Istruzioni per l`uso del servizio VPN su sistemi Linux

Istruzioni per l’uso del servizio VPN su sistemi
Linux
Ver 1.0
1
Informazioni preliminari
1.1
A chi è rivolto
• Al personale della Sapienza che ha l’esigenza di accedere direttamente alla LAN
di Campus dalla propria abitazione.
• Al personale che ha bisogno di un indirizzo IP appartenente alla Sapienza
(151.100.0.0/16) per usufruire di servizi riservati alla rete Universitaria.
1.2
Che cosa è
Una VPN – Virtual Private Network – è una connessione protetta e virtuale che
rende accessibili i servizi della rete de La Sapienza come se il proprio computer fosse
direttamente connesso al campus di ateneo.
Il servizio di VPN del CITICoRD permette agli utenti connessi a internet da qualsiasi
luogo e per mezzo di un qualsiasi tipo di connettività (dial-up, xDSL, LAN), di poter
navigare con indirizzo ip della subnet della Sapienza 151.100.0.0/16 godendo dei
relativi benefici - ad esempio l’accesso a pubblicazioni riservate alla rete di ateneo.
1.3
Che cosa NON è
Con questo servizio il CITICoRD non fornisce direttamente connettività, ovvero non
svolge il ruolo di provider ADSL. Attualmente, la Sapienza fornisce connettività in
dial–up a 56 K e in ISDN 64K. Per usufruire del servizio di VPN occorre già essere
connessi a internet attraverso un provider. Per usufruire del servizio in modo ottimale
è raccomandato l’uso di connessioni DSL.
1
2
Requisiti di installazione
2.1
Premessa
L’installazione del Cisco VPN Client per Linux richiede un minimo di pratica con la
shell. Non è possibile l’installazione in modalità grafica: questo potrebbe disorientare
gli utenti con scarsa esperienza sulla shell. Inoltre il normale uso del vpnclient è
anch’esso da effettuarsi in modalità testuale. Questa premessa non intende essere un
invito a desistere, ma un’esortazione alla pazienza. Le istruzioni che seguono tentano
di rendere semplice la procedura di installazione.
2.2
Supporto alle differenti distribuzioni
Questo documento si basa sull’installazione del Cisco VPN Client su Scientific Linux
4.5– Beryllium. Scientific Linux è una distribuzione basata su Red Hat Enterprise
Linux, quindi la validità di questo documento si estende alle seguenti distribuzioni:
• Red Hat
• Fedora
• CentOS
e la maggior parte delle rpm-based, come SuSE Linux.
Questo documento non supporta le distribuzioni debian-based, ad esempio ubuntu,
sebbene sia stato installato con successo un Cisco VPN Client 4.8 su una Debian 3.1
Sarge con kernel 2.6.8.
2.3
Verifica dei requisiti
• accesso con privilegi di ROOT
• kernel successivo al 2.2.12.
• librerie glibc 2.1.1–6
• la presenza dei kernel headers
• opportuna configurazione del firewall iptables ( nel caso esso sia utilizzato)
• opportuna configurazione di SELinux (nel caso esso sia utilizzato)
Il VPN Client non supporta kernel SMP (multiprocessor) o dotati di supporto ad
architetture a 64-bit.
2
2.3.1
Verifica della propria versione di linux
cat /etc/issue
2.3.2
Verifica della versione del kernel
uname -r
La versione del kernel deve essere maggiore del 2.2.12. Se, dall’ouput del comando
precedente, si notasse la presenza di un kernel SMP sarà necessario riavviare la
macchina scegliendo al menu del boot loader il corretto kernel. Per comodità si
modifichi il file /boot/grub/menu.lst indicando come default il kernel non SMP.
2.3.3
Verifica della versione delle librerie glibc
rpm -qa | grep -i glibc
L’output consisterà nel nome corredato di versione del pacchetto. La versione deve
essere maggiore di 2.1.1-6
2.3.4
Versione e presenza dei kernel headers
rpm -qa | grep kernel-devel
Di norma, i sorgenti del kernel non sono installati. Occorre quindi provvedere installando un pacchetto rpm. Ci sono due possibilità
1. Scaricare il pacchetto kernel–devel–versionedelkernel.archittetura.RPM da internet, nel nostro caso ad esempio:
kernel-devel-2.6.9-55.EL.i686.rpm e installarlo con
rpm -ivh kernel-devel-2.6.9-55.EL.i686.rpm
2. Scaricare il pacchetto tramite yum
yum search kernel-devel yum install kernel-devel
2.3.5
Verifica delle regole di firewalling
iptables -vnL
I seguenti tipi di traffico devono passare
• IP protocol 50 (ESP)
• UDP port 500 (ISAKMP)
• TCP port 10000 (TCP tunneling)
3
• UDP port 4500 NAT-T
2.3.6
Verifica di SELinux
SELinux (Security Enhanced Linux) deve essere disabilitato o impostato in modalità
targeted.
cat /etc/selinux/config
3
Ottenere i il software
Connettersi al sito http://netass.citicord.uniroma1.it/portale/
Effettuare il login utilizzando i campi in basso a sinistra. Per accedere all’area riservata è necessaria la registrazione, che richiede un tempo minimo e l’inserimento di
poche informazioni essenziali.
Dopo aver effettuato il login, nel menu a destra seguire il link Area Download e
Client VPN
Scaricare i seguenti file e posizionarli sulla propria home
• vpnclient-linux-4.8.tar.gz
• VPN-Sapienza.pcf (File di configurazione per la connessione vpn)
4
Installare il Cisco VPN Client
Aprire una shell.
Posizionarsi sulla propria home con
cd
Verificare la propria posizione con
pwd
L’output deve essere:
/home/nomeutente.
Copiare il file vpnclient nella directory /tmp
cp vpnclient–linux–4.8.tar.gz /tmp Spostarsi nella directory tmp
cd /tmp
Scompattare il file con
tar zxf vpnclient–linux–4.8.tar.gz
4
L’output consisterà in una nuova directory denominata vpnclient; verificarne la presenza con
ls –l
Entrare nella directory appena creata
cd vpnclient
e lanciare l’installer
sh vpn install Accettare i default
Lanciare il servizio con
/etc/init.d/vpnclient init start
5
Configurazione della connessione VPN
Per la configurazione si utilizzerà il file VPN–Sapienza.pcf, precedentemente scaricato
nella propria home, ovvero /home/nomeutente.
Copiare il file pcf nella cartella Profile.
cp VPN-Sapienza.pcf /etc/opt/cisco-vpnclient/Profiles
6
Uso del Cisco VPN Client
vpnclient connect VPN-Sapienza
Attenzione: occorre omettere l’estensione .pcf.
Non è possibile lanciare il processo in background.
A questo punto occorre inserire username e password, usando le stesse credenziali
utilizzate per la posta elettronica.
Per visualizzare informazioni e statistiche sulla connessione in corso, aprire un’altra
shell e digitare
vpnclient stat
Per disconnettersi interrompere il processo con la pressione dei tasti Ctrl C.
6.1
Nota per gli utenti connessi in rete locale
Per gli utenti connessi da una LAN, la vpn rende impossibile l’utilizzo dei servizi
(esempio, stampanti di rete, file server, ) della propria rete locale, in virtù del fatto
che la vpn connette virtualmente ad un’altra rete locale.
5