Andrea Beggi

Runners don’t quit. We fade, we “hit the wall”, we’re sometimes reduced to a walk. But we keep on.

VPN: cosa sono e perché si usano

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

VPN

Le esigenze di connessione tra le sedi remote di un’azienda e l’aumento costante del lavoro in mobilità sono cresciute di pari passo con la qualità e la velocità dei collegamenti a banda larga. La conseguenza logica dei questo scenario è l’utilizzo sempre più capillare dei collegamenti VPN. Questo acronimo significa: Virtual Private Network, rete privata virtuale. Generalizzando: l’utilizzo di infrastrutture “pubbliche” fuori dal proprio controllo (e gestione) per implementare un collegamento sicuro tra le diverse sedi di una azienda o tra un “road warrior” e la propria sede.

La trattazione tecnica dell’argomento è vasta e complessa, le voci di Wikipedia inglese ed italiana offrono estese spiegazioni e parecchi link di approfondimento. Cercherò qui di dare un quadro generale sulle VPN, con i concetti fondamentali e un accenno ai più comuni metodi di implementazione.

Una VPN permette di collegare in modo sicuro i due estremi della connessione tramite una rete non dedicata, tipicamente utilizzando internet, abbattendo i costi delle linee CDN, che un tempo erano l’unica opzione. Tutto ciò porta diversi benefici: i principali sono:

  • Economicità: si abbatte il costo delle infrastrutture. La scelta dell’implementazione adeguata in fase di progetto permette di scegliere la soluzione più adeguata al miglior costo sostenibile.
  • Semplicità: la tecnologia è molto matura e non richiede skill esoterici.
  • Sicurezza: si basa su standard perlopiù aperti e universalmente riconosciuti come sicuri. Con pochi accorgimenti si riescono ad ottenere buoni compromessi tra semplicità di accesso e ragionevole sicurezza.

Il concetto è abbastanza semplice, e adotta il paradigma “hub and spoke“: una sede centrale dalla quale si dipanano i collegamenti verso le sedi remote. (E’ evidente come il modello “mesh” non sia sostenibile nel caso particolare delle VPN). Utilizzando regole opportune si può decidere che ciascuna sede remota acceda esclusivamente al nodo centrale, oppure di abilitare anche il traffico tra le periferie. Nel caso particolare del collegamento tra due sole sedi, il modello è semplificato.

Le soluzioni che si possono adottare sono molteplici e vanno dal semplice server equipaggiato con software open source, a costose appliance ridondate in HA: la scelta dipende dai costi, dall’integrazione con le infrastrutture esistenti, dalla banda necessaria, dal carico di lavoro e dalla criticità del collegamento, tanto per citare alcuni fattori che condizionano la scelta del sistema a cui affidarsi.

In alcuni casi la realizzazione di una VPN site-to-site può essere delegata interamente al fornitore di connettività. E’ una scelta fatta prevalentemente da aziende piccole e medie, spesso senza un reparto IT. In Italia ho incontrato prevalentemente soluzioni di Telecom, che usa le capacità VPN dei router Cisco (credo, correggetemi nei commenti), e di Fastweb, che implementa reti MPLS sulla propria infrastruttura in fibra.

Ci sono molti motivi per utilizzare una VPN, uno dei più comuni è l’accesso remoto ad applicazioni non adatte ad essere pubblicate nativamente. Ad esempio: condivisione di file e applicativi verticali, magari su piattaforme proprietarie. I candidati ideali per l’accesso VPN sono le risorse prive di strumenti nativi per garantire la sicurezza al di là del perimetro aziendale. A seconda del livello di protezione richiesto, sarà cura del sistemista perimetrale decidere, quando possibile, se le risorse vadano posizionate in DMZ oppure se l’accesso debba avvenire direttamente in LAN.

L’implementazione non è esente da problemi: spesso il traffico VPN è sensibile ai router che ne trattano i pacchetti con troppa disinvoltura, oppure va incontro a difficoltà dovute all’impostazione dell’MTU. LA diagnostica non è per nulla agevole: i messaggi syslog sono difficili da interpretare e spesso mostrano solo l’effetto ma non la causa. Per fortuna i casi complicati sono una frazione del totale: molto spesso l’installazione non presenta particolari problemi.

Nel caso di una connessione site-to-site oppure hub and spoke, non è necessario toccare gli host della rete locale, è sufficiente assicurarsi che le sedi distinte abbiano piani di indirizzamento che non si sovrappongano, per evitare problemi di routing e complicate manovre di subnetting. (Fatevi un grosso favore: reti diverse, sempre). La VPN è realizzata tramite software oppure appliance che dialogano con la loro controparte remota, rappresentando l’endpoint della VPN, cioè il luogo in cui i pacchetti in ingresso vengono decrittati ed instradati in chiaro verso l’host di destinazione, ed i pacchetti in uscita vengono criptati, incapsulati ed inviati al gateway remoto.

Nelle implementazioni più semplici, l’endpoint di una VPN è lo stesso firewall che controlla il traffico da e per l’esterno; se invece le due entità non coincidono si renderà necessaria la definizione di una rotta statica sul default gateway, in modo da instradare correttamente il traffico.

Nel caso di utenti mobili o uffici piccolissimi (uno o due host), si utilizza una componente client che connette il nodo direttamente alla rete remota. Generalmente si tratta di software proprietari forniti dai produttori di appliance, che creano una scheda di rete virtuale sulla quale far viaggiare il traffico VPN. In questi casi entrano in gioco meccanismi di ARP proxying e non più di routing. Nella maggior parte dei casi si potrebbero utilizzare gli strumenti nativi che i diversi sistemi operativi mettono a disposizione, ma l’operazione si rivela talmente complicata (almeno nel caso di Windows) che l’uso di questi driver virtuali è universalmente diffuso. In realtà per l’accesso a risorse limitate da parte di pochi client, si potrebbe prendere in considerazione un tunnel SSH, di implementazione ancora più semplice.

Io utilizzo OpenVPN da parecchio tempo e mi trovo molto bene. Non richiede risorse particolari e mi permette di accedere a tutta la mia rete pubblicando una sola porta TCP e senza disporre di un IP pubblico statico.

In linea di principio le diverse appliance sono interoperabili, ma spesso con qualche difficoltà. Scegliendo unità simili molto spesso ci si deve limitare a compilare una o due finestre con gli stessi dati in posizioni complementari.

Per utenti che devono poter lavorare da computer pubblici, chioschi e computer condivisi, le soluzioni basate su SSL-VPN offrono la comodità di poter accedere alla rete remota tramite un browser e un po’ di componenti java, e presentano il vantaggio di funzionare in ambienti fortemente controllati: è sufficiente che passi il traffico SSL su https (TCP/443). Lo svantaggio è la minore integrazione con il sistema e la necessità di dover comunque installare un componente “invasivo” qualora si volesse accedere in modo completo alla rete.

In definitiva le VPN offrono una quantità di vantaggi che le rendono sicuramente interessanti; in cambio è necessaria un po’ di cura nel progetto e un po’ di attenzione alla gestione della sicurezza: i meccanismi di one time password, i token, il controllo attento degli accessi e della gestione degli account (RADIUS), sono alcuni dei metodi da adottare per garantirsi sonni (abbastanza) tranquilli.

Tags: , , , , , ,

27 Commenti

spider | #

Tralascio sul resto ché sennò rischio l’accusa di accanimento che poi sarebbe pure la verità ;) (p.e. le vpn mesh si fanno eccome)
Noto però con dispiacere che sei sempre convinto che quell’accrocchio degli icmp redirect sia roba da consigliare. Una vergogna, piuttosto. Vabbè, ci rinuncio. Contento tu.
(non ti preoccupare, ti lascio in pace: volevo vedere solo quanto valeva questo blog, mo’ lo so)
Adieu.

Giuseppe Di Luca | #

Non ho grandi conoscenze in merito, queste cose le ho studiate in questo semestre universitario. Mi sembra una panoramica davvero interessante, magari all’università si spiegassero le cose un pò più a livello pratico che teorico.
Non sono certo un esperto come sembrerebbe esserlo spider, e in ogni caso eviterei questi toni.
Da parte mia i più sentiti complimenti per il lavoro che svolgi, Andrea.

Auguri di Buon Natale e felice anno nuovo.

Davide | #

Andrea, 2 domande…
1. Dove li trovi questi bellissimi disegni delle reti
2. OpenVPN funziona anche dietro ad un router domestico? (ovviamente posso aprire le porte che voglio!)

Andrea | #

Davide:
1)Google Images
2) Sì

Marco Motta | #

Ciao Andrea i tuoi suggerimenti mi aiutano spessissimo nella difficile vita da sistemista. Da qualche giorno ho realizzato una vpn per far collegare da casa i dirigenti di una azienda municipale privatizzata. Gli host della LAN appartengono tutti a un dominio (hai presente AD -> ecco quella roba lì)!
Il firewall lo fornisce l’azienda per la quale lavoro che con un modulo acceleratore gestisce colelgamenti VPN anche in modalità pptp.
Noto che facendo join al dominio da un host remoto il collegamento risulta molto lento.
Potrebbe essere problema di autenticazione (Radius) e gestioen RAS e IAS su Windows 2003 Server o credi che dovrei concentrarmi su altro?

Premetti che per evitare conflitti di IP ho messo la LAN sulla classe 172.18.0.0/24!

Ti ringrazione vivamente per i tuoi suggerimenti e per tutte le volte che mi aiuti anche inconsapevolmente.

Ti dovrebbero nominare Ministro.

haga#41 | #

Ciao Andrea, cosa ne pensi di Hamachi?
Grazie

nick | #

spider

beh dimmi te quanti blogger ci sono che si mettono lì a spiegarti, se pur in maniera generale (ma non generalista), un argomento come il vpn. Cioè ci sono altri blogger molto bravi e ok ma da qui a far intendere che il livello di questo blog non fa per te (esperto) ma è solo per gente poveretta…(perchè è questo che dalla tue parole traspare), mi sembra una cosa un pò infantile, solo perchè tu ti trovi in disaccordo con alcuni punti “beggiani”.
Si discute no? i blog sono fatti per questo.

(non ti preoccupare, ti lascio in pace: volevo vedere solo quanto valeva provare a discutere con te, vedremo se dirò mò lo so o meno :P

elektra bianchi | #

ciao,
ho scoperto che utilizzando una vpn gratuita ( si chiama hhs) riesco a bypassare i filtri p2p messi dal mio provider. secondo te sarebbe possibile creare una rete p2p in vpn o comunque una cosa del genere? pensavo a un tracker con hamachi o con openvpn……è un sogno?

pierpa | #

voto per i tunnel pptp ovvero GRE anch’io. per i due seguenti motivi principali:

a) perché sono supportati da microsoft (che li chiama connessioni vpn e li abbina alla crittografia mschap), linux (la crittografia mschap, detta mppe in ambiente linux è diventata parte del kernel dalla versione 2.6.11) e cisco (che li chiama tunnel in modalità ipip) in forma nativa senza bisogno di dover installare alcun software e/o protocollo aggiuntivo

b) perché è più semplice gestire dei tunnel con autenticazione con username/password rispetto ai certificati di openvpn.

sono a favore delle vpn completamente meshate anche io.

Franco | #

Buongiorno, ho un sistema di videosorveglianza che dovrebbe permette il controllo tramite internet.
Il sitema in questione è un mydvr 400 della icantek (http://www.icantek.com/icantek/sub01_04_01.asp?menu_num=04) con 4 telecamere cablate che raggiungono il server video messo in rete attraverso un router che fornisce anche la connesione ad internet.
Ora quando interrogo il dvr attraverso un pc della stessa rete LAN non c’e’ nessun problema, si apre una connessione sulla porta 554 e tutto fila liscio, si riescono ad interrogare le singole telecamere, modificare le impostazioni del server video, visualizzare le registrazioni passate.
Se cerco di fare queste operazioni da intenet iniziano i problemi… il server video non risponde… ho impostato port forwarding sul router verso l’indirizzo ip del dvr, ma niente continua a non funzionare.
Ho cercato anche qualche altro trucco del tipo, ho installato un webserver su un pc della lan, port forwarding sulla porta 80 del ruoter verso questo pc, costruzione di una pagina HTML che contenesse i riferimenti al dvr, ma niente la pagina viene vista in internet ma le parti con i rifeirmenti al dvr danno un errore di caricamento.
che cosa manca?
grazie mille a chinque vorrà aiutarmi
saluti
Franco

Fabio | #

Per Franco,
anche se la tua domanda non è nel posto giusto (si parlava di VPN), proverò ad aiutarti. I videoserver spesso contengono un server web, ma per lo streaming video bisogna forwardare anche altre specifiche porte tcp e/o udp aggiuntive. Inoltre se hai frapposto un firewall, non provare a disattivarlo ma collega direttamente il videoserver al router.

error1893 | #

Anche telecom ha la sua rete MPLS che è presente su 2 domini as:20959,as:3269(che è molto piu estesa e retrodatata di quella di fastweb) ed è usata quasi esclusivamente per creare VPN su apparati CISCO 7000,10000 ma anche JUNIPER-NETWORKS ERX1400.

fenix | #

Ciao Andrea ti sarei molto grato se mi aiutassi nel risolvere questo problema…
Ho un PC con una doppia schede di rete:
la prima collegata ad un dvr per video sorveglianza con cavo cross e la seconda ad un router alice. Mi sono accorto che il DVR e il router hanno lo stesso indirizzo IP 192.168.1.1 e infatti per far funzionare internet o visualizzare le telecamere sul monitor devo disabilitare una delle due schede di rete (insieme non vanno, funziona solo quella ingrata sulla scheda madre). Dalla pagina di configurazione del router ho cambiato l’IP del router in 192.168.1.2 ed ho impostato gli indirizzi ip statici con i DNS di alice sul router; separatamente funzionano ma insieme non vanno. Se provo ad effettuare un ping al router mi dà esito positivo solo se il DVR è spento oppure se ho disabilitato la scheda di rete a cui è collegato.
Nel farti i clomplimenti per il tuo blog ti ringrazio in anticipo per la tua disponibilità.

frandan | #

Ciao Andrea, ti seguo da tanto tempo anche se questo è il mio primo post.
Ti chiedo un consiglio per un problema che abbiamo a lavoro. Un router zyxel 662HW fa da centro stella per la nostra VPN (sono 12 tunnel), ma da ieri non aggancia + l’adsl.
Posso collegare in cascata un altro router che si occupi solo della conettività e mantenere lo zyxel solo come firewall?
Tra l’altro come si riesce a far dialogare le periferie?
Ti ringrazio in anticipo per la tua disponibilità.

Giovecchio | #

Se posso disturbare, sono alle prese con un collegamento VPN, fatto Exchange 2003. Installato su un PC con Vista, nella sede della Ditta, funzionava bene, In Italia copn Fastweb, no. Per Fastweb ho tutte le porte aperte, ma gli americani mi confermano che ho le porte 47 e 1725 chiuse. Sentite Microsoft, che mi ha rimandato al produtore, Sony, dove un ragazzo mi ha detto che, non avendo un indirizzo privato statico, il VPN con Fastweb non si fà. E’ corretto qunto mi hanno detto? Riattivo il modem a 56k, e telefono a Libero? Grazie di cuore

Sara | #

Ciao ragazzi, potreste spiegarmi i protocolli usati dalla rete VPN? E’ un pò complicato…

bonaventura | #

tcp/ip è la più grande invenzione dell’uomo dopo la ruota e i rigatoni alla matriciana

andrea | #

ciao,
vorrei farti delle domande per togliermi dei dubbi, ma non solo relativo al post…
1 – quando io creo la connessione vpn attraverso l’indirizzo pubblico mi viene assegnato uno interno, non so se dico giusto, quindi solo io posso pingare quell’indirizzo interno, giusto? altri esterni non dovrebbero poterlo fare….

2 – sarà stupido, ma per fare delle prove con la vpn, ma principalmetne per la criptazione, ho provato internamente alla mia lan, solo che momentaneamente sto usando quella di winxp(non ti spaventare :D )….a parte questo, con xp bisogna mettere un range di ip, io ho fatto da 10.0.0.3 a 10.0.0.4, …come netamsk mi ha assegnato 255.255.255.255
quando ho provato a collegarmi a creato un mini rete, ma con tutti e due gli ip attivi, non dovrebbe attivarne solo uno?
e poi pingando da un altro pc ho notato che riuscivo a pingare questi indirizzi,ma forse lo fa solo perchè la prova avviene internamente

bè spero di non essere stato complicato, ma spero di avere una rispsota a queste strane domande

dario | #

Per connettersi tramite cellulare, è preferibile una rete Wi-Fi oppure una rete VPN? Quali sono le sostanziali differenze?
Grazie infinite, buone feste!

RobertoIEE | #

Vorrei VPNnare meglio anche io ma non ho ne il ferro ne probabilmente le capacità.
Per cui devo accontentarmi di una VPN con Mikrotik come server, adsl Telecom o Fastwebbe come carrier e client microsoffete in remoto. Se hai mai usato MiKroTik (e se leggi i vecchi post) mi dici che ne pensi?

43h 69h 61h 6fh

andrea | #

Salve, io devo creare una VPN per collegare l’interfono al nostro impianto a barriera.
Lo devo prima fare nel nostro apparato demo,ma la cosa che mi mette piu in difficoltà è la gestione degli IP xè nel mio caso Ip del chiamante e del chiamato coincidono! cme faccio in questo caso?

fufina82 | #

Con una connessione vpn ad un nokia N70 direttamente da un pc fisso (con un modem alice flat) è possibile tramite il programma nokia pc suite (o simili) intercettare e/o ricevere una telefonata in entrata al telefono fisso (con linea ADSL)? nn so se sono stata chiara, non me ne intendo molto di queste cose, ma ho la netta sensazione che un mio familiare abbia messo il telefono di casa sotto controllo in quanto (per sbaglio..o per caso) quando sono andata a collegarmi al pc fisso mi chiedeva di connettermi…e quando ho cliccato connetti, non mi è comparsa la voce “connetti a alice” ma “connetti a nokia N70″ (che è il telefono di tale mio familiare). inoltre “colui” ha installato BLUE SOLEIL…un softhware di bluetooth: nelle icone sul desktop compariva una cartella nominata “Risorse bluetooth”, l’ho aperta e tra varie voci(sempre a caso) mi si è aperta una videata con l’immagine del nokia n70 e un contatto :casa-56b….eccc…. Presumo un codice per far arrivare le chiamate in entrata dal telefono di casa al cellulare in questione.
se qualcuno mi ha capita :( aspetto una risposta…graziee!!!!

zed | #

:) la vpn io la conosco molto bene!
Abito in cina.. e’ qua e’ fondamentale anche perche nemmeno fb funziona!
io personalmente uso quello che compro dall’ apple store perche’ almeno me le attivano subito!
ce ne e’ una addirittura in italiano! e’ il top, ha anche il server italiano per vedere la rai.. era meglio che non c’era pero’ perche’ cosi’ mi sono visto la sconfitta dell italia alla finale degli europei! saluti a tutti!

roby | #

Zed mi interessa io sono in venezuela come faccio x il vpn in italiano da pc grazie

Maria Grazia Baro | #

Sono una vecchietta che vive per 8 mesi l’anno in Bassa California del Sud, Messico.
Sino all’anno scorso potevo collegarmi con Rai.it e vedere anche vecchie fiction. Da quest’anno esce la scritta Questo programma non si vede al di fuori del territorio italiano.
Quindi mi hanno detto che devo comprare un VPN italiano, ma come si fa? Li ho trovati su internet, ma parlano di stranieri in Italia, ed ho paura di coorare una cavolata.
Mi puoi suggerire qualcosa? Ho un Sony Vaio e Windows 7. Per ora in Italia uso una Key Tim, ma la’ ho la mia connessione con modem wireless messicana Prodigy Infinitum, io vivo a Lapaz, che e’ la capitale.

Anna | #

ciao io non ne capisco molto di queste cose e volevo farti alcune domande. Prima i tutto io ho un cellulare samsung dove nelle opzioni del wi-fi c è questo ”aggiungi VPN”..allora io col computer per collegarmi ad internet devo acendere la dsl (è una affermazione stupida lo so) e fare connessione a banda larga. con il cellulare quando accendo wi-fi fa vedere che sto connessa alla mia dsl ma poi quando cerco di andare su internet non mi carica. allora la domanda è questa. la connessione a banda larga che devo fare sul computer sarebbe VPN sul cellulare?