Servizi > Calcolo e Reti > Informazioni > VPN

VPN

English instructions may be found here.

 

Sono disponibili diversi server per la connessione alla rete locale tramite VPN (Virtual Private Network). A seconda del server che si utilizza è possibile autenticarsi sia tramite le consuete credenziali LDAP locali (username & password usate per mail/cerbero) sia tramite certificato personale X.509, rilasciato da Sectigo/Harica. I server OpenVPN utilizzabili sono:

  • sansone.mib.infn.it
    • Autenticazione LDAP o X.509
  • seven.mib.infn.it
    • Solo autenticazione X.509
  • sette.mib.intn.it
    • Solo autenticazione LDAP

 

Attenzione: utilizzando sansone.mib.infn.it con credenziali LDAP è impossibile connettersi alla VPN da alcune reti (e.g. unimib, eduroam). Questa configurazione usa la porta non standard 1195/UDP, che su alcune reti è bloccata. Tutte le altre combinazioni possono invece essere utilizzate.

Di seguito sono scaricabili i file di configurazione .ovpn per ogni server VPN. Alcuni di essi richiedono piccole modifiche e/o la presenza di altri file per poter funzionare: tutte le configurazioni con autenticazione X.509 richiedono la presenza, nella stessa cartella del file di configurazione, del proprio certificato personale in formato pkcs12 (estensione .p12). Bisogna inoltre modificare il file .ovpn, alla riga "pkcs12 cert.p12", sostituendo il nome del proprio certificato a "cert.p12".

Queste modifiche non sono necessarie su Linux, in quanto il certificato  vanno inseriti manualmente durante la configurazione.

Qui i file di configurazione .ovpn:

 

Qui le istruzioni per utilizzare i file di configurazione su diversi sistemi operativi:

 

Configurazione alternativa (certificato CA separato)

I file .ovpn indicati in precedenza contengono il certificato intermedio della Certification Authority (CA, Harica) al loro interno, da cui il nome 'unified': a meno del certificato personale per le configurazioni X.509, non sono necessari altri file per far funzionare la connessione.
Di seguito sono disponibili dei file .ovpn che non contengono il certificato della CA ma che ne richiedono comunque la presenza in un file separato. Questi sono completamente equivalenti ai precedenti e non c'è motivo di configurare sia la versione unified che quella non-unified allo stesso tempo; le configurazioni non-unified sono solo più semplici da correggere nell'eventualità che l'INFN cambi Certification Authority in futuro.
 
Tutte le configurazioni seguenti richiedono la presenza del file Harica_intermediate.crt nella stessa cartella del file .ovpn . Come per il certificato personale, questo non è richiesto sulla configurazione Linux in quanto il certificato viene caricato manualmente durante la configurazione.
 

 

 

 

 

     last updated on: 27.03.2025, 09:46 by: Stefano Pozzi