Table of Contents
Transcript
Table of Contents
Table of Contents 1. Configurazione Client Windows 2000/XP in RoadWarrior.......................................................................... 2 1.1. Prerequisiti Windows 2000 ................................................................................................................... 2 1.2. Prerequisiti Windows XP ...................................................................................................................... 2 1.3. Configurazione...................................................................................................................................... 2 1 Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior 1.1. Prerequisiti Windows 2000 1. Client Windows 2000. 2. Windows 2000 Service Pack 2 (http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2lang.asp) (o superiore) o almeno il Windows 2000 High Encryption Pack (http://www.microsoft.com/windows2000/downloads/recommended/encryption/download.asp) per ottenere il supporto per la crittografia 3DES. 3. Internet Protocol Security Policies Tool (http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp). 4. Windows 2000 VPN Tool (http://vpn.ebootis.de/package.zip). 1.2. Prerequisiti Windows XP 1. Client Windows XP (non testato sulla versione Home ma dovrebbe funzionare). 2. Utility ipseccmd. È necessario installare i Windows XP Support tools. Sono reperibili sul CD di installazione di Windows XP nella directory \SUPPORT\TOOLS. Lanciare il file setup.exe in questa directory ed eseguire un’installazione completa. 3. Windows 2000 VPN Tool (http://vpn.ebootis.de/package.zip). 1.3. Configurazione È importante assicurarsi che: • ogni altro client IPSEC eventualmente presente sul PC (es. SSH Sentinel) sia disabilitato; • il servizio Agente criteri IPSEC sia impostato su Manuale; Procedere nel modo seguente: 1. Se si usa Windows 2000 installare il Service Pack 2 o il Windows 2000 High Encryption Pack. 2 Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior 2. Installare ipsecpol (Windows 2000) o ipseccmd (Windows XP) in una directory. 3. Scompattare l’utility Windows 2000 VPN Tool nella stessa directory. A questo punto è necessario predisporre una console MMC di Windows con lo snap-in Certificati: • cliccare su Avvio -> Esegui e lanciare il comando mmc; • aprire il pannello Console -> Aggiungi/Rimuovi snap-in e premere Aggiungi; • selezionare Certificati e premere Aggiungi; • selezionare Account del Computer e premere Avanti; • selezionare Computer locale e premere Fine; • premere Chiudi e quindi Ok; Da questo pannello è possibile importare il certificato: • Selezionare il pannello Personale -> Tutte le attività -> Importa; 3 Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior 4 • Scegliere il file .p12 da importare: • Inserire la password dell’archivio e premere Avanti: Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior • Scegliere l’opzione Selezionare automaticamente l’archivio certificati secondo il tipo di certificato e premere Avanti due volte per concludere la procedura: • Se l’importazione del certificato è andata a buon fine dovrebbe apparire la seguente schermata: Una volta importato il certificato, entrare all’interno della directory dove si è scompattata l’utility Windows 2000 VPN Tool, rinominare il file ipsec.conf in ipsec.old e ricreare un file ipsec.conf secondo il seguente modello: conn roadwarrior left=IP_REMOTO_DEL_GATEWAY_VPN leftsubnet=SUBNET_VPN/SUBNET_NETMASK_VPN right=%any rightca=SUBJECT_DEL_CERTIFICATO network=auto auto=start pfs=yes 5 Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior Nota: se la VPN comprende due reti private sarà necessario inserire due connessioni nel file ipsec.conf , assegnando alla seconda un nome diverso ed il valore leftsubnet corretto. Attenzione: è importante inserire il valore SUBJECT_DEL_CERTIFICATO nel formato corretto; il formato deve essere il seguente: rightca="C=VALORE,S=VALORE,L=VALORE,O=VALORE,OU=VALORE,CN=VALORE,E=VALORE" i valori da assegnare ai parametri possono essere recuperati tramite la console mmc, selezionando il pannello Certificati -> Autorità di certificazione ed aprendo il certificato della CA importata; in questo pannello sarà visibile il Soggetto del certificato contenente i valori da assegnare ai parametri; Se il gateway vpn non è raggiungibile (tramite il default gateway del PC), è necessario impostare una route statica che diriga il traffico per la rete privata remota direttamente verso il gateway vpn. Da un prompt dei comandi dare quindi il seguente comando: route -p add IP mask NETMASK GW dove IP è l’indirizzo ip della rete privata remota, NETMASK la sua maschera di rete e GW l’indirizzo ip del gateway vpn. Infine aprire un prompt dei comandi, portarsi nella directory contenente il file ipsec.exe e lanciare il comando "ipsec". Per terminare il collegamento alla VPN è sufficiente eseguire il comando ipsec.exe -delete. 6