Allestire un server VPN in ufficio, in azienda o a casa, significa potersi collegare da remoto alla propria rete LAN in maniera sicura.
Una rete VPN (Virtual Private Network) consente infatti di creare un tunnel cifrato tra sistema server e client collegato: le informazioni che transitano attraverso tale tunnel non potranno essere lette, modificate o danneggiate da parte di terzi.
Collegandosi al proprio server VPN da remoto, ad esempio quando si fosse in viaggio, si potrà accedere alle risorse condivise in rete locale o, addirittura, accedere a Internet usando la connessione di casa o dell’ufficio. In questo modo, anche utilizzando una WiFi non sicura (perché gestita da sconosciuta, pubblica o, addirittura, aperta), tutte le informazioni personali transiteranno in rete in forma crittografata.
Purtroppo Windows non supporta protocolli sicuri come OpenVPN: Reti VPN: differenze tra PPTP, L2TP IPSec e OpenVPN.
Per creare un server VPN, quindi, il nostro consiglio è quello di servirsi di un dispositivo che supporti il protocollo OpenVPN (router o NAS) oppure allestire una macchina Windows “ad hoc”: Connessione VPN in Windows con OpenVPN. Allo scopo si può utilizzare anche un Mini PC sprovvisto di dissipatori attivi.
Server VPN con i NAS Synology
I NAS Synology hanno l’innegabile vantaggio di supportare direttamente un gran numero di applicazioni e servizi.
Il sistema operativo DiskStation Manager (DSM) che equipaggia i server NAS facilita la configurazione e l’amministrazione del NAS da un’interfaccia web, quindi da browser, e consegna nelle mani degli utenti un prodotto che non è solamente un device per lo storage dei dati ma un dispositivo estremamente versatile.
Allestendo un server VPN sul NAS Synology si potrà accedere da remoto, in modo sicuro, ai file contenuti nel NAS, memorizzati sui dispositivi collegati alla rete locale, amministrare dispositivi locali come server multimediali, videocamere, sistemi per la videosorveglianza, sistemi di allarme, sistemi di automazione, strumenti per la domotica, per il controllo di sistemi industriali e così via.
Dal Centro pacchetti del NAS Synology, per creare un server VPN, basta selezionare VPN Server e fare clic su Installa.
Dalla sezione Impostazioni del server VPN, basterà selezionare OpenVPN, cliccare su Attiva server VPN quindi spuntare anche la casella Consenti ai client di accedere alla LAN del server.
È bene selezionare AES-256-CBC dal menu a tendina Crittografia ed è consigliabile lasciare attiva l’opzione Attiva compressione sul collegamento VPN: in questo modo i dati saranno automaticamente compressi durante il trasferimento aumentando la velocità di trasmissione. L’unico “neo” è un maggior utilizzo delle risorse del sistema e, in particolare, un lavoro aggiuntivo da parte del NAS.
Cliccando su Applica il server VPN installato sul NAS Synology si porrà in ascolto sulla porta UDP 1194: è quindi necessario portarsi nella configurazione del router ed attivare il port forwarding sulla stessa porta.
È importante verificare di aver assegnato al NAS un IP privato statico perché nel pannello di amministrazione del router, sezione port forwarding o Inoltro porte, bisognerà specificarlo esplicitamente.
Nell’esempio in figura il pannello di amministrazione (sezione Inoltro/Attivazione delle porte) di un router: come si vede, si è attivato l’inoltro di tutte le richieste ricevute dalla rete Internet sulla porta UDP 1194 verso l’IP assegnato al NAS Synology (in questo caso 192.168.1.250).
Esportare la configurazione per connettersi al server VPN
L’ultimo passaggio consiste nel fare clic sul pulsante Esporta configurazione, posto nella sezione OpenVPN del NAS Synology: si otterrà un file compresso chiamato openvpn.zip
.
Indipendentemente dal sistema che si utilizzerà per collegarsi al server VPN (client Windows, macOS, Android,…), suggeriamo di:
1) Conservare gelosamente il file openvpn.zip
e il suo contenuto: ca.crt
VPNConfig.ovpn
è il file di configurazione destinato ai dispositivi client.
2) Estrarre il file VPNConfig.ovpn
e aprirlo con un editor di testo come Notepad++.
3) Sostituire YOUR_SERVER_IP
con l’IP pubblico assegnato al router cui è collegato il NAS Synology.
L’IP pubblico del router dovrà ovviamente essere statico e non cambiare quindi nel corso del tempo; diversamente non si potrà accedere alla VPN da remoto (vedere Indirizzo IP statico, come averlo e a cosa serve e Accedere a PC remoto, al router, a una videocamera o un dispositivo in rete locale).
Al posto dell’IP, è possibile specificare anche un indirizzo mnemonico come mioufficio.providerDDNS.net
.
In questo modo la connessione OpenVPN è possibile anche per quegli utenti che non potessero utilizzare un IP pubblico statico (ad esempio perché non fornito dal provider o perché l’operatore di telecomunicazioni lo fa pagare a caro prezzo…).
Basterà infatti attivare un servizio DDNS (Dynamic DNS; esempio: DynDNS DDNS gratuito: guida alla configurazione e all’utilizzo di No-IP) e impostarlo sul server NAS Synology.
4) Per fare in modo che sia possibile navigare in rete usando la connessione Internet di casa o dell’ufficio, si dovrà togliere il simbolo # dinanzi al parametro redirect-gateway def1
quindi salvare il file VPNConfig.ovpn
.
In tutti i casi, indipendentemente dal software client utilizzato (vedere più avanti), al momento della connessione verrà richiesto l’inserimento delle credenziali di accesso.
Autorizzati a collegarsi al server VPN sono gli utenti configurati nel NAS Synology per i quali, nella finestra Privilegi, la casella OpenVPN risulta spuntata.
Client Windows
Sui sistemi Windows basterà quindi scaricare e installare il software OpenVPN da questa pagina.
Ad installazione conclusa bisognerà semplicemente copiare il file VPNConfig.ovpn
modificato in precedenza nella cartella C:\Program Files\OpenVPN\config
.
Cliccando su OpenVPN GUI quindi sull’icona di OpenVPN nella traybar di Windows verrà stabilita la connessione con il server VPN installato sul NAS Synology.
Dopo l’avvenuta connessione, digitando ad esempio tracert www.google.it
al prompt dei comandi, si noterà come il primo hop corrisponda al server VPN installato sul NAS Synology remoto (generalmente, 10.8.0.1).
Il secondo hop corrisponderà al router cui il NAS è collegato (quindi si leggerà, di solito, 192.168.1.1 o 192.168.0.1); successivamente si uscirà in rete.
Client macOS
Anche sui sistemi macOS si deve in primis installare un client OpenVPN. Si può ad esempio scaricare e utilizzare Tunnelblick.
Il file VPNConfig.ovpn
preparato in precedenza dovrà essere manualmente copiato nella cartella di configurazione di Tunnelblick.
Client Android
Consigliamo di scaricare e di installare dal Play Store di Google questo client OpenVPN e di salvare nello smartphone o nel tablet Android il file VPNConfig.ovpn
.
Usando un file manager come Solid Explorer (File manager Android, quali i migliori del momento), si dovrà quindi individuare il file di configurazione VPNConfig.ovpn
memorizzato nel dispositivo mobile, selezionarlo quindi scegliere il comando Apri con.
Nella schermata successiva, bisognerà selezionare la voce Convert config file.
La configurazione per il client OpenVPN sarà così importata nell’applicazione OpenVPN per Android, installata in precedenza. Nella schermata principale di OpenVPN per Android, si troverà il profilo appena importato (potrà essere liberamente rinominato).
“Toccando” tale profilo, la connessione VPN con il server OpenVPN remoto verrà immediatamente stabilita, sarà possibile accedere a tutte le risorse condivise in rete locale (ad esempio usando lo stesso Solid Explorer) e si potrà navigare online usando la connessione dell’ufficio o di casa.