Table of Contents

Table of Contents
1. Configurazione Client Windows 2000/XP in RoadWarrior.......................................................................... 2
1.1. Prerequisiti Windows 2000 ................................................................................................................... 2
1.2. Prerequisiti Windows XP ...................................................................................................................... 2
1.3. Configurazione...................................................................................................................................... 2
1
Chapter 1. Configurazione Client Windows
2000/XP in RoadWarrior
1.1. Prerequisiti Windows 2000
1. Client Windows 2000.
2. Windows 2000 Service Pack 2
(http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2lang.asp) (o superiore) o almeno
il Windows 2000 High Encryption Pack
(http://www.microsoft.com/windows2000/downloads/recommended/encryption/download.asp) per ottenere
il supporto per la crittografia 3DES.
3. Internet Protocol Security Policies Tool
(http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp).
4. Windows 2000 VPN Tool (http://vpn.ebootis.de/package.zip).
1.2. Prerequisiti Windows XP
1. Client Windows XP (non testato sulla versione Home ma dovrebbe funzionare).
2. Utility ipseccmd. È necessario installare i Windows XP Support tools. Sono reperibili sul CD di
installazione di Windows XP nella directory \SUPPORT\TOOLS. Lanciare il file setup.exe in questa
directory ed eseguire un’installazione completa.
3. Windows 2000 VPN Tool (http://vpn.ebootis.de/package.zip).
1.3. Configurazione
È importante assicurarsi che:
•
ogni altro client IPSEC eventualmente presente sul PC (es. SSH Sentinel) sia disabilitato;
•
il servizio Agente criteri IPSEC sia impostato su Manuale;
Procedere nel modo seguente:
1. Se si usa Windows 2000 installare il Service Pack 2 o il Windows 2000 High Encryption Pack.
2
Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior
2. Installare ipsecpol (Windows 2000) o ipseccmd (Windows XP) in una directory.
3. Scompattare l’utility Windows 2000 VPN Tool nella stessa directory.
A questo punto è necessario predisporre una console MMC di Windows con lo snap-in Certificati:
•
cliccare su Avvio -> Esegui e lanciare il comando mmc;
•
aprire il pannello Console -> Aggiungi/Rimuovi snap-in e premere Aggiungi;
•
selezionare Certificati e premere Aggiungi;
•
selezionare Account del Computer e premere Avanti;
•
selezionare Computer locale e premere Fine;
•
premere Chiudi e quindi Ok;
Da questo pannello è possibile importare il certificato:
•
Selezionare il pannello Personale -> Tutte le attività -> Importa;
3
Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior
4
•
Scegliere il file .p12 da importare:
•
Inserire la password dell’archivio e premere Avanti:
Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior
•
Scegliere l’opzione Selezionare automaticamente l’archivio certificati secondo il tipo di certificato e premere
Avanti due volte per concludere la procedura:
•
Se l’importazione del certificato è andata a buon fine dovrebbe apparire la seguente schermata:
Una volta importato il certificato, entrare all’interno della directory dove si è scompattata l’utility Windows 2000
VPN Tool, rinominare il file ipsec.conf in ipsec.old e ricreare un file ipsec.conf secondo il seguente modello:
conn roadwarrior
left=IP_REMOTO_DEL_GATEWAY_VPN
leftsubnet=SUBNET_VPN/SUBNET_NETMASK_VPN
right=%any
rightca=SUBJECT_DEL_CERTIFICATO
network=auto
auto=start
pfs=yes
5
Chapter 1. Configurazione Client Windows 2000/XP in RoadWarrior
Nota: se la VPN comprende due reti private sarà necessario inserire due connessioni nel file ipsec.conf ,
assegnando alla seconda un nome diverso ed il valore leftsubnet corretto.
Attenzione: è importante inserire il valore SUBJECT_DEL_CERTIFICATO nel formato corretto; il formato
deve essere il seguente:
rightca="C=VALORE,S=VALORE,L=VALORE,O=VALORE,OU=VALORE,CN=VALORE,E=VALORE"
i valori da assegnare ai parametri possono essere recuperati tramite la console mmc, selezionando il
pannello Certificati -> Autorità di certificazione ed aprendo il certificato della CA importata; in questo pannello
sarà visibile il Soggetto del certificato contenente i valori da assegnare ai parametri;
Se il gateway vpn non è raggiungibile (tramite il default gateway del PC), è necessario impostare una route
statica che diriga il traffico per la rete privata remota direttamente verso il gateway vpn. Da un prompt dei
comandi dare quindi il seguente comando:
route -p add IP mask NETMASK GW
dove IP è l’indirizzo ip della rete privata remota, NETMASK la sua maschera di rete e GW l’indirizzo ip del
gateway vpn.
Infine aprire un prompt dei comandi, portarsi nella directory contenente il file ipsec.exe e lanciare il comando
"ipsec".
Per terminare il collegamento alla VPN è sufficiente eseguire il comando ipsec.exe -delete.
6