VPN della Sezione
Dal 2025 anche la VPN di Ateneo è realizzata con OpenVPN, ed è pressoché equivalente al servizio di VPN della sezione.
VPN di Ateneo
L’Ateneo ha il suo servizio di VPN, gestito dagli uffici centralizzati.
I nuovi utenti potrebbero non essere abilitati al servizio VPN; in tal caso l’abilitazione è da richiedere all’ufficio ICT di Polo.
Maggiori informazioni sono presenti alla pagina https://ref.uniupo.it/secure/.
VPN della Sezione
Il servizio alternativo descritto in questa pagina è riservato al personale dell’Istituto di Informatica, e viene attivato solo su richiesta.
Dal momento che il nuovo servizio di Ateneo è comunque realizzato con OpenVPN, questo servizio dell’Istituto verrà probabilmente disattivato nei prossimi mesi.
OpenVPN
Il servizio di VPN garantisce l’accesso remoto alla rete di Ateneo, e consente anche la navigazione verso l’esterno, come se ci si trovasse in Ateneo.
Come collegarsi
Per utilizzare la VPN occorre installare l’apposito programma sul proprio computer, più alcuni file necessari al suo funzionamento.
Vediamo ora in dettaglio cosa è necessario:
1) OpenVPN
L’installer per Windows della versione Open Source Community Edition è disponibile sul sito di OpenVPN. Dalla pagina dei download, selezionare il file opportuno. Al momento in cui aggiorniamo queste pagine, l’ultima versione è la 2.6.15, rilasciata a settembre 2025.
Per Mac OS X la versione consigliata è TunnelBlick.
Per CentOS/RedHat/Fedora il pacchetto openvpn può essere installato con il comando dnf, che ha sostituito yum (per CentOS/Red Hat serve anche aver abilitato il repository EPEL):
dnf install openvpn
Per Debian/Ubuntu si può utilizzare apt-get:
apt-get install openvpn
Per le altre distribuzioni probabilmente esistono pacchetti già pronti contenenti tutto il necessario; in ogni caso, i sorgenti del programma sono disponibili a questa pagina:
2) File di configurazione
Il file di configurazione deve essere salvato nella directory di configurazione di OpenVPN, ovvero /etc/openvpn/client/ sotto Linux, C:\Programmi\OpenVPN\config\ sotto Windows, e ~/Library/openvpn/ sotto Mac:
- versione windows e mac
- versione linux
Nota: le due configurazioni ormai differiscono solo nell’estensione nel nome del file; per il resto, sono identiche.
3) Login/Password
Per l’accesso viene utilizzato l’AvogadroID (la coppia login/password utilizzata per l’accesso ai laboratori).
Al momento è ancora necessario richiedere esplicitamente l’abilitazione del proprio utente, scrivendo a (help[at]di.unipmn.it).
Note sul funzionamento
Di seguito alcune note sul funzionamento della VPN.
La nostra configurazione è (più o meno) compatibile con un certo range di versioni di OpenVPN e di OpenSSL; ma con alcune versioni potrebbe esser necessario modificare leggermente la configurazione.
In questa pagina vengono elencati i vari casi e le relative modifiche.
4) Prima connessione
Per Windows e Mac l’interfaccia grafica consente di effettuare la connessione in modo semplice.
Chi utilizza la versione testuale sotto Linux, può collegarsi manualmente da terminale lanciando come utente root questo comando:
cd /etc/openvpn/client
openvpn --config fox6.conf
5) Warning relativo alla compressione
All’apertura della VPN, OpenVPN avvisa che:
WARNING: Compression for receiving enabled. Compression has been
used in the past to break encryption. Sent packets are not
compressed unless "allow-compression yes" is also set.
Per compatibilità con le versioni precedenti di OpenVPN, al momento la configurazione del server prevede ancora la compressione. Lato client le versioni nuove già adesso non comprimono i dati che inviano, come riportato nel messaggio.
6) Password in memoria
All’apertura della VPN, OpenVPN avvisa che:
WARNING: this configuration may cache passwords
in memory -- use the auth-nocache option to prevent this
Questo è comodo perché, in caso di comunicazione interrotta, consente a OpenVPN di ricollegarsi al server senza dover chiedere la password una seconda volta.
Se non si vuole mantenere la propria password in memoria, rinunciando però alla riconnessione automatica in caso di comunicazione interrotta, è possibile aggiungere la seguente opzione al file di configurazione:
auth-nocache
7) DNS
All’apertura del tunnel VPN, il server invia al client i parametri per utilizzare i server DNS dell’Ateneo, per mantenere la riservatezza dei nomi risolti quando la VPN è attiva.
Con Linux, può essere necessario modificare il file di configurazione della VPN per rendere effettivo l’utilizzo dei server DNS consigliati; le modifiche necessarie dipendono dalla configurazione della propria macchina (dalla distribuzione utilizzata, e dal software in uso per la configurazione della rete).
Sotto Linux OpenVPN avviserà che l’opzione utilizzata per forzare l’utilizzo dei soli DNS interni all’Ateneo è sconosciuta:
Options error: Unrecognized option or missing or extra parameter(s)
in [PUSH-OPTIONS]:4: block-outside-dns (2.4.7)
Con Windows, serve una versione recente di OpenVPN (2.3.9 o successiva), come riportato nel ticket Windows 10 DNS Leak.
Nota: la versione 2.4.2 risolve i rallentamenti della risoluzione dei nomi DNS introdotti con la versione 2.3.9. Sono entrambe versioni vecchie, e consigliamo l’utilizzo di versioni più recenti di OpenVPN.
8) Variazioni rispetto al passato
Da novembre 2024 abbiamo un nuovo certificato, che utilizza un algoritmo di hash più sicuro, e una nuova versione del file di configurazione. (Anche se la vecchia configurazione dovrebbe comunque essere in grado di collegarsi al server VPN.)
Da gennaio 2021 abbiamo due nodi in esecuzione su due macchine fisiche diverse. In caso di problemi a uno dei nodi, la nuova configurazione dovrebbe passare automaticamente all’altro nodo, dopo un timeout (piuttosto lungo, di qualche minuto).
Da marzo 2017 è necessario utilizzare una nuova configurazione, e un nuovo certificato, perché la vecchia CA è scaduta. Inoltre il server passerà al client anche le impostazioni del DNS, per risolvere i nomi tramite i DNS dell’Ateneo.
Da settembre 2016 non è più necessario utilizzare il proxy dell’università per navigare con il browser sui siti esterni; quando la VPN è attiva, tutto il traffico di rete viene girato sulla VPN.