Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

--- pub:conf-vpn [2020/04/03 12:16] – andrea.avi@unitn.it
+++ pub:conf-vpn [2021/04/21 08:48] (versione attuale) – eliminata m.fiorazzo@unitn.it
@@ Linea 1: / Linea 1: @@
-====== Configurazione VPN di Ateneo ======
-[[pub:conf-vpn-en|English Version]]
-===== Pulse Secure Download =====
-Per l'uso della VPN è necessario installare il client Pulse Secure.
-Per motivi di sicurezza l'accesso alle share di rete non è consentito utilizzando client con sistemi operativi non aggiornati. Gli utenti che usano PC con **windows 7** o precedenti oppure Mac versione **10.12 (Sierra)** o precedenti possono usare la VPN ma non hanno accesso alle share di rete (vedi [[https://wiki.unitn.it/pub:conf-vpn-paloalto#elenco_share_di_rete_bloccate|elenco]] share di rete bloccate).
-**Novità:**\\
-con la nuova versione (5.3r3) di Pulse Secure per Linux sono stati risolti i problemi di disconnessione. La versione 5.3r3 è inoltre nativa 64bit.
-^Pulse Secure Download^
-|{{:pub:vpn:ps-pulse-win-5.3R7.0-b1933-64bitinstaller.msi|Windows 7/8/10 (64bit) Pulse Secure 5.3R7 (Jan 2019)}}|
-|{{:pub:vpn:ps-pulse-win-5.3R7.0-b1933-32bitinstaller.msi|Windows 7/8/10 (32bit) Pulse Secure 5.3R7 (Jan 2019)}}|
-|{{:pub:ps-pulse-win-5.0r15.1-b61501-32bitinstaller.msi|Windows Vista 32bit Pulse Secure 5.0R15}}|
-|{{:pub:ps-pulse-win-5.0r15.1-b61501-64bitinstaller.msi|Windows Vista 64bit Pulse Secure 5.0R15}}|
-|{{:pub:vpn:ps-pulse-mac-5.3R7.0-b1933-installer.dmg|MACOSX (> 10.10) Pulse Secure 5.3R7 (Jan 2019)}} (*)|
-|{{:pub:vpn:ps-pulse-mac-5.3r3.0-b1021-installer.dmg|MACOSX (> 10.6) Pulse Secure 5.3R3}} (*)|
-|{{:pub:vpn:ps-pulse-mac-9.1r3.0-b1313-installer.dmg|MACOSX Catalina Pulse Secure 9.1r3}} (*)|
-Per i dispositivi mobili (iPhone, iPod Touch, iPad, Android devices 4.0 o superiori, Windows Mobile 6.5) installare l'app "Pulse Secure".
-(*) Per Mac: Attenzione! Se viene usato il client **Safari** al file .dmg viene aggiunta l'estensione .exe che va rimossa, oppure effettuare un salva con nome “pulse.dmg”. Per client Firefox o Chrome non è invece stata riscontrata questa anomalia.\\
-^Pulse Secure per Linux Download^
-|{{:pub:vpn:ps-pulse-linux-5.3r7.0-b919-centos-rhel-32-bit-installer.rpm|Linux CentOS 32bit Pulse Secure 5.3R7 (Jan 2019)}}|
-|{{:pub:vpn:ps-pulse-linux-5.3r7.0-b919-ubuntu-debian-32-bit-installer.deb|Linux Ubuntu (> 14.04) 32bit Pulse Secure 5.3R7 (Jan 2019)}}|
-|{{:pub:vpn:ps-pulse-linux-5.3r7.0-b919-centos-rhel-64-bit-installer.rpm|Linux CentOS 64bit Pulse Secure 5.3R7 (Jan 2019)}}|
-|{{:pub:vpn:ps-pulse-linux-5.3r7.0-b919-ubuntu-debian-64-bit-installer.deb|Linux Ubuntu (<= 16.04) 64bit Pulse Secure 5.3R7 (Jan 2019)}}|
-|{{:pub:vpn:ps-pulse-linux-9.0r3.0-b923-ubuntu-debian-64-bit-installer.deb|Linux Ubuntu (18.04) 64bit Pulse Secure 9.0R3 (Feb 2019)}}|
-|{{:pub:vpn:ps-pulse-5.3r3-linux-quickstart-guide.pdf|Documentazione ufficiale client linux 5.3r4}}|
-===== configurazione VPN "Classica" =====
-==== win / MAC ====
-Dopo averla installata, lanciare l' Applicazione Pulse Secure:\\
-{{:pub:vpn:1_pulse_avvio.png|}}
-Creare quindi una nuova connessione cliccando su '+' e inserendo i parametri corretti:\\
-{{:pub:vpn:2_pulse_crea_connessione.png|}}
-Per far partire la connessione cliccare su <Connetti>\\
-{{:pub:vpn:3_pulse_connetti.png|}}
-Inserire nome utente (@unitn.it) e password ed eventualmente memorizzare le credenziali\\
-{{:pub:vpn:4_pulse_password.png|}}
-La connessione è stabilita, per disconnettere cliccare su <Disconnetti>\\
-{{:pub:vpn:5_pulse_connessione_ok.png|}}
-Notare l'icona di Pulse Secure nell' area di notifica\\
-{{:pub:vpn:6_pulse_bar.png|}}
-E' possibile visualizzare una finestra di stato da File->Connessioni->Dettagli avanzati di connessione...\\
-{{:pub:vpn:7_pulse_connessione_ok_status.png|}}
-==== dispositivi mobili ====
-{{:pub:vpn:1_pulse_secure_mobile.png?200|}}
-  * Creare una nuova connessione inserendo:
-    * "Nome connessione" (a scelta)
-    * "URL": https://vpn-ssl.unitn.it/
-    * "Nome utente" (nella forma nomeutente@unitn.it)
-    * toccare su "Crea connessione"
-{{:pub:vpn:2_pulse_secure_mobile_connessione.png?200|}}
-  * toccare su "Connetti", inserire la password e selezionare "Sign In" (eventualmente accettare la richiesta di considerare l' applicazione attendibile)
-{{:pub:vpn:4_pulse_secure_mobile_connetti.png?200|}}
-{{:pub:vpn:3_pulse_secure_mobile_login.png?200|}}
-  * a questo punto viene stabilita la connessione, verificabile tramite un tocco su "Stato"
-{{:pub:vpn:5_pulse_secure_mobile_connesso_ok.png?200|}}
-{{:pub:vpn:6_pulse_secure_mobile_status.png?200|}}
-  * al termine della sessione, per terminare la connessione, toccare su "Disconnetti"
-==== Linux ====
-**Novità:**\\
-con la nuova versione (5.3r3) di Pulse Secure per Linux sono stati risolti i problemi di disconnessione. La versione 5.3r3 è inoltre nativa 64bit.
-^Pulse Secure per Linux Download^
-|{{:pub:vpn:ps-pulse-linux-5.3r3.0-b1021-centos-rhel-32-bit-installer.rpm|Linux CentOS 32bit Pulse Secure 5.3r3 (Oct 2017)}}|
-|{{:pub:vpn:ps-pulse-linux-5.3r3.0-b1021-ubuntu-debian-32-bit-installer.deb|Linux Ubuntu (> 14.04) 32bit Pulse Secure 5.3r3 (Oct 2017)}}|
-|{{:pub:vpn:ps-pulse-linux-5.3r3.0-b1021-centos-rhel-64-bit-installer.rpm|Linux CentOS 64bit Pulse Secure 5.3r3 (Oct 2017)}}|
-|{{:pub:vpn:ps-pulse-linux-5.3r3.0-b1021-ubuntu-debian-64-bit-installer.deb|Linux Ubuntu (> 14.04) 64bit Pulse Secure 5.3r3 (Oct 2017)}}|
-|{{:pub:vpn:ps-pulse-5.3r3-linux-quickstart-guide.pdf|Documentazione ufficiale client linux 5.3r3}}|
-Dopo aver effettuato il download, aprire un terminale e installare Pulse Secure.
-Debian-based Linux (ad esempio Ubuntu):
-dpkg -i <package name>
-RPM-based Linux (ad esempio CentOS):
-rpm -ivh <package name>
-Per esempio, se Pulse Secure è stato salvato in /$HOME/Downloads su Ubuntu, il comando di installazione sarà:
-<code>
-sudo dpkg -i /$HOME/Downloads/ps-pulse-linux-5.3r3.0-b1021-ubuntu-debian-64-bit-installer.deb
-</code>
-Installare le dipendenze:
-<code>
-user@host:~$ sudo /usr/local/pulse/PulseClient.sh install_dependency_packages
-</code>
-se si vuole lanciare la UI da linea di comando (/usr/local/pulse/pulseUi) esportare il percorso della libreria:
-<code>
-export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/pulse
-</code>
-Altrimenti lanciare Pulse dalle Applicazioni installate cliccando sull' icona.
-  * Schermata principale
-{{:pub:vpn:pulseui-linux-1.png|}}
-  * Creazione Connessione:
-{{:pub:vpn:pulseui-linux-2.png|}}
-  * Fase di login:
-{{:pub:vpn:pulseui-linux-3.png|}}
-  * Stato della connessione:
-{{:pub:vpn:pulseui-linux-4.png|}}
-Se invece si vuol usare la linea di comando, lanciare il client da terminale (ci verrà chiesta la password UniTN):
-<code>
-/usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u nome.cognome@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
-</code>
-Ad Esempio:
-<code>
-user@host:~$ /usr/local/pulse/PulseClient.sh -h vpn-ssl.unitn.it -u username@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
-Reading package lists... Done
-Building dependency tree
-Reading state information... Done
-lib32z1 is already the newest version.
-libc6-i386 is already the newest version.
-upgraded, 0 newly installed, 0 to remove and 557 not upgraded.
-executing command : /usr/local/pulse/pulsesvc -h vpn-ssl.unitn.it -u username@unitn.it -U https://vpn-ssl.unitn.it -r AR-unitn-ldap-ad
-VPN Password:
-</code>
-Dopo pochi secondi la connessione viene stabilita ed è possibile monitorare lo stato da un' altra finestra terminale con il comando:
-<code>
-user@host:~$ /usr/local/pulse/PulseClient.sh -S
-Connection Status :
-         connection status : Connected
-         bytes sent : 1722
-         bytes received : 2586
-         Connection Mode : ESP
-         Encryption Type : AES128/SHA1
-         Comp Type : None
-         Assigned IP : 10.31.0.80
-</code>
-Per terminare la connessione digitare il comando:
-<code>
-user@host:~$ /usr/local/pulse/PulseClient.sh -K
-</code>
-==== caratteristiche VPN "Classica" ====
-=== indirizzo IP assegnato al client ===
-Ai client connessi in vpn viene assegnato un ip nel range che va da 10.31.0.10 a 10.31.0.254
-=== flusso del traffico: funzionalità "split-tunnel" ===
-Il traffico diretto agli IP dell'Ateneo transita nel tunnel VPN mentre il traffico verso altre reti (p.e. internet) esce dalla connessione standard del client (p.e. ADSL di casa).
-**NB: ** il routing NON viene modificato per le connessioni già attive al momento della connessione vpn
-=== requisiti firewall lato utente ===
-Il traffico VPN è crittografato in SSL ed usa la porta destinazione TCP 443. Per la modalità ESP (che aumenta le prestazioni) è necessario aprire la porta destinazione UDP 4500.
-====== CLIENT ALTERNATIVO Network Connect (NON CONSIGLIATO) ======
-===== Installazione del client Network Connect =====
-Prima di essere in grado di utilizzare il servizio è necessaria l' installazione del client "Network Connect"
-** NOTE: **
-  * ** prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente) **
-  * ** il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)**
-Per installare "Network Connect" sul proprio PC sono possibili 2 modalità:
-=== 1) MODALITA' MANUALE ===
-**REQUISITI:**
-  * diritti di amministratore (Windows), diritti di root (Linux/Mac)
-**ISTRUZIONI:**
-  * scaricare manualmente dai link qui sotto il client "Network Connect" per il proprio Sistema Operativo: \\
-^Sistema operativo^Download link^
-|Windows 32bit|[[https://wiki.unitn.it/_media/pub:vpn:ncinst.exe|Network Connect 8.0R11 (build 36363)]]|
-|Windows 64bit|[[https://wiki.unitn.it/_media/pub:vpn:ncinst64.exe|Network Connect 8.0R11 (build 36363)]]|
-|Linux|[[https://wiki.unitn.it/_media/pub:vpn:ncui-8.0r11.i386.rpm|Network Connect 8.0R11 (build 36363)]]| \\
-=== 2) MODALITA' "WEB" ===
-**REQUISITI:**
-  * diritti di amministratore (Windows), diritti di root (Linux/Mac)
-  * browser con Java JRE 6 o superiore installato e funzionante
-      * dopo l' aggiornamento a Java 7u51, si può verificare un problema per cui il browser continua a richiedere il download di JuniperSetupClientInstaller.exe, per risolvere bisogna aggiungere l' URL 'https://vpn-ssl.unitn.it' alle eccezioni di sicurezza nel Pannello di Controllo Java in ”Sicurezza=>Modifica lista siti->Aggiungi->https://vpn-ssl.unitn.it"
-      * verifica ed aggiornamento installazione Java: http://www.java.com/it/download/testjava.jsp
-      * istruzioni di installazione Java: http://www.java.com/it/download/help/download_options.xml
-      * su Ubuntu + Firefox devono essere installati IcedTea-Web Plugin (da Firefox Add-ons Manager) e OpenJDK 6 o 7 (via apt-get, vedi sotto)
-**NOTA PER LINUX 64bit:**
-  * su Linux 64bit è attualmente supportato solo il client 32bit quindi anche Java va installato nella versione 32bit
-    * su Ubuntu Linux 64bit (12.04) bisogna installare openjdk 6 or 7 (32bit) con questo commando: “sudo apt-get install openjdk-6-jre:i386” oppure “sudo apt-get install openjdk-7-jre:i386”
-**ISTRUZIONI:**
-  * Collegarsi con un browser all'indirizzo [[https://vpn-ssl.unitn.it]], accedendo con le proprie credenziali d'Ateneo.
-  * cliccare sul bottonr "Start" vicino alla voce "Network Connect"
-{{:pub:vpn:start.png?1200|}}
-  * verrà installato ed eseguito sul PC il client "Network Connect" (eventualmente acconsentire le modifiche ed accettare tutti gli avvisi di sicurezza)
-**SOLO PER WINDOWS:**
-  * a conferma della connessione, nell' area di notifica in basso a destra (a fianco all' orologio) apparirà un' icona simile a questa: {{:pub:vpn:nc-icon.png|}} \\
-==== Utilizzo del client Network Connect ====
-Una volta che il client Network Connect è stato installato con una delle precedenti modalità, per le connessioni successive è sufficiente lanciarlo dai Programmi presenti sul proprio PC, comparirà una finestra di connessione:
-** NOTE: **
-  * ** prima di procedere è consigliata l' eliminazione della connessione relativa alla vecchia vpn (se presente) **
-  * ** il PC deve avere una configurazione proxy corretta: proxy configurato automaticamente da http://proxypac.unitn.it (reti interne) o nessun proxy (reti esterne ES: ADSL di casa)**
-Basterà a questo punto eseguire 3 semplici operazioni:
-  - inserire l' URL di connessione (Sign-in Page): **<nowiki>https://vpn-ssl.unitn.it/</nowiki>** (se non già presente)
-  - inserire username e password (credenziali di Ateneo)
-  - cliccare su "Login"
-{{:pub:vpn:vpn-ssl-login2.png?450|}}
-In pochi secondi verrà avviata la sessione vpn.
-**SOLO PER WINDOWS:**
-  * a connessione avvenuta, sarà visibile nell' area di notifica in basso a destra un' icona simile a questa: {{:pub:vpn:nc-icon.png|}} che conferma l' avvenuta connessione.
-  * facendo doppio click sull' icona è possibile visualizzare le informazioni di connessione:
-{{:pub:vpn:vpn-ssl-status.png|}}
-**NB: ** è sempre possibile stabilire la connessione anche accedendo via browser ripetendo i passaggi riportati sopra nella sezione **1) MODALITA' "WEB"**
-===== Utilizzo del client Network Connect dalla linea di comando (Linux) =====
-Dopo l' installazione di Network Connect, è possibile stabilire la connessione direttamente dalla linea di comando, i files si trovano nella directory /home/user/.juniper_networks/network_connect\\
-in alternativa è possibile scaricare e scompattare questo archivio: {{:pub:vpn:nc.tgz|}}
-Seguire questa procedura (verificata su Ubuntu 64bit 12.0.4):\\
-  * 1) spostarsi nella directory /home/user/.juniper_networks/network_connect (o dove si è scompattato l' archivio nc.tgz)
-<code>
-user@linux:home/user# cd .juniper_networks/network_connect
-</code>
-  * 2) Scaricare il certificato ssl della vpn (se non è già presente il file "certificato_vpn-ssl.crt", potete controllare con un comando "ls")
-<code>
-user@linux:home/user/.juniper_networks/network_connect# openssl s_client -connect vpn-ssl.unitn.it:443 -showcerts < /dev/null 2> /dev/null | openssl x509 -outform der > certificato_vpn-ssl.crt
-</code>
-  * 3a) Per stabilire la connessione con la applet di controllo (inserire la password quando richiesto):
-<code>
-user@linux:home/user/.juniper_networks/network_connect# /usr/lib/jvm/java-6-openjdk-i386/bin/java -jar NC.jar -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad
-Searching for ncsvc in current working directory done
-Password:
-</code>
-  * 3b) Per stabilire la connessione in modalità "silent", senza applet di controllo (inserire la password quando richiesto):
-<code>
-user@linux:home/user/.juniper_networks/network_connect# ./ncsvc -h vpn-ssl.unitn.it -u username@unitn.it -f certificato_vpn-ssl.crt -r AR-unitn-ldap-ad
-Password:
-Connecting to vpn-ssl.unitn.it : 443
-</code>
-  * 4) Verificare l' avvenuta connessione:
-<code>
-user@linux:home/user/.juniper_networks/network_connect# ip addr show tun0
-: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 500
-    link/none
-    inet 10.31.0.36/32 scope global tun0
-</code>
-===== elenco share di rete bloccate =====
-alessandria1.unitn.it
-.168.206.42
-nx-trento.unitn.it
-.168.132.11
-nx-collina.unitn.it
-.168.123.6
-.168.123.5
-fluidfs-prod.unitn.it
-.168.123.11
-fluidfs-prod2.unitn.it
-.168.123.19
-.168.123.18
-f87.unitn.it 192.168.187.25
-f85.unitn.it 192.168.187.26