Quando ho fatto il passaggio della linea ADSL a Vodafone (Fibra FTTC 30/3) ho perso la VPN che mi permetteva di collegarmi da casa alle risorse in ufficio (prevalentemente il NAS QNAP TS-220) in modo semplice e sicuro, a causa del cambio Router: la Vodafone Station Revolution ha tantissime funzionalità interessanti, compresa la VPN, ma per motivi di tempo non ero riuscito a risolvere alcuni problemi di configurazione.
La VPN che avevo implementato in precedenza era ottenuta sfruttando le funzionalità integrate di due router TP-Link il TD-W8970 v1 in ufficio e il TD-W8960n v3 a casa. Questi integrano infatti fino a 10 canali VPN e una volta configurati correttamente permettono ad un PC di una rete di vedere il PC (o altre risorse) di un altra, come se fossero nella stessa rete locale, facendo viaggiare i dati in criptati attraverso internet.
Per far capire meglio cosa a cosa può servire una VPN faccio un paio di semplici esempi:
Siete a casa, dove avete il vostro PC personale; avete lasciato il PC (o il server Server, il NAS etc) dell'ufficio acceso. Per accedere alle risorse di quel PC normalmente utilizzate un Desktop remoto o Teamviewer etc. con un notevole consumo di banda (questi programmi devono trasmettere l'immagine dello schermo, gli spostamenti del mouse i click etc, con tempi di risposta spesso snervanti). Con una VPN potete accedere agli stessi file, aprendo ad esempio un documento di testo con il programma installato nel Vostro PC, vedendo l'eventuale rallentamento solo durante l'apertura e il salvataggio del file, più o meno lo stesso tempo che impiegheremo per inviare quel file come allegato ad una email.
Oppure, se avete installato il programma di contabilità sul computer di casa, con il database sul Server in ufficio, potreste lavorare come quando in ufficio collegate un client al server. Ovviamente la velocità sarà differente da una connessione locale, ma sarà sempre inferiore rispetto all'utilizzo di un Desktop remoto.
Vediamo i pre-requisiti
- Linea ADSL in Ufficio e Casa. Non è importante che siano entrambe in fibra, anche se è certamente la soluzione migliore, specie per la maggiore velocità di upload.
- Router con supporto VPN IPSec sia in Ufficio che a Casa.
- IP statico in Ufficio o a Casa o in alternativa per entrambi registrazione a un servizio DDNS (es. NO-IP.COM) riconosciuto dai router
Configurazione Router Ufficio (Vodafone Station Revolution)
Una volta entrati, con il browser, nella pagina di configurazione del router (in genere 192.168.1.1), cliccate su Avanzate e poi Altre impostazioni.
Se in ufficio non avete un IP statico, la prima cosa da configurare è il servzio DDNS, in modo da avere un host che corrisponderà al vostro IP ogni volta che spegnete e accendete il router. Quindi nella sezione Impostazioni DDNS Abilitate il servizio facendo diventare verde controllo On/Off, impostate il Provider (la Vodafone Station Revolution permette di scegliere fra ben 8 provider, tra cui NO-IP.COM), scrivedete l'Hostname (sarà qualcosa tipo hostufficio.no-ip.org) e inserite l'user e la password del vostro account con il servisio DDNS, quindi cliccate su Salva in fondo alla pagina. Se tutto è andato bene lo Stato DDNS conterrà indicherà Aggiornato.
Per verificare se il DDNS sta funzionando correttamente normalmente apro la finestra terminale o il Prompt dei comandi se sono su Windows (Tasto Start -> Esegui -> CMD e poi invio) e digito il seguente comando ping nomehost, ad esmepio:
ping hostufficio.no-ip.org
Se questo comando come risultato ho "Impossibile trovare l'host hostufficio.no-ip.org. Verificare che il nome sia corretto e riprovare." significa che NON sta funzionando. Se inveve ho un risultato tipo: "Esecuzione di Ping hostufficio.no-ip.org [nnn.nnn.nnn.nnn] con 32 byte di dati", Dove al posto di nnn.nnn.nnn.nnn ci sono dei numeri che corrispondono al vostro indirizzo IP, allora il DDNS è stato configurato correttamente (ignorate eventuali messaggi "Richiesta scaduta").
Ora tocca alla Configurazione VPN, che trovate poco più sotto nella stessa pagina del router Vodafone.
Scegliete come Tipologia VPN IpSec, impostate come indirizzo di destinazione l'IP statico della rete di casa (dove è collegato il router TP-Link) oppure il nome Host DDNS sempre della rete di casa (es. hostcasa.no-ip.org), l'indirizzo ip della rete remota (è inteso come indirizzo locale... quindi se il router TP-Link ha l'IP 192.168.2.1, si ora ha un IP differente lo vedremo dopo, dovete mettere 192.168.2.0) e la subner mask della rete remota (255.255.255.0). Infine va inserita la Shared Secret ovvero la chiave alfanumerica che permette di criptare i dati tra le due reti. Cliccate su Salva in fondo alla pagina.
Configurazione Router CASA (TP-LINK TD-W8970)
Come accennavo prima se il router è un altro modello della TP-Link o anche di una marca differente, non importa. L'importante è che supporti la creazione di VPN IPSec e che si riesca a riconoscere le varie voci anche se hanno nomi differenti.
La prima cosa da fare è impostare la nuova sottorete nel router, in modo che sia differente da quella del primo, ad esempio assegnando al router l'IP 192.168.2.1, prestando attenzione ad eventuali PC o periferiche (NAS, Stampanti etc) che dovessero avere l'IP impostato come statico (occorrerà modificarli manualmente assegnando anche a loro il nuovo IP). Questa modifica è necessaria perché le due reti devono appartenere a due sottoreti differenti (nel nostro caso 192.168.1.x la prima e 192.168.2.x la seconda).
Entriamo nel router TP-Link accedendo all'IP predefinito 192.168.1.1 e autentichiamoci. Sulla sinistra clicchiamo sul menu Network quindi su LAN Setting. La pagina che compare permette di modificare l'IP del router; scriviamo in IP Address: 192.168.2.1 e lasciamo invariati gli altri dati.
Noteremo che i parametri DHCP server si aggiornano automaticamente come spostaimo il focus su un'altra casella. Clicchiamo su Save. Il router richiederà il riavvio e in circa 2 minuti ci verrà riproposta la pagina. Accertiamoci in ogni caso che ci sia il nuovo IP indicato nella barra degli indirizzi, in caso contrario cambiamolo. Se ci sono altri computer collegati alla LAN o al WiFi, per poter navigare dovranno ottenere un nuovo IP dal router; se questo non avviene automaticamente basta riavviarli (o più semplicemente disattivare la loro connessione e riattivarla).
Se a casa non avete un IP statico, configuriamo il DDNS cliccando sulla relativa voce di menu più in basso: Dynamic DNS. Questo router, almeno nella versione v1, permette solo due provider: dyndns.org e no-ip.com. Scegliamo quello desiderato e impostiamo nella casella Domain name il nome del secondo host da noi creato (es. hostcasa.no-ip.com) e nella caselle User il nostro nome utente e nella casella Password la relativa password dell'account del servizio DDNS; quindi clicchiamo su Save.
Ora dobbiamo configurare la VPN, ritorniamo sul menu Network e clicchiamo quindi sulla voce IPSec VPN. Questa pagina contiene l'elenco delle VPN create (questo router ne può creare fino a 10). Se non c'è una VPN creata che volete modificare cliccate su Add New Connection, altimenti cliccate su Edit.
Assegnate un nome alla connessione VPN inserendolo nel campo IPSec Connection Name (es. Vodafone Office). Indicate quindi l'IP statico della rete dell'ufficio oppure inserite il nome dell'host nel campo Remote IPSec Gateway Address(URL) (es. hostufficio.no-ip.org).
Inseriamo quindi le impostazioni per la sezione locale:
Tunnel access from local IP addresses: Subnet
IP Address for VPN: 192.168.2.0
IP Subnetmask: 255.255.255.0
Quindi le impostazioni per la sezione remota:
Tunnel access from local IP addresses: Subnet
IP Address for VPN: 192.168.1.0
IP Subnetmask: 255.255.255.0
Lasciamo invariate le altre impostazioni tranne Pre-Shared Key dove inseriremo la stessa chiave usata nell'analoga impostazione del router Vodafone. Infine clicchiamo su Save/Apply e verremo riportati nella pagine precedente con l'elenco delle VPN create; Se lo status indica "UP" vuol dire che la VPN sta funzionando, altrimenti se è "Down" qualche cosa è andato storto e occorre ricontrollare i parametri.
Se tutto è OK possiamo fare una verifica, semplicemente pingando da terminale o Prompt dei comandi una periferica presente nell'altra rete oppure andando proprio ad aprire una cartella condivisa dell'altra rete.
Ricapitoliamo il tutto:
CFG Vodafone Station (ufficio):
Tipologia VPN: IPSec
Indirizzo Destinazione: ipstatico casa o hostcasa con ddns
Indirizzo rete remota: 192.168.2.0
Sub Net Mask rete remota: 255.255.255.0
Shared Secret: [password alfanumerica con massimo 30 caratteri]
CFG TP-Link (casa):
IPSec Connection Name:: Vodafone Office
Remote IPSec Gateway Address(URL): ipstatico ufficio o hostufficio con ddns
Tunnel access from local IP addresses: Subnet
IP Address for VPN: 192.168.2.0
IP Subnetmask: 255.255.255.0
Tunnel access from remote IP addresses: Subnet
IP Address for VPN: 192.168.1.0
IP Subnetmask: 255.255.255.0
Key Exchange Method: Auto (IKE)
Authentication Method: Preshared Key
Shared Secret: [stessa password usata prima]