26133 Letture

Reti VPN: scambiare dati in sicurezza con i sistemi collegati alla LAN. Amahi e OpenVPN.

Una rete VPN è un collegamento instaurato tra sistemi che utilizzano un mezzo di comunicazione pubblico qual è Internet ma che hanno la necessità di scambiarsi dati in modo sicuro. Creando una VPN, i vari partecipanti alla rete, vengono a far parte di una rete privata anche se si trovassero fisicamente a migliaia di chilometri di distanza. Attraverso la rete VPN è possibile scambiarsi informazioni in modo molto simile a quanto accade in una connessione privata punto-punto. L'approccio utilizzato dà modo di rendere il computer remoto parte di una rete privata interna alla struttura aziendale creando un "tunnel" virtuale attraverso la rete Internet. Per simulare un collegamento punto-punto, i dati vengono incapsulati con l'aggiunta di un'intestazione che fornisce le informazioni di routing e cifrati in modo da renderne possibile la lettura da parte di eventuali aggressori, sprovvisti delle necessarie chiavi crittografiche.

Le varie versioni di Windows (con esclusione delle versioni Windows Server) consentono di creare un server VPN ma autorizzano la connessione di un solo client remoto. Non è quindi possibile collegare al server VPN più sistemi clienti simultaneamente (si riceverà un errore ad ogni tentativo di connessione remota successivo al primo). È consigliabile in ogni caso affidarsi all'algoritmo PEAP per l'autenticazione perché una VPN Windows protetta semplicemente con l'algoritmo MS-CHAPv2 è ormai vulnerabile ad attacchi esterni. La conferma è arrivata da Microsoft stessa a fine agosto 2012 (vedere questo bollettino) dopo che il famoso ricercatore Moxie Marlinspike aveva pubblicato un dettagliato studio in proposito (VPN: Microsoft conferma le vulnerabilità di MS-CHAP v2).

Come risolvere? Per creare una VPN all'interno della propria rete locale attivando un server VPN una delle migliori soluzioni consiste nell'utilizzo di OpenVPN, software opensource multipiattaforma rilasciato sotto licenza GNU GPL.


L'installazione e la configurazione di OpenVPN non è proprio cosa alla portata di tutte le tipologie di utenza: ne abbiamo parlato, nel dettaglio, nell'articolo OpenVPN: la guida passo-passo per creare una rete virtuale privata e sicura spiegando anche, in un altro approfondimento, come trasformare il router in un server VPN (Come configurare una rete VPN professionale con OpenVPN e DD-WRT).

Questa volta presentiamo un software, proposto sotto forma di distribuzione Linux, che consente di semplificare, e di molto, la realizzazione di una rete VPN sicura.

Lo strumento che utilizzeremo si chiama Amahi: si tratta di una piattaforma basata sulla distribuzione Fedora che permette di allestire un completo "home server" utilizzabile sia in ambienti domestici che in ufficio. Amahi rende immediato all'allestimento di un "Home Digital Assistant" (HDA) ossia di un server capace di effettuare automaticamente il backup dei personal computer connessi in rete locale, facilitare l'organizzazione e l'accesso ai file memorizzati sulle workstatione della LAN, ottimizzare la condivisione di documenti, immagini, video e file musicali, condividere privatamente applicazioni per la pianificazione degli eventi, dei progetti lavorativi, per l'elaborazione di documenti.
Amahi contiene anche una versione personalizzata del server OpenVPN che consente di creare una rete VPN con pochissimi clic del mouse. È proprio su questo specifico aspetto che desideriamo concentrare la nostra attenzione.

Creare una rete VPN con Amahi: attivazione di un account

Il primo passo da compiere consiste nell'attivare un account sul sito di Amahi facendo riferimento a questa pagina. Dopo aver scelto un nome utente ed una password personali, nel giro di qualche istante si dovrebbe ricevere – via e-mail – un messaggio contenente l'URL per la conferma della registrazione.

A questo punto si accederà ad una procedura che consentirà di impostare le varie preferenze di rete assicurando così il perfetto funzionamento di Amahi.

Nella prima serie di caselle (Your existing network gateway) si dovrà inserire l'IP locale del router o del modem attraverso il quale ci si affaccia alla rete Internet (in caso di dubbi, è possibile lasciare impostato il valore di default dal momento che sarà Amahi, successivamente, a verificarne la correttezza). Ad ogni modo, per verificare l'indirizzo IP del router, basterà aprire il Prompt dei comandi di Windows e digitare ipconfig seguito dalla pressione del tasto Invio. Accanto alla voce Gateway predefinito (corrispondente alla connessione LAN in uso) si troverà l'IP del router-modem installato all'interno della rete locale.

Nei campi Fixed IP Address for your HDA bisognerà specificare l'indirizzo IP che sarà associato (e non verrà mai cambiato) al server creato con Amahi.

Dopo aver fatto clic su Next comparirà la schermata Your local DNS domain: qui è possibile utilizzare un po´ d'inventiva ed introdurre il nome del server DNS che Amahi allestirà. Non va specificato alcun server DNS che sia raggiungibile dalla rete locale ma dev'essere indicato un nome di fantasia oppure legato alla propria attività.

Alla comparsa del messaggio Final check, basterà fare clic su Create your HDA profile per proseguire.

Il codice alfanumerico che verrà successivamente visualizzato dovrà essere poi inserito durante la procedura di configurazione di Amahi in modo che tutte le impostazioni vengano automaticamente regolate.

Nel nostro caso abbiamo optato per l'uso dell'Express CD: al termine dell'installazione di Amahi non si avrà a disposizione alcuna interfaccia grafica ma si potrà comunque contare su un ambiente agile e completo per l'immediata configurazione della VPN. L'Express CD è scaricabile, in formato ISO, utilizzando i link seguenti:


- Amahi Express CD (32 bit)
- Amahi Express CD (64 bit)

Il nostro consiglio è quello di installare Amahi sotto forma di macchina virtuale. Nulla vieta, ovviamente, di utilizzare l'HDA installandola "fisicamente" su disco fisso. In questo caso, però, si dovrà dapprima effettuare il boot dal supporto avviabile di Amahi (basterà salvare il contenuto del file ISO su un supporto CD) quindi accettare la sovrascrittura di tutto il contenuto dell'hard disk. Si dovrà quindi essere disposti a "sacrificare" per Amahi un personal computrer magari non utilizzato per scopi produttivi.

Eseguendo Amahi con un software per la virtualizzazione, invece, si potrà rendere operativa la VPN ogniqualvolta lo si desideri semplicemente avviando la macchina virtuale. Nel frattempo, si potrà continuare il lavoro sul sistema "host".

L'Express CD è poi molto più parsimonioso in termini di consumo delle risorse macchina rispetto alle versioni su DVD: così, il sistema "host" non dovrebbe subire particolari rallentamenti.

Prima di installare Amahi, noi ci siamo quindi serviti di VirtualBox per creare la nuova macchina virtuale Linux che andrà ad ospitare l'HDA.

Dando per scontato che VirtualBox sia già installato, per creare la nuova macchina virtuale basterà cliccare sul pulsante Nuova della barra degli strumenti. Nella casella Nome si potrà digitare, ad esempio, Amahi, dal menù a tendina Tipo sarà necessario selezionare Linux mentre da versione Fedora o Fedora (64 bit) a seconda che si sia scaricata la versione a 32 o 64 bit dell'Express CD.

Cliccando su Avanti, si potrà destinare 512 MB di RAM alla macchina virtuale.
Per proseguire, si dovrà selezionare l'opzione Crea subito un disco fisso virtuale e scegliere Crea.


Dalla finestra seguente andrà lasciato selezionato VDI (VirtualBox Disk Image) quindi Allocato dinamicamente.

Come dimensione del disco fisso virtuale suggeriamo di impostare 20 GB:

Facendo clic su Crea, la macchina virtuale sarà preparata e sarà pronta per accogliere Amahi.
Tornati alla finestra principale di VirtualBox, suggeriamo di fare clic col tasto destro del mouse sulla macchina virtuale appena generata quindi di scegliere il comando Impostazioni. Cliccando su Archiviazione, su Controller IDE, quindi su Vuoto, si potrà indicare, come disco ottico virtuale, il file ISO dell'Express CD scaricato in precedenza.

Il piccolo pulsante indicato in figura con una freccia di colore rosso consente di individuare il file ISO dell'Express CD (comando Scegli un file di disco CD/DVD virtuale).

Dalla sezione Sistema, invece, si dovrà spuntare la casella Abilita IO APIC in corrispondenza di Funzionalità estese nonché Abilita PAE/NX nella scheda Processore.

Nella sezione Rete di VirtualBox, infine, bisognerà accertarsi che la casella Abilita scheda di rete sia spuntata quindi si dovrà selezionare Scheda con bridge dal successivo menù a tendina. Dal menù Nome, bisognerà scegliere la scheda di rete con cui il sistema host è collegato alla rete locale.

Fatto clic su OK, si potrà eseguire la macchina virtuale VirtualBox premendo il pulsante Avvia della barra degli strumenti.


  1. Avatar
    Klements
    02/09/2016 02:03:58
    Io continuo ad avere sempre lo stesso problema, riesco a visualizzare il sito in http://hda, ma sul sito si amahi mi dice sempre waiting to install. Come mai?
  2. Avatar
    Gustavo
    25/01/2015 00:46:02
    ho rifatto tutto qualche volta, il comando ping su google funziona, ma la vpn fallisce il test. le porte sono aperte correttamente (le ho già dovute aprire per emule, quindi conosco la procedura) non riesco a usare il comando ifconfig, mi dice che è sconosciuto. cosa devo controllare per farlo funzionare? _____________________ EDIT: http://i.imgur.com/kXjv5Mo.png qualche riavvio e alla fine è partita :ola: proseguo con la guida :popcorn: a proposito di guida, è passato un pò di tempo da quando è stata scritta, aggiungo un paio di note: - con l' .iso linkata (versione 6.1) non riesco a completare l'installazione, mentre con l'ultima disponibile sì - l'ultima versione è la 7.1 , esiste solo x64. Ma non vi fidate, cioè scaricate quella x64 e potete fare tranquillamente la VM su x86 che poi si adegua da sola (non è proprio una spiegazione, ma così è :mrgreen: ) - non ho ancora completato il setting sul client, comunque c'è anche una versione a pagamento tipo "pappa pronta" OpenVpn
  3. Avatar
    AMDrea
    11/02/2013 18:44:06
    Ho provato a reinstallare e a fare altri tentativi. Purtroppo ho poco tempo e i problemi restano, pertanto per ora rinuncio a risolvere. Ti ringrazio molto per l'interessamento e l'aiuto concreto.
  4. Avatar
    Michele Nasi
    11/02/2013 16:21:45
    Dal menù "Nome" devi selezionare la scheda di rete con cui il computer host è connesso alla rete locale. Se il comando ping http://www.google.it, dalla macchina virtuale, non va a buon fine ciò è sintomo del fatto che la macchina virtuale non riesce a connettersi con la rete Internet attraverso il tuo router. Prova eventualmente a reinstallare la VM; nell'articolo ho cercato di dettagliare tutti i passaggi.
  5. Avatar
    AMDrea
    11/02/2013 16:12:15
    Al momento la configurazione di Rete di Virtualbox è impostata su "Broadcom NetXreme Gigabit Ethernet" (è la scheda di rete fisica del mio PC) L'alternativa proposta è "Virtualbox Host-Only Ethernet Adapter" ma su questa impostazione la macchina virtuale non si avvia (errore: Interface is not a Bridged Adapter Interface). Il bridge "MAC Bridge Miniport" l'avevo creato per l'occasione ma mi dava problemi di collegamento a internet con il PC e quindi l'ho disattivato.
  6. Avatar
    Michele Nasi
    11/02/2013 11:51:55
    La macchina virtuale Amahi NON riesce ad uscire su Internet.Infatti Google non risponde al ping. Nella sezione Rete di Virtualbox ("Scheda con bridge") quali altre schede di rete hai a disposizione oltre a "MAC Bridge Miniport"?
  7. Avatar
    AMDrea
    11/02/2013 11:15:23
    Citazione: Dal prompt di Amahi (dove leggi "localhost login:"), dopo aver inserito nome utente e password, digita quanto segue: ifconfig | more
    L'operazione mi restituisce una serie di righe che non so interpretare... link
    Citazione: ping http://www.google.it
    Il ping mi restituisce: "ping: unknown host http://www.google.it" Potrebbe trattarsi di un problema del router? (non vengono instradati i pacchetti in arrivo sulla porta UDP 1194 verso l'indirizzo IP della macchina virtuale Amahi).
  8. Avatar
    Michele Nasi
    09/02/2013 09:41:54
    @Utente anonimo: È una limitazione della quale avevamo parlato anche quando ci concentrammo su OpenVPN. Non è possibile collegarsi ad un server VPN OpenVPN-Amahi che stia, ad esempio, su una rete locale 192.168.0.x se si sta utilizzando il software client su un'altra rete locale che usa lo stesso gruppo di IP locali 192.168.0.x. Per lo stesso motivo non è possibile collegarsi al server VPN dalla medesima rete locale ove il server è in esecuzione. @AMDrea: Il messaggio "awaiting install" suggerisce che Amahi non riesce ad uscire in Rete. In pratica amahi.org non riceve conferma circa l'avvenuta installazione sul tuo sistema virtuale. Dal prompt di Amahi (dove leggi "localhost login:"), dopo aver inserito nome utente e password, digita quanto segue: ifconfig | more ping www.google.it Controlla l'"ip addr" restituito dal primo comando e se www.google.it risponde correttamente al ping.
  9. Avatar
    Lettore anonimo
    08/02/2013 20:41:28
    Nella pagine del produttore dove è possibile scaricare il client VPN è riportato: "NOTE: you cannot really connect to your network and test your VPN from *inside* your network Also, the network from which you connect to your network cannot be identical because the VPN cannot route packets in that situation. E.g. if your network at home is 192.168.1.* and the network from which you are connecting is also configured at 192.168.1.*, it will not work." Non capisco se si riferisce alla possibilità di avere indirizzi identici tra IP del client VPN e IP "reale" del gateway, oppure tra IP del client ed IP del "server Hamahi". :confuso: Spero di aver esposto bene i miei dubbi... :confuso:
  10. Avatar
    AMDrea
    08/02/2013 19:08:28
    Ok, ora riesco ad entrare in Amahi Home Server (hda/) e relativo setup, tramite browser. Però se vado sul pannello di controllo (https://www.amahi.org/user), una volta entrato con login, continuo a vedere come Status "Waiting install" e d conseguenza non posso eseguire OpenVPN Tester. :cry:
Reti VPN: scambiare dati in sicurezza con i sistemi collegati alla LAN. Amahi e OpenVPN. - IlSoftware.it