Istruzioni per l`uso del servizio VPN su sistemi Linux
Transcript
Istruzioni per l`uso del servizio VPN su sistemi Linux
Istruzioni per l’uso del servizio VPN su sistemi Linux Ver 1.0 1 Informazioni preliminari 1.1 A chi è rivolto • Al personale della Sapienza che ha l’esigenza di accedere direttamente alla LAN di Campus dalla propria abitazione. • Al personale che ha bisogno di un indirizzo IP appartenente alla Sapienza (151.100.0.0/16) per usufruire di servizi riservati alla rete Universitaria. 1.2 Che cosa è Una VPN – Virtual Private Network – è una connessione protetta e virtuale che rende accessibili i servizi della rete de La Sapienza come se il proprio computer fosse direttamente connesso al campus di ateneo. Il servizio di VPN del CITICoRD permette agli utenti connessi a internet da qualsiasi luogo e per mezzo di un qualsiasi tipo di connettività (dial-up, xDSL, LAN), di poter navigare con indirizzo ip della subnet della Sapienza 151.100.0.0/16 godendo dei relativi benefici - ad esempio l’accesso a pubblicazioni riservate alla rete di ateneo. 1.3 Che cosa NON è Con questo servizio il CITICoRD non fornisce direttamente connettività, ovvero non svolge il ruolo di provider ADSL. Attualmente, la Sapienza fornisce connettività in dial–up a 56 K e in ISDN 64K. Per usufruire del servizio di VPN occorre già essere connessi a internet attraverso un provider. Per usufruire del servizio in modo ottimale è raccomandato l’uso di connessioni DSL. 1 2 Requisiti di installazione 2.1 Premessa L’installazione del Cisco VPN Client per Linux richiede un minimo di pratica con la shell. Non è possibile l’installazione in modalità grafica: questo potrebbe disorientare gli utenti con scarsa esperienza sulla shell. Inoltre il normale uso del vpnclient è anch’esso da effettuarsi in modalità testuale. Questa premessa non intende essere un invito a desistere, ma un’esortazione alla pazienza. Le istruzioni che seguono tentano di rendere semplice la procedura di installazione. 2.2 Supporto alle differenti distribuzioni Questo documento si basa sull’installazione del Cisco VPN Client su Scientific Linux 4.5– Beryllium. Scientific Linux è una distribuzione basata su Red Hat Enterprise Linux, quindi la validità di questo documento si estende alle seguenti distribuzioni: • Red Hat • Fedora • CentOS e la maggior parte delle rpm-based, come SuSE Linux. Questo documento non supporta le distribuzioni debian-based, ad esempio ubuntu, sebbene sia stato installato con successo un Cisco VPN Client 4.8 su una Debian 3.1 Sarge con kernel 2.6.8. 2.3 Verifica dei requisiti • accesso con privilegi di ROOT • kernel successivo al 2.2.12. • librerie glibc 2.1.1–6 • la presenza dei kernel headers • opportuna configurazione del firewall iptables ( nel caso esso sia utilizzato) • opportuna configurazione di SELinux (nel caso esso sia utilizzato) Il VPN Client non supporta kernel SMP (multiprocessor) o dotati di supporto ad architetture a 64-bit. 2 2.3.1 Verifica della propria versione di linux cat /etc/issue 2.3.2 Verifica della versione del kernel uname -r La versione del kernel deve essere maggiore del 2.2.12. Se, dall’ouput del comando precedente, si notasse la presenza di un kernel SMP sarà necessario riavviare la macchina scegliendo al menu del boot loader il corretto kernel. Per comodità si modifichi il file /boot/grub/menu.lst indicando come default il kernel non SMP. 2.3.3 Verifica della versione delle librerie glibc rpm -qa | grep -i glibc L’output consisterà nel nome corredato di versione del pacchetto. La versione deve essere maggiore di 2.1.1-6 2.3.4 Versione e presenza dei kernel headers rpm -qa | grep kernel-devel Di norma, i sorgenti del kernel non sono installati. Occorre quindi provvedere installando un pacchetto rpm. Ci sono due possibilità 1. Scaricare il pacchetto kernel–devel–versionedelkernel.archittetura.RPM da internet, nel nostro caso ad esempio: kernel-devel-2.6.9-55.EL.i686.rpm e installarlo con rpm -ivh kernel-devel-2.6.9-55.EL.i686.rpm 2. Scaricare il pacchetto tramite yum yum search kernel-devel yum install kernel-devel 2.3.5 Verifica delle regole di firewalling iptables -vnL I seguenti tipi di traffico devono passare • IP protocol 50 (ESP) • UDP port 500 (ISAKMP) • TCP port 10000 (TCP tunneling) 3 • UDP port 4500 NAT-T 2.3.6 Verifica di SELinux SELinux (Security Enhanced Linux) deve essere disabilitato o impostato in modalità targeted. cat /etc/selinux/config 3 Ottenere i il software Connettersi al sito http://netass.citicord.uniroma1.it/portale/ Effettuare il login utilizzando i campi in basso a sinistra. Per accedere all’area riservata è necessaria la registrazione, che richiede un tempo minimo e l’inserimento di poche informazioni essenziali. Dopo aver effettuato il login, nel menu a destra seguire il link Area Download e Client VPN Scaricare i seguenti file e posizionarli sulla propria home • vpnclient-linux-4.8.tar.gz • VPN-Sapienza.pcf (File di configurazione per la connessione vpn) 4 Installare il Cisco VPN Client Aprire una shell. Posizionarsi sulla propria home con cd Verificare la propria posizione con pwd L’output deve essere: /home/nomeutente. Copiare il file vpnclient nella directory /tmp cp vpnclient–linux–4.8.tar.gz /tmp Spostarsi nella directory tmp cd /tmp Scompattare il file con tar zxf vpnclient–linux–4.8.tar.gz 4 L’output consisterà in una nuova directory denominata vpnclient; verificarne la presenza con ls –l Entrare nella directory appena creata cd vpnclient e lanciare l’installer sh vpn install Accettare i default Lanciare il servizio con /etc/init.d/vpnclient init start 5 Configurazione della connessione VPN Per la configurazione si utilizzerà il file VPN–Sapienza.pcf, precedentemente scaricato nella propria home, ovvero /home/nomeutente. Copiare il file pcf nella cartella Profile. cp VPN-Sapienza.pcf /etc/opt/cisco-vpnclient/Profiles 6 Uso del Cisco VPN Client vpnclient connect VPN-Sapienza Attenzione: occorre omettere l’estensione .pcf. Non è possibile lanciare il processo in background. A questo punto occorre inserire username e password, usando le stesse credenziali utilizzate per la posta elettronica. Per visualizzare informazioni e statistiche sulla connessione in corso, aprire un’altra shell e digitare vpnclient stat Per disconnettersi interrompere il processo con la pressione dei tasti Ctrl C. 6.1 Nota per gli utenti connessi in rete locale Per gli utenti connessi da una LAN, la vpn rende impossibile l’utilizzo dei servizi (esempio, stampanti di rete, file server, ) della propria rete locale, in virtù del fatto che la vpn connette virtualmente ad un’altra rete locale. 5