accettare tutti gli avvisi di sicurezza)

SOLO PER WINDOWS:

  • a conferma della connessione, nell' area di notifica in basso a destra (a fianco all' orologio) apparirà un' icona simile a questa:

Utilizzo del client Network Connect

Una volta che il client Network Connect è stato installato con una delle precedenti modalità, per le connessioni successive è sufficiente lanciarlo dai Programmi presenti sul proprio PC, comparirà una finestra di connessione:

NOTE:

  • prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente)
  • il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)

Basterà a questo punto eseguire 3 semplici operazioni:

  1. inserire l' URL di connessione (Sign-in Page): https://vpn-ssl.unitn.it/ (se non già presente)
  2. inserire username e password (credenziali di Ateneo)
  3. cliccare su “Login”

In pochi secondi verrà avviata la sessione vpn.

SOLO PER WINDOWS:

  • a connessione avvenuta, sarà visibile nell' area di notifica in basso a destra un' icona simile a questa: che conferma l' avvenuta connessione.
  • facendo doppio click sull' icona è possibile visualizzare le informazioni di connessione:

NB: è sempre possibile stabilire la connessione anche accedendo via browser ripetendo i passaggi riportati sopra nella sezione 1) MODALITA' “WEB”

Utilizzo del client Network Connect dalla linea di comando (Linux)

Dopo l' installazione di Network Connect, è possibile stabilire la connessione direttamente dalla linea di comando, i files si trovano nella directory /home/user/.juniper_networks/network_connect

in alternativa è possibile scaricare e scompattare questo archivio: nc.tgz

Seguire questa procedura (verificata su Ubuntu 64bit 12.0.4):

  • 1) spostarsi nella directory /home/user/.juniper_networks/network_connect (o dove si è scompattato l' archivio nc.tgz)
user@linux:home/user# cd .juniper_networks/network_connect
  • 2) Scaricare il certificato ssl della vpn (se non è già presente il file “certificato_vpn-ssl.crt”, potete controllare con un comando “ls”)
user@linux:home/user/.juniper_networks/network_connect# openssl s_client -connect vpn-ssl.unitn.it:443 -showcerts < /dev/null 2> /dev/null | openssl x509 -outform der > certificato_vpn-ssl.crt
  • 3a) Per stabilire la connessione con la applet di controllo (inserire la password quando richiesto):
user@linux:home/user/.juniper_networks/network_connect# /usr/lib/jvm/java-6-openjdk-i386/bin/java -jar NC.jar -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad
Searching for ncsvc in current working directory done
Password:
  • 3b) Per stabilire la connessione in modalità “silent”, senza applet di controllo (inserire la password quando richiesto):
user@linux:home/user/.juniper_networks/network_connect# ./ncsvc -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad
Password:
Connecting to vpn-ssl.unitn.it : 443
  • 4) Verificare l' avvenuta connessione:
user@linux:home/user/.juniper_networks/network_connect# ip addr show tun0
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 500
    link/none 
    inet 10.31.0.36/32 scope global tun0
pub/conf-vpn.txt · Ultima modifica: 2017/10/24 08:55 da m.fiorazzo@unitn.it