Questa è una vecchia versione del documento!
Indice
Istruzioni configurazione e utilizzo servizio VPN di Ateneo
Il servizio VPN consente l'accesso sicuro alle risorse interne alla rete d'Ateneo da postazioni esterne mentre la connessione internet continua a fluire dalla connessione preesistente (ADSL, altra università, wifi pubblico ecc…). Si basa su crittografia SSL.
Per l' uso della VPN è necessario installare il client Pulse Secure, visitare la sezione corrispondente al proprio sistema operativo:
Sistema Operativo | Client consigliato | Istruzioni |
---|---|---|
Windows, Macosx | Pulse Secure | Pulse Secure Desktop |
Linux | Pulse Secure | Pulse Secure Linux |
Dispositivi Mobili (Smartphone & Tablet) | Pulse Secure | Pulse Secure Mobile |
MACOSX, Windows (Pulse Secure)
Per Mac: Attenzione!!! Se viene usato il client Safari: al file .dmg viene appeso un'estensione .exe che va rimossa per poter ulilizzare il file, oppure effettuare un salva con nome “pulse.dmg”. Per client Firefox o Chrome non sono state riscontrate anomalie nel download.
Dopo averla installata, lanciare l' Applicazione Pulse Secure, appare la schermata principale:
Creare quindi una nuova connessione cliccando su '+' e inserendo i parametri corretti:
Per far partire la connessione cliccare su <Connetti>
Inserire nome utente (@unitn.it) e password ed eventualmente memorizzare le credenziali
La connessione è stabilita, per disconnettere cliccare su <Disconnetti>
Notare l'icona di Pulse Secure nell' area di notifica
E' possibile visualizzare una finestra di stato da File→Connessioni→Dettagli avanzati di connessione…
E' possibile verificare l' ip assegnato anche da terminale con il comando 'ifconfig' o 'ipconfig':
MAC user$ ifconfig lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 .... .... utun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1400 inet 10.31.101.10 --> 10.31.101.10 netmask 0xffffffff
Linux (Pulse Secure)
Junos Pulse Download |
---|
Linux CentOS Pulse Secure 8.1r7.0-b41041 |
Linux Ubuntu (> 14.04) Pulse Secure 8.1r7.0-b41041 |
Scaricare il pacchetto e installarlo con il comando:
Debian-based Linux (ad esempio Ubuntu):
dpkg -i <package name>
RPM-based Linux (ad esempio CentOS):
rpm -ivh <package name>
Per esempio, se Pulse Linux è stato salvato in /$HOME/Downloads su Ubuntu, il comando sarà:
sudo dpkg -i /$HOME/Downloads/ps-pulse-linux-8.1r7.0-b41041-ubuntu-debian-installer.deb
Lo script di installazione eventualmente indicherà quali pacchetti vanno installati sul sistema (in questo caso libc6-i386 e lib32z1):
user@host:~$ sudo dpkg -i /$HOME/Downloads/ps-pulse-linux-8.1r7.0-b41041-ubuntu-debian-installer.deb (Reading database ... 154703 files and directories currently installed.) Preparing to replace pulse 8.1 (using .../ps-pulse-linux-8.1r7.0-b41041-ubuntu-debian-installer.deb) ... Unpacking replacement pulse ... Setting up pulse (8.1) ... Please execute below commands to install missing dependent packages apt-get install libc6-i386 apt-get install lib32z1 Please refer /usr/local/pulse/README for instructions to launch the Pulse Client
E' poi necessario scaricare il certificato della VPN con il comando:
user@host:~$ sudo su root@host:/home/network# openssl s_client -connect vpn-ssl.unitn.it:443 -showcerts < /dev/null 2> /dev/null | openssl x509 -outform der > /usr/local/pulse/vpn-ssl.crt
A questo punto possiamo lanciare il client con il comando (ci verrà chiesta la password UniTN):
/usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u nome.cognme@unitn.it -f /usr/local/pulse/vpn-ssl.crt -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
Ad Esempio:
network@network-ThinkPad-R400:~$ /usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u m.fiorazzo@unitn.it -f /usr/local/pulse/vpn-ssl.crt -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad Reading package lists... Done Building dependency tree Reading state information... Done lib32z1 is already the newest version. libc6-i386 is already the newest version. 0 upgraded, 0 newly installed, 0 to remove and 557 not upgraded. executing command : /usr/local/pulse/pulsesvc -h vpn-ssl.unitn.it -u m.fiorazzo@unitn.it -f /usr/local/pulse/vpn-ssl.crt -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad VPN Password:
Dopo pochi secondi la connessione viene stabilita ed è possibile monitorare lo stato da un' altra finestra terminale con il comando:
user@host:~$ /usr/local/pulse/PulseClient.sh -S Connection Status : connection status : Connected bytes sent : 1722 bytes received : 2586 Connection Mode : ESP Encryption Type : AES128/SHA1 Comp Type : None Assigned IP : 10.31.0.80
Per terminare la connessione digitare il comando:
user@host:~$ /usr/local/pulse/PulseClient.sh -K
Riferimenti- Documentazione ufficiale: https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40126/?q=linux&l=en_US&fs=Search&pn=1&atype=
Dispositivi Mobili
REQUISITI
- iPhone, iPod Touch, iPad
- Android devices 4.0 o superiori
- Windows Mobile 6.5
ISTRUZIONI: (screenshots relativi alla versione Android 4.1.2)
- installare l'app “Pulse Secure” dall' App Store o da Google Play
- avviare l' applicazione “Pulse Secure”
- Creare una nuova connessione inserendo:
- “Nome connessione” (a scelta)
- “URL”: https://vpn-ssl.unitn.it/
- “Nome utente” (nella forma nomeutente@unitn.it)
- toccare su “Crea connessione”
- toccare su “Connetti”, inserire la password e selezionare “Sign In” (eventualmente accettare la richiesta di considerare l' applicazione attendibile)
- a questo punto viene stabilita la connessione, verificabile tramite un tocco su “Stato”
- al termine della sessione, per terminare la connessione, toccare su “Disconnetti”
Caratteristiche servizio vpn-ssl
Indirizzo IP assegnato al client
Ai client connessi in vpn viene assegnato un ip nel range che va da 10.31.0.10 a 10.31.0.254
Funzionalità "split-tunnel"
La connessione VPN prevede che il traffico diretto agli IP dell'Ateneo transiti lungo il tunnel VPN mentre il traffico verso altre reti (p.e. internet) esce dalla connessione standard del client (p.e. ADSL di casa).
NB: il routing NON viene modificato per le connessione già attive al momento della connessione vpn
Requisiti Firewall lato utente
Il traffico VPN è crittografato in SSL ed usa la porta destinazione TCP 443. Per la modalità ESP (che aumenta le prestazioni) è necessario aprire la porta destinazione UDP 4500.
CLIENT ALTERNATIVO Network Connect (NON CONSIGLIATO)
Installazione del client Network Connect
Prima di essere in grado di utilizzare il servizio è necessaria l' installazione del client “Network Connect”
NOTE:
- prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente)
- il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)
Per installare “Network Connect” sul proprio PC sono possibili 2 modalità:
1) MODALITA' MANUALE
REQUISITI:
- diritti di amministratore (Windows), diritti di root (Linux/Mac)
ISTRUZIONI:
- scaricare manualmente dai link qui sotto il client “Network Connect” per il proprio Sistema Operativo:
Sistema operativo | Download link |
---|---|
Windows 32bit | Network Connect 8.0R11 (build 36363) |
Windows 64bit | Network Connect 8.0R11 (build 36363) |
Linux | Network Connect 8.0R11 (build 36363) |
Per Mac: Attenzione!!! Se viene usato il client Safari: al file .dmg viene appeso un'estensione .exe che va rimossa per poter ulilizzare il file, oppure effettuare un salva con nome “networkconnect.dmg”. Per client Firefox o Chrome non sono state riscontrate anomalie nel download.
Sistema operativo | Download link |
---|---|
Mac OS X | Network Connect 8.0R11 (build 36363) |
- eseguire il pacchetto d' installazione scaricato sul proprio PC
- NB: sono necessari i diritti di amministratore (Windows o Mac) o root (Linux)
2) MODALITA' "WEB"
REQUISITI:
- diritti di amministratore (Windows), diritti di root (Linux/Mac)
- browser con Java JRE 6 o superiore installato e funzionante
- dopo l' aggiornamento a Java 7u51, si può verificare un problema per cui il browser continua a richiedere il download di JuniperSetupClientInstaller.exe, per risolvere bisogna aggiungere l' URL 'https://vpn-ssl.unitn.it' alle eccezioni di sicurezza nel Pannello di Controllo Java in ”Sicurezza⇒Modifica lista siti→Aggiungi→https://vpn-ssl.unitn.it“
- verifica ed aggiornamento installazione Java: http://www.java.com/it/download/testjava.jsp
- istruzioni di installazione Java: http://www.java.com/it/download/help/download_options.xml
- su Ubuntu + Firefox devono essere installati IcedTea-Web Plugin (da Firefox Add-ons Manager) e OpenJDK 6 o 7 (via apt-get, vedi sotto)
NOTA PER LINUX 64bit:
- su Linux 64bit è attualmente supportato solo il client 32bit quindi anche Java va installato nella versione 32bit
- su Ubuntu Linux 64bit (12.04) bisogna installare openjdk 6 or 7 (32bit) con questo commando: “sudo apt-get install openjdk-6-jre:i386” oppure “sudo apt-get install openjdk-7-jre:i386”
ISTRUZIONI:
- Collegarsi con un browser all'indirizzo https://vpn-ssl.unitn.it, accedendo con le proprie credenziali d'Ateneo.
- cliccare sul bottonr “Start” vicino alla voce “Network Connect”
- verrà installato ed eseguito sul PC il client “Network Connect” (eventualmente acconsentire le modifiche ed accettare tutti gli avvisi di sicurezza)
SOLO PER WINDOWS:
Utilizzo del client Network Connect
Una volta che il client Network Connect è stato installato con una delle precedenti modalità, per le connessioni successive è sufficiente lanciarlo dai Programmi presenti sul proprio PC, comparirà una finestra di connessione:
NOTE:
- prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente)
- il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)
Basterà a questo punto eseguire 3 semplici operazioni:
- inserire l' URL di connessione (Sign-in Page): https://vpn-ssl.unitn.it/ (se non già presente)
- inserire username e password (credenziali di Ateneo)
- cliccare su “Login”
In pochi secondi verrà avviata la sessione vpn.
SOLO PER WINDOWS:
- facendo doppio click sull' icona è possibile visualizzare le informazioni di connessione:
NB: è sempre possibile stabilire la connessione anche accedendo via browser ripetendo i passaggi riportati sopra nella sezione 1) MODALITA' “WEB”
Utilizzo del client Network Connect dalla linea di comando (Linux)
Dopo l' installazione di Network Connect, è possibile stabilire la connessione direttamente dalla linea di comando, i files si trovano nella directory /home/user/.juniper_networks/network_connect
in alternativa è possibile scaricare e scompattare questo archivio: nc.tgz
Seguire questa procedura (verificata su Ubuntu 64bit 12.0.4):
- 1) spostarsi nella directory /home/user/.juniper_networks/network_connect (o dove si è scompattato l' archivio nc.tgz)
user@linux:home/user# cd .juniper_networks/network_connect
- 2) Scaricare il certificato ssl della vpn (se non è già presente il file “certificato_vpn-ssl.crt”, potete controllare con un comando “ls”)
user@linux:home/user/.juniper_networks/network_connect# openssl s_client -connect vpn-ssl.unitn.it:443 -showcerts < /dev/null 2> /dev/null | openssl x509 -outform der > certificato_vpn-ssl.crt
- 3a) Per stabilire la connessione con la applet di controllo (inserire la password quando richiesto):
user@linux:home/user/.juniper_networks/network_connect# /usr/lib/jvm/java-6-openjdk-i386/bin/java -jar NC.jar -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad Searching for ncsvc in current working directory done Password:
- 3b) Per stabilire la connessione in modalità “silent”, senza applet di controllo (inserire la password quando richiesto):
user@linux:home/user/.juniper_networks/network_connect# ./ncsvc -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad Password: Connecting to vpn-ssl.unitn.it : 443
- 4) Verificare l' avvenuta connessione:
user@linux:home/user/.juniper_networks/network_connect# ip addr show tun0 8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 500 link/none inet 10.31.0.36/32 scope global tun0