La connessione remota alla propria azienda viene normalmente effettuata anche tramite VPN SSL, protocollo largamente usato in molte realtà.
Può capitare, soprattutto agli amministratori di rete, di doversi connettere alla rete aziendale per risolvere un problema improvviso o per effettuare una qualche modifica. Senza il fido portatile a portata di mano con i tool necessari, la cosa risulta decisamente complicata.
VPN SSL
Per poter accedere alla rete aziendale in remoto da qualsiasi computer sfruttando unicamente il browser, si può utilizzare una soluzione VPN SSL che non richiede nessun software aggiuntivo (clientless).
Il mercato offre varie soluzioni che rispondono alle varie esigenze ma il fattore costo a volte può non facilitare il compito. Dando un’occhiata al mondo open-source, spicca un prodotto chiamato Adito (ribattezzato OpenVPN ALS) che risponde perfettamente all’esigenza di connettersi in remoto e in modo sicuro all’azienda tramite browser per effettuare i lavori di amministrazione della rete.
Prerequisiti
L’installazione di questa applicazione ha come requisiti due package specifici:
- JRE
- ANT
Il comando yum viene in soccorso per questa fase e permette di installare questi package con tutte le necessarie dependencies.
# yum install jre
# yum install ant
Installazione
L’installazione consiste nell’effettuare innanzitutto il download dell’ultima versione di Adito (attualmente la 0.9.1) tramite il comando wget.
# wget http://sourceforge.net/projects/openvpn-als/files/adito/adito-0.9.1/adito-0.9.1-bin.tar.gz/download
Una volta terminato il download, scompattare il file con il comando tar.
# tar –zxvf adito-0.9.1-bin.tar.gz
Per eseguire l’installazione, viene utilizzato il comando ant dalla directory di Adito creata durante la scompattazione.
# cd adito-0.9.1
# ant install
La procedura di installazione richiede a questo punto l’apertura del browser di Internet e digitare l’indirizzo http://IP_Address:28080 per configurare Adito.
La prima fase consiste nella definizione del certificato da utilizzare.
Seguendo passo passo quanto richiesto dalle varie schermate, il tutto richiede la definizione di 6 impostazioni:
- Step 1 - Configure Certificate
- Step 1 - Set Keystore Passphrase
- Step 1 - Create New Certificate
- Step 2 - Configure User Database
- Step 3 - Configure Super User
- Step 4 - Configure Web Server
- Step 5 - Configure Proxies
- Step 6 - Summary
Specificati i parametri richiesti, cliccare su Finish per terminare.
Il programma viene installato nel sistema con i parametri impostati.
Terminata l’installazione, la finestra di riepilogo riassume i parametri impostati.
Cliccando su Exit Install termina l’operazione da browser. La finestra visualizzata rimanda alla procedura di installazione dalla console SSH.
Dalla sessione SSH, l’installazione viene conclusa con il messaggio di conferma BUILD SUCCESSFULL.
Dalla console avviare l’applicazione tramite il comando ant.
# ant start
Dal browser digitando l’indirizzo IP del sistema configurato è ora possibile accedere all’interfaccia grafica del programma.
Per installare Adito come servizio Linux in modo da attivarlo automaticamente ad ogni riavvio del sistema, digitare il comando:
# ant install-service
Accesso al sistema
Per poter accedere al sistema Adito è necessario configurare il firewall in modo da permettere la connessione remota dall’esterno. In caso di problemi di connessione, verificare che il firewall abbia la porta https e il NAT impostati correttamente.
Per accedere al sistema digitare da browser l’indirizzo https://IP_address_Adito. Viene visualizzata la schermata di login.
Effettuato il login come super user, si accede alla lista delle applicazioni disponibili e alla configurazione globale del sistema. Poichè Adito è un’applicazione Java, il browser da cui si opera necessita la presenza dell’add-on Java.
Per effettuare una connessione VPN SSL per amministrare la rete, ad esempio, effettuare il login come user definito nella fase di configurazione e lanciare il tool desiderato. Il sistema esegue il comando avviando l’agent di Adito.
Con Adito siamo quindi in grado di accedere alla rete aziendale da qualsiasi PC senza la necessità di installare software aggiuntivo semplicemente sfruttando il browser. Per rafforzare la sicurezza del sistema è consigliato l’utilizzo di un certificato rilasciato da una CA ufficiale.
Scusa, ma non ho capito una cosa.
Adito viene installato su un server con doppia scheda di rete (ip pubblico e ip privato). Avviata l'applicazione, è possibile connettermi in ssh dall'estero ad un server dentro la rete privata, usando l'IP del server dentro la rete privata?
Attenzione a non confondere una connessione VPN classica (IPsec, OpenVPN, etc.) con una connessione VPN SSL. Una VPN SSL ti permette la connessione da un qualsiasi browser di Internet e da un qualsiasi computer senza dover installare del software (clientless!).
Per connetterti dall'esterno ad un tuo server interno con Adito procedi così:
- tramite browser, ti connettersi all'IP pubblico assegnato ad Adito
- effettuare l'autenticazione
- lanciare il client SSH (putty) configurato per connettersi in SSH al server della LAN
Altrimenti usi una classica connessione VPN e, una volta aperto il tunnel, lanci dal tuo PC putty per connetterti in SSH al server della LAN.
Ciao.
Ho installato adito in un PC Ubuntu. Ho configurato con successo un tunnel SSL con type "local" ma vorrei sapere qual'è la differenza tra il type "local" e "remote" e magari un esempio di applicazione del type "remote".
Una curiosità: è possibile configurare OpenVPN per stabilire un tunnel SSL? c'è documentazione in merito?
Grazie.
Buona serata.
Adito è un prodotto non più supportato ma che può essere rimpiazzato con soluzioni tipo OpenVPN Access Server che ha un buona documentazione. Prova a dare un'occhiata magari può essere la soluzione alla tua esigenza.
Si è possibile configurare OpenVPN in SSL. Trovi la documentazione sul sito ufficiale http://openvpn.net.