La scorsa settimana ho avuta la necessità di collegarmi alla rete di un cliente per effettuare un intervento in telemanutenzione. Il firewall del cliente era un Fortigate e mi è stato creato un accesso per la VPN con tecnologia IPSEC. Fortigate fornisce un proprio client per il collegamento, disponibile anche in versione Linux, perfetto per me visto che sul mio PC utilizzo Linux Mint, solo che FortiClient, questo il nome del client, in versione Linux non supporta IPSEC.
Per cui mi sono dovuto "arrangiare" con gli strumenti forniti dalla comunità Linux, che ovviamente quando si parla di reti e VPN non lascia certo a desiderare.
Ma andiamo in ordine.
FortiClient su Linux non supporta IPSec
Inizialmente, seguendo le istruzioni fornite (si, a volte conviene leggerle!), ho scaricato FortiClient e l'ho installato sul mio PC Linux Mint. Una volta avviato mi aspettavo di trovare una schermata simile alla seguente.
E in effetti quello che mi sono trovato davanti era proprio questa finestra solo che il tasto "IPsec VPN" non c'era!
Dopo qualche ricerca ho scoperto che in effetti FortiClient per linux non supporta IPSec.
Quindi ho disinstallato tutto e son partito alla ricerca di un'alternativa.
VPN IPSec con vpnc
Ammetto che c'è voluto un po' ma alla fine ho scoperto che grazie a vpnc, un client per i concentratori di VPN di Cisco EasyVPN, è possibile connettersi anche alle VPN Fortinet.
Qui di seguito vi fornisco le istruzioni dettagliate per installare e configurare un VPN client su Linux Mint ma, mutato mutandis, la stessa configurazione può essere utilizzata su altre distro Linux.
Il primo passo da fare è installare e configurare vpnc e alcuni componenti aggiuntivi che ne consentono la configurazione attraverso l'interfaccia grafica. Basta aprire un terminale e digitare:
sudo apt-get install vpnc vpnc-scripts network-manager-vpnc network-manager-vpnc-gnome
Questo comando installa tutti i componenti necessari.
Al termine dell'installazione occorre aprire il connection manager, dalla barra delle applicazioni, e selezionare "Connessioni di rete".
Una volta nel pannello delle connessioni di rete, creare una nuova connessione con il bottone "+" e scegliere "VPN Compatibile con Cisco (vpnc)".
Se tra le opzioni non trovate "VPN Compatibile con Cisco (vpnc)" vuol dire che l'installazione dei componenti non è andata a buon fine e quindi ricontrollate il passo precedente.
Nella finestra successiva l'unica tab che ci interessa è quella che si chiama VPN. In questa tab vanno inseriti i valori di connessione alla VPN forniti da chi ha attivato l'account e alcuni valori fissi.
In particolare:
Nome della connessione: scegliete pure il nome che vi piace di più.
- Gateway: il nome host o l'IP pubblico dell'endpoint al quale bisogna connettersi (fornito nei dati di connessione)
- Nome utente: il nome utente fornito (fornito nei dati di connessione)
- Password: la password assegnata (fornito nei dati di connessione)
- Nome gruppo: 0 (deve essere zero sempre!)
- Password di gruppo: la shared password (o PSK) fornita (fornito nei dati di connessione)
Ecco un esempio di configurazione.
Poi occorre entrare nella configurazione avanzata cliccando sul bottone "Avanzate...", e qui vanno inseriti i seguenti parametri fissi:
- Nome interfaccia tunnel: myvpn-ike
- Metodo cifratura: Sicuro (predefinito)
- Attraversamento NAT: NAT-T quando disponibile (predefinito)
- Gruppo DH IKE: Gruppo DH 5
- Perfect forward secrecy: Gruppo DH 5
- Porta locale: 0
- Disabilitare riconoscimento peer morto: Impostato
Gli altri parametri non vanno inseriti o modificati.
A questo punto basta salvare la configurazione e la VPN è pronta per essere attivata.
Conclusioni
Ho utilizzato questa VPN in teleassistenza molte volte e ogni volta per diverse ore di seguito senza rilevare alcun problema.
Come al solito sul networking Linux da il meglio di se', e anche se a volte può sembrare un po' più complesso da configurare in realtà non è così: seguendo queste istruzioni è possibile configurare una VPN IPSec, notoriamente complessa, in pochi minuti, integrata nel gestore delle reti fornito dal sistema e senza nemmeno riavviare.
Dopo oltre 15 anni di utilizzo di Linux come unico sistema operativo sul mio PC, anche questa volta non posso che essere contento della mia scelta!