Una rete VPN è un collegamento instaurato tra sistemi che utilizzano un mezzo di comunicazione pubblico qual è Internet ma che hanno la necessità di scambiarsi dati in modo sicuro. Creando una VPN, i vari partecipanti alla rete, vengono a far parte di una rete privata anche se si trovassero fisicamente a migliaia di chilometri di distanza. Attraverso la rete VPN è possibile scambiarsi informazioni in modo molto simile a quanto accade in una connessione privata punto-punto. L’approccio utilizzato dà modo di rendere il computer remoto parte di una rete privata interna alla struttura aziendale creando un “tunnel” virtuale attraverso la rete Internet. Per simulare un collegamento punto-punto, i dati vengono incapsulati con l’aggiunta di un’intestazione che fornisce le informazioni di routing e cifrati in modo da renderne possibile la lettura da parte di eventuali aggressori, sprovvisti delle necessarie chiavi crittografiche.
Negli articoli seguenti abbiamo spiegato come creare semplici connessioni VPN utilizzando Ubuntu o comunque affidandosi ad eccellenti soluzioni quali OpenVPN:
Torniamo ad analizzare le possibilità offerte, di default, da Windows 7. In generale, è possibile dire come rispetto a Windows XP, in termini di supporto delle VPN, non sia cambiato granché. L’ultimo tra i sistemi operativi Microsoft supporta sia le connessioni VPN in uscita che quelle in ingresso, seppur con qualche limitazione.
Rispetto a Windows XP, Windows 7 garantisce la compatibilità con i nuovi protocolli di tunneling quali SSTP e VPN Reconnect, quando si utilizzano i protocolli L2TP/IPsec ed IPsec questi possono essere configurati per l’utilizzo di una chiave precedentemente condivisa (pre-shared key), le connessioni VPN supportano nuovi algoritmi crittografici e viene introdotta la possibilità di usufruire di IPv6 anche per le VPN.
L’impiego dei protocolli di tunneling più evoluti risulta appannaggio delle versioni “server” di Windows mentre in Windows 7 e Windows XP è possibile creare reti VPN, ed accettare quindi le connessioni in ingresso, ricorrendo al protocollo PPTP (point to point tunneling protocol), sviluppato da Microsoft.
Creare una connessione in ingresso in Windows 7
Per creare una rete VPN in Windows 7 capace di accettare le connessioni in ingresso, è sufficiente cliccare sul pulsante Start quindi digitare Centro connessioni
nella casella Cerca programmi e file e premere il tasto Invio.
Alla comparsa della finestra seguente, si dovrà cliccare sulla voce Modifica impostazioni scheda, presente nella colonna di sinistra:
Premento il tasto ALT
sulla tastiera, si provocherà la comparsa della barra dei menù. Dal menù File, è necessario selezionare il comando Nuova connessione in ingresso:
Alla comparsa della finestra Specificare gli utenti che possono connettersi a questo computer, si dovranno specificare gli account che dovranno poter collegarsi al personal computer utilizzando la connessione VPN. Gli account indicati in elenco sono quelli creati localmente sul sistema Windows 7: è possibile aggiungerne degli altri, secondo le proprie necessità, utilizzando il pulsante Aggiungi utente.
E’ importante verificare che a ciascun account sia abbinata una password e che tale parola chiave sia sufficientemente complessa.
Nella schermata Specificare la modalità con cui gli utenti possono connettersi è indispensabile spuntare la casella Tramite Internet e proseguire premendo il pulsante Avanti.
Infine, si potranno specificare i protocolli che i sistemi collegati attraverso la VPN avranno diritto di utilizzare. Per impostazione predefinita, il protocollo IPv6 risulta disabilitato: si potrà eventualmente attivarlo secondo le proprie esigenze.
Cliccando su Protocollo Internet versione 4 (TCP/IPv4) quindi facendo riferimento al pulsante Proprietà, si potranno ad esempio indicare gli indirizzi IP che dovranno essere assegnati ai sistemi che si collegheranno alla VPN.
Nel nostro caso, abbiamo fatto in modo che ai sistemi connessi atttraverso il tunnel siano attributi indirizzi IP compresi tra 192.168.1.55 e 192.168.1.100. La scelta più opportuna va operata, ovviamente, secondo la configurazione delle reti locali del sistema server e del client:
Con un clic su Consenti accesso, verrà predisposta la VPN.
Dopo aver cliccato su Chiudi, nella finestra delle connessioni di rete di Windows 7, si troverà la nuova voce Incoming connections che verrà aggiornata riportando i client di volta in volta connessi alla rete VPN.
Il passo seguente consiste nel modificare la configurazione del router attivando il forwarding del traffico in arrivo sulla porta TCP 1723 verso l’IP associato al server VPN Windows 7.
Dalla macchina Windows 7, cliccando su Start, quindi digitando il comando cmd
, si aprirà il prompt. Da qui, invocando ipconfig
si troverà l’IP assegnato alla macchina (che fungerà da server VPN) e l’indirizzo del router (nel nostro caso, rispettivamente, 192.168.1.50 e 192.168.1.1):
Digitando http://192.168.1.1
nel browser web si dovrebbe quindi poter accedere al pannello di configurazione del router.
Dopo aver immesso nome utente e password corretti, si dovrà accedere alla sezione che permette di configurare il “port forwarding“. Qui, bisognerà attivare l’inoltro dei pacchetti dati in arrivo sulla porta TCP 1723 verso l’IP del sistema Windows 7 che opera da server VPN (nel nostro caso, 192.168.1.50):
Nel caso di alcuni router, potrebbe essere sufficiente attivare solamente il cosiddetto PPTP VPN passthrough agendo sull’apposita casella. Senza questi interventi, i client remoti non potranno connettersi alla VPN appena creata.
Configurazione dell’accesso alla VPN lato client
A questo punto, è possibile passare alla configurazione dell’accesso alla VPN lato client. La procedura è molto simile sia su Windows 7 che su Windows XP.
Collegandosi da un sistema Windows 7, si dovrà aprire la finestra Centro connessioni di rete e condivisione digitando semplicemente centro connessioni
nella casella Cerca programmi e file del pulsante Start.
Si dovrà poi fare clic sul link Configura nuova connessione o rete quindi selezionare l’opzione Connessione a una rete aziendale:
Dopo aver cliccato su Avanti, si dovrà scegliere Usa connessione Internet esistente (VPN) ed indicare l’indirizzo remoto col quale il server VPN Windows 7 si affaccia sulla rete Internet. L’indirizzo da introdurre è quello assegnato al router remoto dal provider Internet (sia esso dinamico o, meglio ancora, statico) oppure un indirizzo mnemonico ottenuto da un servizio come DynDNS.
Molti router permettono infatti di fruire dei servizi “Dynamic DNS” offerti da varie società, spesso a titolo completamente gratuito. Tra i più famosi c’è DynDNS (ved. anche questo articolo): Dynamic Network Services, la società inglese che gestisce il servizio, mette a disposizione – gratuitamente – un meccanismo che consente di associare ad un nome a dominio scelto liberamente dall’utente (ad esempio, lamiaretelan.dyndns.org
), l’indirizzo IP assegnato al router della LAN in un momento specifico.
Dopo aver fatto clic su Avanti, sarà richiesto di indicare il nome utente e la password da usare per la connessione. Questi due dati sono quelli associati agli account precedentemente autorizzati a collegarsi alla VPN.
Affinché le risorse condivise sul proprio sistema non risultino visibili dagli altri sistemi connessi alla VPN, è possibile impostare la connessione appena aggiunta, in Windows 7, come Rete pubblica.
In Windows XP la procedura è molto simile. Basta accedere al Pannello di controllo del sistema operativo, cliccare su Connessioni di rete quindi sulla voce Crea una nuova connessione. Alla comparsa della schermata Creazione guidata nuova connessione, va scelta l’opzione Connessione alla rete aziendale:
Nella finestra successiva, invece, Connessione VPN.
Il passo seguente consiste nell’indicare un nome da assegnare alla nuova connessione in corso di creazione quindi l’indirizzo IP al quale collegarsi.
Digitando nome utente e password corretti, ci si potrà, così collegare alla VPN creata sul sistema Windows 7 remoto utilizzando il tunneling PPTP.
Utilizzando, dal prompt dei comandi, ipconfig /all
, si potrà verificare l’indirizzo IP attribuito al sistema client.
Inoltre, digitando ping 192.168.x.x
(sostituendo a 192.168.x.x
l’IP locale corrispondente ad uno dei sistemi della LAN “remota”) si dovrebbe ricevere regolarmente risposta.
A questo punto, dal sistema client remoto – adesso diventato parte della rete locale – si potrà accedere alle risorse condivise sui vari sistemi della LAN. Per procedere velocemente, si può cliccare su Start (o Start, Esegui) e digitare due barre rovesciate seguite dal nome o dall’IP del sistema d’interesse (esempio: \\WIN7
oppure \\192.168.1.50
o \\192.168.1.2
). La macchina client connessa alla VPN, insomma, avrà titolo per interagire con le risorse disponibili sui sistemi che compongono una rete locale remota senza essere “fisicamente” collegata a tale LAN.
Sul sistema Windows 7 che abbiamo utilizzato per creare la rete VPN, accedendo alla finestra Modifica impostazioni scheda del Centro connessioni di rete e condivisione, si troverà l’elenco delle macchine client via a via connesse.