Lavorare in remoto tramite OpenVPN su Windows

 

In questa rapida guida verranno mostrati i passaggi per poter lavorare in remoto da qualsiasi PC Windows sfruttando il protocollo OpenVPN, sempre più diffuso nelle reti aziendali grazie all’adozione di gateway aventi sistemi Unix based installati come l’ottimo ClearOS . Questa guida è stata realizzata grazie al prezioso contributo del Dott. Ing. Jr. Andrea Pascucci, amico e collega.

Le Virtual Private Network (VPN) permettono di lavorare su qualsiasi computer connesso a internet, in possesso delle giuste credenziali, come se si appartenesse alla rete locale aziendale.

Per poter interagire con un gateway che utilizza l’OpenVPN è necessario:

  1. Indirizzo IP statico e pubblico del gateway per poter conoscere sempre l’indirizzo della macchina
  2. L’accesso al pannello di controllo del gateway (saltare questa fase se si è già in possesso dei certificati di autenticazione)
  3. Client OpenVPN per Windows, scaricabile da qui:
OpenVPN Windows (2701 download )

1. INDIRIZZO IP PUBBLICO E STATICO

E’ consigliabile sfruttare un dominio di terzo livello (del tipo office.nomeazienda.it) che punta direttamente all’indirizzo ip. E’ da tenere a mente come uffici aventi connettività Fastweb debbano attivare l’opzione aggiuntiva IP pubblico statico nel contratto, opzione invece prevista di default per altri operatori come Telecom.

2. ACCESSO AL GATEWAY PER IL REPERIMENTO DEI CERTIFICATI

Ogni connessione OpenVPN ha bisogno, come è immaginabile, di certificati di autenticazione dell’utente. Questi sono di norma 4 file aventi questa struttura (assumendo come nome utente in questo caso “mattia“):

  • ca-cert.pem
  • client-mattia-cert.pem
  • client-mattia-key.pem
  • office.nomeazienda.it

Contattare l’amministratore di sistema nel caso uno di questi file sia mancante.

3. INSTALLAZIONE E CONFIGURAZIONE DEL CLIENT

L’installazione è pratica è immediata. E’ consigliato eseguire il setup come amministratore su Pc dotati di Windows Vista / 7.

Cliccare sempre su Next, e accettare l’installazione del driver TAP:

TAP driver

TAP driver

A installazione ultimata NON eseguire il programma poichè è necessario l’ultimo passo della configurazione: navigate fino alla cartella C:\Program Files (x86)\OpenVPN\config e qui dentro copiate i 4 files precedentemente ottenuti.

A questo punto è possibile aprire il programma Open VPN GUI presente nel menu, ricordandosi di eseguirlo in modalità amministratore se siete su Windows 7 / Vista. Il programma si andrà a posizionare nella barra delle applicazioni, con i computer colorati di rosso (nessuna connessione attiva). Premere con il tasto destro e cliccare su Connect per avviare la procedura.

Nella prima schermata vi verranno richiesti i dati di accesso al gateway che vi ha fornito il vostro amministratore di rete:

OpenVPN Gui per Windows (1)

OpenVPN Gui per Windows (1)

Dopo pochi secondi se la procedura va a buon fine vi verrà comunicata l’effettiva connessione al vostro gateway ed i computer dell’icona del programma si colorerà di verde. E’ importante eseguire il programma come amministratore altrimenti, nonostante l’eventuale connessione, non funzionerà l’accesso reale ai computer della vostra VPN.

4. UTILIZZO DELLA RETE

A questo punto potete accedere ai server e computer della vostra rete aziendale come se foste in ufficio.

Per collegarvi ad esempio al vostro file-server avente come nome di macchina Server01, andate in Start – Esegui e digitate \\Server01 . Dopo un pò di tempo apparirà la finestra di richiesta credenziali che saranno le stesse di quelle del vostro profilo per poter accedere ai files stessi ed il gioco è fatto.  ps: non è necessario associare il dominio della vostra macchina a quello aziendale.

Termina qui questa rapida disanima sull’utilizzo dell’OpenVPN con client Windows.

Per poter sfruttare OpenVPN su client Mac OSX potete fare riferimento a questa guida scritta sempre dal Dott. Ing. Jr. Andrea Pascucci.

 

Navigare in cartelle FTP senza installare software

Spesso, soprattutto se si gestiscono diversi siti web e si ha la necessità  di caricare files esterni, ci si imbatte nella necessità  di navigare nelle cartelle tramite il protocollo FTP .

Tuttavia non sempre è possibile utilizzare un client FTP dedicato (come SMARTFtp su Windows o Cyberduck su Mac OSX) perchè non si ha la possibilità  di installare software su altre macchine, per la presenza di Firewall oppure, fenomeno un pò più raro ma abbastanza fastidioso, alcuni nomi di files sono tali da non essere riconosciuti dal sistema operativo del client (come nel caso di nomi di files con vocali accentate non riconosciute da Mac OSX).

Si può ovviare a questo problema utilizzando il servizio gratuito offerto dal sito www.net2ftp.com .

E’ sufficiente infatti inserire i propri dati di accesso come indicato nell’esempio di seguito:

Istantanea pannello net2ftp

Istantanea pannello net2ftp

Una volta abilitati si entrerà  nelle cartelle desiderate e si potranno eseguire le operazioni più varie, tra cui:

  • Creazione, copia, spostamento, cancellazione, download, rinominazione, ricerca, assegnazione dei permessi di singoli files o cartelle
  • upload di files tramite plugin flash o javascript, installazione di software di terze parti (se permesso dal webserver)
  • comandi personalizzati FTP direttamente al server

Strumento molto utile e già  testato 🙂

Configurare in sicurezza una rete wireless domestica

Esistono guide diverse, migliori e più specifiche riguardo questo argomento. Per una trattazione più dettagliata e approfondita riguardo al mondo delle reti rimando a questa pagina contenente link a utili manuali e tutorial. In questa piccola guida ho voluto pubblicare dei consigli semplici e utili per installare in casa propria una comoda rete senza fili che permetta la condivisione e la connessione ad internet di diversi PC e portatili. Tutto ciò si basa sulla mia diretta esperienza nella configurazione di una rete qui a Roma per l’accesso ad internet del mio portatile e di quello dei miei coinquilini. A causa delle dimensioni della casa, della disposizione logistica delle camere e ai problemi con il cavo del telefono ho optato per una soluzione wireless che ha evitato l’utilizzo di cavi di rete che intralciavano il passaggio permettendo al PC fisso e ai due portatili di avere esclusivo e costante accesso alla rete ADSL. Ho acquistato in tal caso un router / firewall / switch 4 porte / access point / modem adsl 3Com 3crwdr100a-72 che sarà  oggetto della guida (tuttavia i principi d’uso di questi dispositivi sono comuni a moltissimi modelli). Tralascio la configurazione del firewall e dell’adsl ed enuncerò consigli utili per la sicurezza della rete Wi-Fi.

Una volta acceso il router e collegato il cavo di rete (o anche via wireless) accedete con il browser alla pagina di amministrazione (ormai praticamente tutti sono configurabili tramite interfaccia web) indicata dal produttore (nel nostro caso http://192.168.1.1/). Il primo passo da compiere è cambiare la password di amministrazione del router; di solito la password di default è “admin”. Nei “tools” del router avrete qualcosa come “Admin Password”; impostatene una sufficientemente lunga (almeno 9 caratteri) che contenga minuscole, maiuscole e numeri.
Ora passiamo al wireless:

  • Cambiate lo SSID di default: lo SSID è il “nome” della rete wireless. Cambiatela (ovviamente senza inserire nomi che vi possano “identificare”) per evitare che si conosca il produttore del router
  • Disabilitate lo SSID broadcasting, ovvero dei segnali mandati periodicamente dal router [visualizza screenshot SSID]
  • Abilitate la cifratura WEP a 128 bit: opzione molto importante, la più utile per bloccare la maggior parte dei tentativi di intrusione. Impostate una chiave esadecimale o ASCII da inserire quando viene richiesta la connessione alla rete. Esistono dei generatori di stringhe esadecimali a partire da frasi (come il mio router appunto) e altri che permettono la rotazione delle chiavi wep periodica per garantire un’ulteriore sicurezza [visualizza screenshot WEP]
  • Filtrate gli indirizzi MAC: ogni scheda di rete ha un proprio indirizzo MAC esadecimale (in teoria univoco). E’ possibile quindi fare in modo che solo alcune schede di rete (e quindi solo alcuni computer) possano connettersi. Nel router 3Com il filtraggio MAC è nella categoria “Firewall” – “MAC Address filtering”; una volta copiate le stringhe MAC (direttamente visualizzabili dal router o dalle proprietà  di connessione del singolo dispositivo) si devono attivare le “Access rule for registered MAC address” [visualizza screenshot MAC]
  • Disabilitate il DHCP: il DHCP è un sistema di assegnazione degli indirizzi IP agli utenti in rete. Disabilitatelo e impostate nella vostra scheda di rete un indirizzo manuale, utile ad esempio se dovete aprire delle porte per alcune applicazioni
  • Evitate di uscire troppo fuori dalla vostra proprietà  con il segnale: sistemate l’access point in modo tale da evitare che il segnale esca troppo fuori dal vostro appartamento / edificio, ricordandovi che le onde si propagano sia in altezza che in larghezza. Per controllare la potenza della vostra connessione, la presenza di altre reti in zona e le informazioni sugli access point rilevati esiste un software per Windows, Netstumbler 0.4, che capterà  i dati “sniffandoli” dalla vostra scheda wireless (se riconosciuta)
  • Aggiornate periodicamente il firmware del router

Una volta apportate tutte le configurazioni è buona norma salvare un backup delle impostazioni del router.
Con Windows agli inizi avevo riscontrato delle noie con la connessione wireless che periodicamente cadeva a causa probabilmente della presenza di altre reti intorno; ho risolto togliendo la spunta a Usa windows per configurare le impostazioni della rete senza fili in Proprietà  di connessione > Reti senza fili appena accedeva alla rete e rimettendola quando mi dovevo collegare. Una soluzione un pò artigianale ma effiace.

Ovviamente una rete non è mai totalmente sicura. Questi accorgimenti servono per fornire una certa tranquillità  nell’uso di una rete domestica; con un firewall installato sul vostro PC / portatile e con quello integrato nel router la vostra connessione non dovrebbe farvi preoccupare.
Thanks to fivendra

Scaricare/caricare files da/in un PC connesso a internet

1. INTRODUZIONE
Molto spesso si ha la necessità  di reperire dei files presenti sul proprio PC di casa, ad esempio quando si viaggia, si lavora o si studia fuori. Per fare questo esiste una tecnica molto utile se il proprio PC dispone di una connessione internet discreta (ISDN, ADSL o superiori), ovvero installare un server ftp. Esistono diverse applicazioni che svolgono questa funzione per tutti i sistemi operativi. In questa guida verrà  mostrata l’installazione del server ftp di Microsoft, IIS, per Windows 2000 e XP.
2. INSTALLAZIONE E CONFIGURAZIONE
Innanzitutto si deve disporre del cd di Windows 2000 o XP Professional. Se sul proprio sistema è presente XP Home consultare questaguida.
Andate in Start > Pannello di Controllo > Installazione Applicazioni > Installazione componenti di Windows. Selezionate Internet Information Services e cliccate su “Dettagli…“. Disabilitate Personal Web Manager, Servizio smtp, World Wide Web Server e selezionate invece Server FTP (File Transfer Protocol). Cliccate su “Ok” e poi su “Avanti“. Inserite il CD di Windows per l’installazione dei componenti.
CONFIGURAZIONE: Andate in Start > Pannello di Controllo > Strumenti di Amministrazione > Gestione Computer. Espandete Servizi e applicazioni, selezionate Internet Information Services. A destra selezionate il servizio ftp (in esecuzione di default sulla porta 21; potete cambiarlo ad ex in 14147 se ci sono problemi di firewall). Cliccate con il tasto destro, poi su Proprietà . Nella casella “Sito ftp” impostate:
Descrizione: il nome che identifica il servizio ftp;
(Connessioni) Limitate a: numero massimo di connessioni al vostro server;
Nella casella “Account di protezione” disabilitate Consenti connessioni anonime e cliccate su “Si” nella finestra che si aprirà .
Nella casella “Messaggi” impostate:
Alla connessione: messaggio visualizzato alla connessione al server
Alla disconnessione: messaggio visualizzato dopo la disconnessione;
Al raggiungimento del numero massimo di connessioni: messaggio visualizzato quando è superato il limite precedentemente impostato;
Nella casella “Home directory” per “Percorso locale” scegliete la cartella alla quale volete accedere da remoto cliccando su “Sfoglia …“. Quindi – se siete sicuri di essere gli unici ad avere accesso – spuntate le caselle Accesso in lettura, Accesso in scrittura, Registra visite. Infine cliccate su “Applica” e poi su “Ok“.
3. TEST
A questo punto avete configurato il vostro server ftp che non è altro che un servizio che si attiverà  all’avvio del pc. Per effettuare un test con un client ftp collegatevi all’indirizzo 127.0.0.1, porta 21 (o quella prima specificato), nome utente e password quelli dell’utente in corso ed effettuate delle prove.

Questa guida è molto utile se applicata insieme a quest’altra. Potete – in questo modo – avere controllo totale sul vostro PC da qualsiasi posizione sulla Terra; ho personalmente testato le due guide con il mio portatile dalla facoltà  .

Entrare in un PC connesso ad internet

Può essere molto utile avere accesso al proprio PC da un’altra macchina, ad esempio nel caso ci si sposti per lavoro o per studio e si ha la necessità  di visionare e controllare il proprio computer in remoto; tutto ciò è possibile utilizzando strumenti semplici e gratuiti (oltre alla connessione internet ovviamente 😉 ).
Questa guida è stata testata con un PC (Windows 2000) che funzionava da server e un portatile (Windows Xp) come client.

1. STRUMENTI NECESSARI (aggiornati al 24 luglio 2005)
Per poter comandare un computer remoto da un altro terminale si deve utilizzare un software che permetta di fare da “ponte” tra i due PC e quindi fare in modo che chi si vuole connettere possa accedere e gestire il PC che “riceve” la connessione. Il software che verrà  utilizzato in questa guida è RealVNC (gratuito e open-source):
VNC: 4.1.1 (708 kb – Windows)Pagina ufficiale download (multipiattaforma)
Inoltre è necessario un servizio che ci permetta di conoscere l’indirizzo IP del PC remoto. Ci sono tanti modi per ottenerlo (richiedendo spesso, però, il contatto con un altro utente ad ex. nei software di chat), ma in questa guida parlerò di uno strumento che ci permetterà  di ottenere automaticamente l’IP della macchina ad ogni avvio e connessione. Il suo nome è No-IP.com. E’ un sito web che mette a disposizione la possibilità  di poter raggiungere una qualasiasi macchina con un indirizzo unico semplicemente indicando il proprio IP ogni volta che questo cambia. Al posto di questo numero variabile (per ora considero IP dinamici,ovvero quelli che variano) è possibile raggiungere un PC qualsiasi con un indirizzo del tipo “http://nomechevuoi.no-ip.info/” (questo indirizzo infatti punterà  automaticamente a quello IP specificato).
Per poter usufruire di questo servizio è necessario ovviamente registrarsi. Andate alla pagina http://www.no-ip.com/newUser.php e riempite i campi (quelli in grassetto sono obbligatori). Fate attenzione a mettere una email corretta, accettate il contratto e cliccate su “Sign up now!” (vi ricordo che la registrazione ed il servizio sono gratuiti).
Un messaggio di conferma (“Account created”) vi avviserà  che all’indirizzo email specificato vi verrà  mandato un messaggio contenente un indirizzo web che servirà  per confermare l’iscrizione. Controllate quindi la vostra casella e notate la presenza del messaggio di “No-IP Registration” con oggetto “No-IP Activation”. Cliccate sul link indicato (uno del tipo “http://www.no-ip.com/activate?lid=d12a12etc…”).
A questo punto per controllare se la registrazione ha avuto effetto fate login con la vostra email e password specificati; scaricate ora questo programma:
No-IP DUC: 2.2.1 (668 kb – Windows)Pagina ufficiale download (multipiattaforma)

2. INSTALLAZIONE SOFTWARE E CONFIGURAZIONE SERVIZIO
Installate RealVNC su entrambi i computer (sia quello al quale volete connettervi, sia su quello dal quale volete effettuare la connessione) eseguendo il file scaricato vnc-4_1_1-x86_win32. Accettate il contratto e selezionate la “Full installation”. Deselezionate le caselle “Register and configure VNC Server for Service-Mode” e “Start the VNC Server in Service-Mode” e terminate l’installazione.

Installate ora No-IP DUC aprendo il file ducsetup.exe. Cliccate sempre su “Next” e poi su “Finish”. Si aprirà  il programma (che potete raggiungere comunque andando su Start > Programmi > No-IP > No-IP DUC); selezionate subito la casella “Do not display splash screen” per evitare che appaia quella finestra ad ogni avvio del programma. A questo punto vi verranno chiesti i dati di login (ovvero l’email e la password che avete usato per la registrazione). Apparirà  una nuova finestra; dovete ora aggiungere un nuovo host (come indicato dalla scritta “No hosts found on server, change to a different account, or click here to sign in to No-IP and create hosts.“), ovvero un nuovo “indirizzo” che verrà  utilizzato per riconoscere in maniera univoca la vostra macchina (come specificato prima, ad esempio “nomechevuoi.no-ip.info”). Per fare questo cliccate su “here” come indicato dalla scritta per aprire una nuova pagina web. Cliccate sul pulsante “ADD A HOST“. Scegliete ora il vostro hostname (in questa guida utilizzerò l’hostname campolese) e il tipo di suffisso (avete un’ampia scelta, potete lasciare anche il predefinito “no-ip.info“). Lasciate come Host type il predefinito “DNS Host (A)” e in basso cliccate su “Create host“. Se non ci sono problemi apparirà  un messaggio di conferma del tipo “The host campolese.no-ip.info resolving to xx.xx.xxx.xx has successfuly been added to our system. New additions will take up to 5 minutes to become live on our DNS servers.“.
Ora tornate alla finestra del programma No-IP DUC e nel messaggio “Once you have finished editing your hosts, click here to refresh the above list.” cliccate su here. Verrà  aggiornata la finestra con il nuovo host appena aggiunto. Affianco al nome c’è un’emoticon e una casella che dovete selezionare per permettere al programma di aggiornare sempre l’host. Cliccando sulla “x” piccola la finestra si nasconderà  nella barra di applicazioni sottoforma di un’icona a forma di IP con un divieto sopra.

Adesso configuriamo RealVNC. Sempre nel computer da predisporre per la ricezione delle connessioni (server) andate in Start > Programmi > RealVNC > VNC Server (User-Mode) > Run VNC Server per eseguire il modulo di VNC che si andrà  a posizionare nella barra delle applicazioni. Cliccate quindi con il tasto destro sull’icona (sfondo bianco con la scritta “VNC”) e poi su “Options …“. Nella scheda “Authentication” selezionate “VNC Password Authentication” e cliccate su “Configure“. Impostate quindi una password che verrà  richiesta a chiunque tenti di connettersi al pc tramite VNC (ad ex: mattia). Cliccate su “Ok” e poi ancora su “Ok” per chiudere la finestra delle opzioni.
Per far avviare questi due software ad ogni accensione del PC, è necessario crearne i collegamenti nella cartella “Esecuzione automatica”. Andate in Start > Programmi > Esecuzione automatica, cliccate con il tasto destro e quindi selezionate “Esplora“. Tornate su Start > Programmi > RealVNC > VNC Server (User-Mode) e anche qui cliccate con il tasto destro e poi su “Esplora“. Stessa operazione da effettuare andando su Start > Programmi > No-IP. Copiate quindi i collegamenti “Run VNC Server” e “No-IP DUC” nella cartella precedentemente aperta di “Esecuzione automatica”.

3. CONNESSIONE AL PC (SERVER)
Ora è tutto pronto per potersi connetter al PC in remoto. Nel computer dal quale tenterete la connessione (client) andate in Start > Programmi > RealVNC > VNC Viewer 4 > Run VNC Viewer. Si aprirà  una piccola finestra nella quale vi verrà  richiesto l’indirizzo IP del server. A questo punto aprite il vostro browser alla pagina http://www.no-ip.com/login/, effettuate nuovamente il login e nella sezione a sinistra “Hosts / Redirects” cliccate su “Manage”. Apparirà  una nuova pagina con una tabella contenete il nome dell’host (ex: campolese.no-ip.info) e l’indirizzo IP al quale fa riferimento (ex: 82.49.xxx.xx). Copiate questo numero e incollatelo nella casella del VNC Viewer. Cliccate ora su “OK”, aspettate qualche secondo e apparirà  una nuova finestra nella quale vi verrà  richiesto di inserire la password che avevate specificato precedentemente nelle proprietà  del server (ad ex: mattia). Cliccate su “OK” e finalmente potete visualizzare e controllare – tramite mouse e tastiera – il PC in remoto come se non vi foste spostati da casa o dall’ufficio ;-).

4. NOTE E CONCLUSIONI

  • Ovviamente è importante effettuare queste operazioni con connessioni a banda larga, tuttavia è possibile far funzionare il tutto anche con un 56k (anche se ovviamente ci saranno numerosi rallentamenti)
  • Questo sistema non funziona nel caso di connessioni dietro ad un proxy oppure con provider come FastWEB che non permettono di avere un indirizzo IP pubblico. Anche se il test è stato effettuato su due sistemi Windows, entrambi i software sono multipiattaforma e quindi permettono le stesse operazioni
  • La copia dei collegamenti nella cartella di Esecuzione automatica è un’operazione che deve essere effettuata per ogni utente, loggandosi con il relativo username e password, mentre l’installazione dei software ovviamente è un’operazione che può compiere solo l’amministratore del sistema. L’installazione del VNC e del No-IP DUC come servizio di sistema può creare – infatti – diversi problemi
  • L’utilizzo di un host al posto del variabile indirizzo IP è molto comodo anche per metter su la propria radio on-line, come descritto nella guida precedente
  • Per i più esperti: installando un server web come Apache è possibile creare una pagina PHP con il seguente contenuto per conoscere in maniera veloce l’indirizzo IP della macchina (utilizzando il dominio di No-IP, ad esempio http://campolese.no-ip.info/ip.php), tuttavia questo sistema spesso può dare qualche problema: 
    <?
$ip =$_SERVER['REMOTE_ADDR'];
echo "L'indirizzo IP del server è<strong>".$ip."</strong>.";
?>