Dopo milioni di richieste, finalmente anche da noi è stata attivata una VPN, basata su standard OpenVPN. So a che cosa serve una VPN, ma non ne ho mai usata una. Mi chiedevo come fare ad accederci: so che ci sono dei client come Tunnelblick (che è quello consigliato per Mac dai nostri IT guru), ma mi chiedevo anche se tutti i client sono equivalenti (nel senso che cambia l'interfaccia e gli ammenicoli, ma sono compatibli l'uno con l'altro) e se non ci sia un client già precotto in MacOS X (Leopard). Sono domande da niubbo, ma in effetti lo sono.
Grazie!

Che io sappia non c'è nessun client già incluso in Leopard.
Tempo fa ho usato Tunnelblick come client. Si tratta di un semplice frontend grafico per editare il file di configurazione e per lanciare ed arrestare l'eseguibile standard (che è contenuto dentro all'application package). Inoltre contiene anche i driver per le interfacce di rete virtuali necessarie.
L'alternativa è installare il pacchetto da fink o compilarlo in proprio, ma ottieni esattamente lo stesso eseguibile distributo assieme a Tunnelblick, e non so se i driver di rete virtuali sono forniti, quindi, per quanto mi riguarda, la prima scelta è proprio Tunnelblick.

Comunque, la compatibilità tra client diversi è assicurata dal protocollo "quasi" standard (mi pare che è un proposed). La porta utilizzata dal server è stata anche codificata dallo IANA ed è la 1194 (come si può vedere dal file /etc/services).

Per il resto è esattamente come su Linux e Windows: tutto risiede sul file di configurazione e puoi fare tranquillamente riferimento all'howto ufficiale (http://openvpn.net/index.php/documentation/howto.html) che ti consiglio caldamente di leggere .

È probabile che il tuo amministratore ti fornirà un file di configurazione già pronto, assieme a tutte le chiavi crittografiche necessarie, che dovrebbero essere:
1. chiave pubblica dell'autorità di certificazione (chi ha "fabbricato" tutte le altre chiavi, ossia il tuo amministratore);
2. chiavi privata e pubblica specifiche del tuo client.

Vedrai che, una volta entrato nel sistema, ti sembrerà tutto molto razionale!
Ciao, Alessandro

Grazie mille per le dettagliate informazioni! Sì, l'amministratore fornisce il file di configurazione. E mi vado senz'altro a leggere subito il link che mi hai fornito. Grazie ancora!

Confermo che le informazioni che mi hai dato e il link sono stati utili: Tunnelblick funziona bene per i miei scopi, ho solo dovuto modificare il file di configurazione del client perché quello che mi era stato dato era per Linux e prevedeva che gli script up e down fossero in /etc/openvpn mentre invece su Mac devono risiedere in $HOME/Library/openvpn. Fatta questa piccola modifica, che ho segnalato al nostro responsabile IT (è bello fare da cavia per tutte le cose "nuove" ), tutto funziona alla perfezione (persino zeroconf funziona tramite VPN!). Per qualche motivo, se esco dalla VPN l'unico modo che ho per rientrarci è mettere il Mac in sleep e risvegliarlo, ma non è un grosso problema.

Grazie ancora!

Arrivo in ritardissimo ma vedo che fortunatamente Marco ha risolto tutto con la perfetta spiegazione di gpz500. Anche io uso Tunnelblick e confermo che la versione "Fink" non aveva i driver.

Non ho mai provato, ma il client VPN che è di serie in Mac OS X credo da sempre, non va bene?
Su Leopard si configura da Preferenze di Sistema > Network > tastino + > VPN > …

Ciao
Paolo

Devo provarla la connessione VPN di default, non l'avevo vista. Utilizzo anch'io OpenVPN..

Ho provato ad importare il file di certificato della VPN da System Preferences.... ma mi dice che non c'è alcun certificato valido.

Comunque domani mi faccio dare le credenziali dall'amministratore di sistema cosi' quando torno provo la connessione tramite la VPN di default e non Tunnelblick

ciao marco,
puoi provare il client di default di osx oppure anche almost VPN


saluti
fede

Io ho provato Hotspot Shield (gratis da AnchorFree) che usa la tecnologia VPN per poter accedere criptati a internet dagli hotspot o da altri punti di accesso pubblico. Torna utile per esempio quando si hanno alcuni port disabilitati dal provider. Funziona abbastanza bene, solo qualche piccola pubblicità ma neanche tanta.

Finalmente dopo mille vicissitudini con l'ADSL (non ancora del tutto risolte), sono riuscito a testare la connessione VPN di default di Mac OSX.

Si connette tranquillamente, quindi grazie per la dritta "poweruser". come sempre la soluzione piu' semplice è sempre la migliore.

L'unica cosa che non riesco a far funzionare è la VPN on demand. Inserisco l'url che dovrebbe attivare la connessione VPN automatica ma non parte. (se ho capito bene come funziona l'attivazione della VPN on demand)

Saluti

Scusate, scopro solo adesso che la mia domanda ha ricevuto parecchie risposte nei giorni in cui ero via, e quindi non me n'ero accorto. Non sapevo che esistesse un client di default, lo provo senz'altro.

Uhmmm… il client integrato pare non riuscire a collegarsi: dice di non trovare il server vpn. Tunnelblick lo trova benissimo e la connessione funziona, quindi c'è qualche cosa che non va nelle impostazioni o nel funzionamento del client integrato.
Tra l'altro il client integrato propone due possibili VPN, e io non ho idea di quale sia quella giusta (ma comunque non funziona con nessuna delle due.

Ci sono due tipi di VPN:

• PPTP e' usata prevalentemente da Windows server;
• IPsec e' lo standard (incluso anche nel protocollo IPv6), viene usato di default da OpenSWAN, Cisco, Apple..

Quasi tutti i software e gli apparati possono usare entrambi i tipi di VPN, anche se e' preferibile IPSec.

Puoi paragonare i tipi di VPN ai contenitori dei formati video (avi == PPTP, mov == IPSec), proprio come nei formati video cambia il tipo di codifica, qui cambia il tipo di crittografia utilizzata (in base alla configurazione dell'endpoint VPN).
Vi sono principalmente due algoritmi crittografici utilizzati:

• 3DES (Triple DES), utilizzata di default dalla maggior parte degli amministratori e dei software ancora oggi. Sarebbe meglio non usarlo del tutto, dato che e' insicuro.
  
• AES (Advanced Encryption Standard), lo standard in fatto di algoritmi di crittografia simmetrici, gia' nella versione a 128 bit risulta oggi molto sicuro. E' lo stesso algoritmo di crittografia utilizzato in SSL, SSH...

Messaggio modificato da atomik il 5 Aug 2008, 10:29

Capito. Grazie mille per la spiegazione!

... poi c'è OpenVPN, soluzione opensource validissima, ma che usa un protocollo proprietario non compatibile con PPTP né con IPSec. Per questo motivo il client preinstallato di Mac OS X non può sostituire TunnelBlick...

Hai ragione, non conoscevo il progetto OpenVPN, pensavo fosse una delle ennesime implementazioni degli standard gia' esistenti.

Questo progetto mi sembra piu' simile a una di quelle implementazioni degli standard che fa' Microsoft..

Riporto dal sito del progetto:



In pratica utiliza il protocollo ESP di IPSec, pero' al posto del protocollo IKE per lo scambio delle chiavi crittografiche viene utilizzato il sistema presente in SSL/TLS per l'autenticazione di sessione.

Mille volte meglio il protocollo IPSec standard, o quanto meno una sua modifica migliorativa e non peggiorativa.

Questo spiega anche perché non sono riuscito ad usare il client integrato di MacOS X sulla nostra VPN, che si basa per l'appunto su OpenVPN.

ciao,
per openVPN puoi provare anche Viscosity

oppure

Shimo

sorry per prima tra openSwan e openVPN mi ero perso.....

saluti
fede