Reti VPN: scambiare dati in sicurezza con i sistemi collegati alla LAN. Amahi e OpenVPN.

Una rete VPN è un collegamento instaurato tra sistemi che utilizzano un mezzo di comunicazione pubblico qual è Internet ma che hanno la necessità di scambiarsi dati in modo sicuro. Creando una VPN, i vari partecipanti alla rete, vengono a far parte di una rete privata anche se si trovassero fisicamente a migliaia di chilometri di distanza. Attraverso la rete VPN è possibile scambiarsi informazioni in modo molto simile a quanto accade in una connessione privata punto-punto. L’approccio utilizzato dà modo di rendere il computer remoto parte di una rete privata interna alla struttura aziendale creando un “tunnel” virtuale attraverso la rete Internet. Per simulare un collegamento punto-punto, i dati vengono incapsulati con l’aggiunta di un’intestazione che fornisce le informazioni di routing e cifrati in modo da renderne possibile la lettura da parte di eventuali aggressori, sprovvisti delle necessarie chiavi crittografiche.

Le varie versioni di Windows (con esclusione delle versioni Windows Server) consentono di creare un server VPN ma autorizzano la connessione di un solo client remoto. Non è quindi possibile collegare al server VPN più sistemi clienti simultaneamente (si riceverà un errore ad ogni tentativo di connessione remota successivo al primo). È consigliabile in ogni caso affidarsi all’algoritmo PEAP per l’autenticazione perché una VPN Windows protetta semplicemente con l’algoritmo MS-CHAPv2 è ormai vulnerabile ad attacchi esterni. La conferma è arrivata da Microsoft stessa a fine agosto 2012 (vedere questo bollettino) dopo che il famoso ricercatore Moxie Marlinspike aveva pubblicato un dettagliato studio in proposito (VPN: Microsoft conferma le vulnerabilità di MS-CHAP v2).

Come risolvere? Per creare una VPN all’interno della propria rete locale attivando un server VPN una delle migliori soluzioni consiste nell’utilizzo di OpenVPN, software opensource multipiattaforma rilasciato sotto licenza GNU GPL.

L’installazione e la configurazione di OpenVPN non è proprio cosa alla portata di tutte le tipologie di utenza: ne abbiamo parlato, nel dettaglio, nell’articolo OpenVPN: la guida passo-passo per creare una rete virtuale privata e sicura spiegando anche, in un altro approfondimento, come trasformare il router in un server VPN (Come configurare una rete VPN professionale con OpenVPN e DD-WRT).

Questa volta presentiamo un software, proposto sotto forma di distribuzione Linux, che consente di semplificare, e di molto, la realizzazione di una rete VPN sicura.

Lo strumento che utilizzeremo si chiama Amahi: si tratta di una piattaforma basata sulla distribuzione Fedora che permette di allestire un completo “home server” utilizzabile sia in ambienti domestici che in ufficio. Amahi rende immediato all’allestimento di un “Home Digital Assistant” (HDA) ossia di un server capace di effettuare automaticamente il backup dei personal computer connessi in rete locale, facilitare l’organizzazione e l’accesso ai file memorizzati sulle workstatione della LAN, ottimizzare la condivisione di documenti, immagini, video e file musicali, condividere privatamente applicazioni per la pianificazione degli eventi, dei progetti lavorativi, per l’elaborazione di documenti.
Amahi contiene anche una versione personalizzata del server OpenVPN che consente di creare una rete VPN con pochissimi clic del mouse. È proprio su questo specifico aspetto che desideriamo concentrare la nostra attenzione.

Creare una rete VPN con Amahi: attivazione di un account

Il primo passo da compiere consiste nell’attivare un account sul sito di Amahi facendo riferimento a questa pagina. Dopo aver scelto un nome utente ed una password personali, nel giro di qualche istante si dovrebbe ricevere – via e-mail – un messaggio contenente l’URL per la conferma della registrazione.

A questo punto si accederà ad una procedura che consentirà di impostare le varie preferenze di rete assicurando così il perfetto funzionamento di Amahi.

Nella prima serie di caselle (Your existing network gateway) si dovrà inserire l’IP locale del router o del modem attraverso il quale ci si affaccia alla rete Internet (in caso di dubbi, è possibile lasciare impostato il valore di default dal momento che sarà Amahi, successivamente, a verificarne la correttezza). Ad ogni modo, per verificare l’indirizzo IP del router, basterà aprire il Prompt dei comandi di Windows e digitare ipconfig seguito dalla pressione del tasto Invio. Accanto alla voce Gateway predefinito (corrispondente alla connessione LAN in uso) si troverà l’IP del router-modem installato all’interno della rete locale.

Nei campi Fixed IP Address for your HDA bisognerà specificare l’indirizzo IP che sarà associato (e non verrà mai cambiato) al server creato con Amahi.

Dopo aver fatto clic su Next comparirà la schermata Your local DNS domain: qui è possibile utilizzare un po´ d’inventiva ed introdurre il nome del server DNS che Amahi allestirà. Non va specificato alcun server DNS che sia raggiungibile dalla rete locale ma dev’essere indicato un nome di fantasia oppure legato alla propria attività.

Alla comparsa del messaggio Final check, basterà fare clic su Create your HDA profile per proseguire.

Il codice alfanumerico che verrà successivamente visualizzato dovrà essere poi inserito durante la procedura di configurazione di Amahi in modo che tutte le impostazioni vengano automaticamente regolate.

Nel nostro caso abbiamo optato per l’uso dell’Express CD: al termine dell’installazione di Amahi non si avrà a disposizione alcuna interfaccia grafica ma si potrà comunque contare su un ambiente agile e completo per l’immediata configurazione della VPN. L’Express CD è scaricabile, in formato ISO, utilizzando i link seguenti:

– Amahi Express CD (32 bit)
– Amahi Express CD (64 bit)

Il nostro consiglio è quello di installare Amahi sotto forma di macchina virtuale. Nulla vieta, ovviamente, di utilizzare l’HDA installandola “fisicamente” su disco fisso. In questo caso, però, si dovrà dapprima effettuare il boot dal supporto avviabile di Amahi (basterà salvare il contenuto del file ISO su un supporto CD) quindi accettare la sovrascrittura di tutto il contenuto dell’hard disk. Si dovrà quindi essere disposti a “sacrificare” per Amahi un personal computrer magari non utilizzato per scopi produttivi.

Eseguendo Amahi con un software per la virtualizzazione, invece, si potrà rendere operativa la VPN ogniqualvolta lo si desideri semplicemente avviando la macchina virtuale. Nel frattempo, si potrà continuare il lavoro sul sistema “host”.

L’Express CD è poi molto più parsimonioso in termini di consumo delle risorse macchina rispetto alle versioni su DVD: così, il sistema “host” non dovrebbe subire particolari rallentamenti.

Prima di installare Amahi, noi ci siamo quindi serviti di VirtualBox per creare la nuova macchina virtuale Linux che andrà ad ospitare l’HDA.

Dando per scontato che VirtualBox sia già installato, per creare la nuova macchina virtuale basterà cliccare sul pulsante Nuova della barra degli strumenti. Nella casella Nome si potrà digitare, ad esempio, Amahi, dal menù a tendina Tipo sarà necessario selezionare Linux mentre da versione Fedora o Fedora (64 bit) a seconda che si sia scaricata la versione a 32 o 64 bit dell’Express CD.

Cliccando su Avanti, si potrà destinare 512 MB di RAM alla macchina virtuale.
Per proseguire, si dovrà selezionare l’opzione Crea subito un disco fisso virtuale e scegliere Crea.

Dalla finestra seguente andrà lasciato selezionato VDI (VirtualBox Disk Image) quindi Allocato dinamicamente.

Come dimensione del disco fisso virtuale suggeriamo di impostare 20 GB:

Facendo clic su Crea, la macchina virtuale sarà preparata e sarà pronta per accogliere Amahi.
Tornati alla finestra principale di VirtualBox, suggeriamo di fare clic col tasto destro del mouse sulla macchina virtuale appena generata quindi di scegliere il comando Impostazioni. Cliccando su Archiviazione, su Controller IDE, quindi su Vuoto, si potrà indicare, come disco ottico virtuale, il file ISO dell’Express CD scaricato in precedenza.

Il piccolo pulsante indicato in figura con una freccia di colore rosso consente di individuare il file ISO dell’Express CD (comando Scegli un file di disco CD/DVD virtuale).

Dalla sezione Sistema, invece, si dovrà spuntare la casella Abilita IO APIC in corrispondenza di Funzionalità estese nonché Abilita PAE/NX nella scheda Processore.

Nella sezione Rete di VirtualBox, infine, bisognerà accertarsi che la casella Abilita scheda di rete sia spuntata quindi si dovrà selezionare Scheda con bridge dal successivo menù a tendina. Dal menù Nome, bisognerà scegliere la scheda di rete con cui il sistema host è collegato alla rete locale.

Fatto clic su OK, si potrà eseguire la macchina virtuale VirtualBox premendo il pulsante Avvia della barra degli strumenti.

Installazione e configurazione della rete VPN

Trattandosi di una macchina virtuale, all’avvio della procedura d’installazione di Amahi basterà premere Invio sulla voce Erase everything, install Amahi headless. In questo modo tutto il contenuto dell’hard disk virtuale di VirtualBox verrà completamente cancellato.

I vari passaggi per l’installazione di Amahi sono molto semplici e si riducono alla selezione della lingua predefinita, al layout di tastiera ed all’impostazione di una password per l’account root – dotato dei massimi privilegi utente -.

Quando apparirà la richiesta di inserimento del codice d’installazione, bisognerà provvedere ad inserire il codice alfanumerico esposto in precedenza sul sito di Amahi.

Non appena verrà richiesto di riavviare il sistema, prima di confermare il riavvio della macchina virtuale, si dovrà fare clic sul menù Dispositivi di VirtualBox, selezionare la voce Dispositivi CD/DVD quindi togliere il segno di spunta dal file corrispondente alla ISO di Amahi.

In questo modo, il CD d’installazione di Amahi verrà estratto dal lettore ottico virtuale. Solo a questo punto si potrà confermare il riavvio del sistema.
Dopo alcuni minuti, Amahi – in modalità testuale – richiederà di effettuare un secondo riavvio del sistema (comando Reboot, needed to complete install).

Ad installazione di Amahi ultimata, si potrà passare alla configurazione iniziale della piattaforma semplicemente digitando su un qualunque browser web (va bene un qualsiasi sistema connesso in rete locale) l’indirizzo http://hda oppure http:// seguito dall’indirizzo IP specificato nelle caselle Fixed IP Address for your HDA.

Per accedere al pannello di controllo di Amahi, sarà sufficiente digitare la coppia username/password admin admin.
Ovviamente, al primo ingresso in Amahi, bisognerà provvedere a modificare la password di default con una più lunga e complessa creando eventualmente altri account utente accessori (link Setup, pulsante Nuovo utente).

Incredibile ma vero: il server OpenVPN di Amahi è già attivo e funzionante.
Prima di effettuare qualsiasi altro intervento, però, è indispensabile verificare che il router installato all’interno della propria LAN provveda ad instradare i pacchetti in arrivo sulla porta UDP 1194 verso l’indirizzo IP della macchina virtuale Amahi.

Per provare il funzionamento del server VPN, il consiglio è quello di tornare sul sito web di Amahi, effettuare il login al proprio account quindi cliccare su Check it now in corrispondenza della dizione VPN Connection.

Dopo alcuni istanti, se sul router si sarà correttamente aperta la porta UCP 1194 in ingresso, verrà visualizzato il messaggio “Install a client“:

È già tutto pronto, adesso, per provare la connessione VPN da un sistema remoto.

Installazione del client OpenVPN e connessione alla rete VPN

Per fare in modo che, ovunque ci si trovi, il computer che si sta utilizzando appaia connesso alla rete locale di casa o dell’ufficio, basterà installare ed eseguire uno degli appositi software client scaricabili da questa pagina.

Il client destinato ai sistemi Windows si chiama HDA Connect 3 ed è sostanzialmente un client OpenVPN personalizzato dagli autori del progetto Amahi affinché la connessione al server possa avvenire senza ulteriori passaggi di configurazione.
HDA Connect 3 per Windows è prelevabile gratuitamente cliccando qui.

HDA Connect 3 dev’essere eseguito da un account utente dotato dei diritti di amministratore. All’avvio dell’installazione del programma, suggeriamo di premere sempre il pulsante Next accettando tutte le impostazioni predefinite.

Alla comparsa della finestra che informa circa l’aggiunta della scheda di rete virtuale TAP-Win32, è indispensabile cliccare su Installa:

Ad installazione ultimata, bisognerà fare doppio clic sull’icona “A” visualizzata nella traybar di Windows quindi compilare tutti i campi per avviare la connessione remota:

Nei campi Username e Password va indicato un nome utente ed una password validi precedentemente configurati attraverso il pannello di controllo di Amahi (http://hda) mentre in HDA Name va specificato il nome del proprio account, scelto in precedenza (nomeutente.yourhda.com è un server DNS dinamico che viene aggiornato sulla base dell’IP pubblico di volta in volta utilizzato dal server di Amahi). Per maggiori informazioni sui DNS dinamici, suggeriamo la lettura dell’articolo Creare un IP statico con DynDNS: si può ed è gratis.

Non appena la connessione OpenVPN sarà instaurata, la lettera “A” si colorerà di verde e d’ora in avanti si potrà accedere a tutti i sistemi connessi alla rete locale domestica od aziendale così come se si fosse collegati in LAN.

Utilizzando, dal prompt dei comandi, ipconfig /all, si potrà verificare l’indirizzo IP attribuito al sistema client.
Inoltre, digitando ping 192.168.x.x (sostituendo a 192.168.x.x l’IP locale corrispondente ad uno dei sistemi della LAN “remota”) si dovrebbe ricevere regolarmente risposta.

A questo punto, dal sistema client remoto – adesso diventato parte della rete locale – si potrà accedere alle risorse condivise sui vari sistemi della LAN. Per procedere velocemente, si può cliccare su Start (o Start, Esegui) e digitare due barre rovesciate seguite dal nome o dall’IP del sistema d’interesse (esempio: \\WIN7 oppure \\192.168.1.50 o \\192.168.1.2). La macchina client connessa alla VPN, insomma, avrà titolo per interagire con le risorse disponibili sui sistemi che compongono una rete locale remota senza essere “fisicamente” collegata a tale LAN.

L’installazione del client OpenVPN per sistemi Mac OS X è un po´ più laboriosa ed implica l’utilizzo del software Tunnelblick, prelevabile da questa pagina nella sua versione più recente. Le istruzioni per configurare Tunnelblick su Mac OS X sono pubblicate a questo indirizzo.

Amahi mette anche a disposizione software client OpenVPN compatibili con le varie distribuzioni Linux, con Android e con gli iPhone (iOS).