In questo video vedremo come è possibile condividere la connessione road warrior VPN, realizzata tra il client OpeVPN e PfSense, con ICS di Windows.
É sufficiente che un solo computer della rete locale realizzi la connessione VPN, questo farà anche da router per tutta la rete locale.
Con il comando route print vedremo la tabella delle route per capire come vengono instradati i pacchetti e con il comando tracert vedremo il percorso compiuto dai pacchetti per raggiungere un determinato host.
Come creare l’Endpoint Client VPN di AWS
Creare i certificati con EasyRSA
In questo video vedremo come condividere la connessione VPN Road Warrior con ICS di Windows.
In questo modo potremmo mettere in VPN due reti private distanti tra di loro, anche se una delle due reti non ha un indirizzo IP pubblico.
La prova la farò con delle macchine virtuali di Hyper-V.
vai al minuto 0:00:24
Qui ho realizzato un diagramma della rete per capire meglio come funziona.
Le due reti private da collegare sono la rete 192.168.1.0/24, che chiamerò rete 1, e la rete 192.168.10.0/24, che chiamerò rete 10.
I computer per accedere a internet dovranno passare dalla rete 43 messa a disposizione dall’hotspot dello smartphone.
vai al minuto 0:00:51
Il PC0 rappresenta l’host su cui girano tutte le macchine virtuali ed ha un indirizzo IP finale di 101.
Su questa stessa macchina è stato installato il client OpenVPN che realizza il tunnel criptato della VPN.
Per la connessione VPN viene creata la rete virtuale 192.168.100.0/24, che chiamerò rete 100, con due interfacce di rete virtuali.
vai al minuto 0:01:16
Sul PC0 questa interfaccia di rete ha l’indirizzo finale 2, mentre sul firewall di PfSenese ha un indirizzo IP finale 1.
Il firewall di PfSense ha anche un interfaccia fisica nella rete 1 con l’indirizzo IP finale di 240 e una nella rete 10 con IP finale 254.
Il tunnel VPN, in questo caso, viene realizzato all’interno di una stessa rete, ma per il client OpenVPN non ha nessuna importanza.
vai al minuto 0:01:54
OpenVPN riesce a realizzare la connessione criptata indipendentemente dal numero di reti o router o NAT che deve attraversare, l’unica cosa che deve sapere è l’indirizzo IP pubblico di PfSense.
Nella descrizione troverete il video in cui realizzo una connessione vpn con l’endpoint di Amazon Web Services.
vai al minuto 0:02:13
Nella rete 10 abbiamo il PC2, con indirizzo IP finale 32, che ha condiviso una cartella in rete e tutti i PC della rete 1 devono poter utilizzare questa cartella condivisa.
Ora vediamo in pratica come funziona la condivisione della VPN con ICS di Windows.
vai al minuto 0:02:34
Qui vediamo la configurazione delle due schede di rete di PfSense, abbiamo la WAN nella rete 1 e la LAN nella rete 10 con il PC2.
Dall’interfaccia web di gestione di PfSense, possiamo vedere che il tunnel è stato configurato con la rete virtuale 100 e che la rete locale, che deve essere connessa, è la 10.
vai al minuto 0:02:56
Con il comando ipconfig possiamo vedere la configurazione dell’interfaccia del PC2.
Come abbiamo visto dal diagramma, ha il 32 finale e per comunicare con le reti esterne utilizzata il 254 finale come gateway, che è il firewall di PfSense.
In esplora risorse, possiamo vedere che nella cartella condivisa è presente un file di testo a cui dobbiamo accedere dalla rete 1.
vai al minuto 0:03:15
Dal percorso posso vedere che è una cartella locale.
Con il comando nslookup verifico se il computer riesce ad accedere a internet.
La richiesta viene risolta correttamente sia con l’indirizzo versione 6 che versione 4.
Ora vediamo la configurazione del PC0 nella rete 1.
vai al minuto 0:03:42
In basso a destro vediamo l’icona di OpenVPN di colore verde, questo significa che la connessione è attiva.
Ci viene mostrato anche l’indirizzo IP assegnato all’interfaccia vpn, che è quello che vi ho mostrato nel diagramma.
Nella finestra di esplora risorse sono riuscito ad aprire la cartella condivisa.
vai al minuto 0:03:59
Nel percorso di rete trovo proprio l’indirizzo di PC2 della rete 10.
Sempre con il comando ipconfig, possiamo verificare la configurazione delle interfacce di rete, fisiche e virtuali.
Nella finestra delle connessioni di rete possiamo vedere che abbiamo l’interfaccia virtuale della VPN.
vai al minuto 0:04:12
E l’interfaccia bridge di Hyper-V, che serve da ponte tra la scheda di rete delle macchine virtuali e l’interfaccia fisica di questa macchina, infatti, la sua configurazione viene copiata dalla scheda Ethernet Realtek.
Nella rete 1 questa scheda ha l’indirizzo finale 101 che viene utilizzato dagli altri PC della rete come gateway.
vai al minuto 0:04:30
La scheda di rete virtuale della VPN ha l’indirizzo 100.2 finale che gli è stato assegnato dal servizio DHCP di PfSense.
Se visualizziamo i dettagli della scheda possiamo anche vedere l’indirizzo del server DHCP che ha l’IP 100.254 finale.
Sull’interfaccia di OpenVPN è già stata abilitata la funzione ICS nella scheda Condivisione.
vai al minuto 0:05:05
Come scheda di rete occorre selezionare quella collegata alla LAN con cui vogliamo condividere la connessione, in questo caso quella connessa alla rete 1.
In questo modo il computer avrà la funzione di router per quei PC che nella impostazioni di rete useranno l’indirizzo 192.168.1.101 come gateway.
vai al minuto 0:05:25
Con il comando route print possiamo vedere quali sono le reti verso le quali questo PC può instradare il traffico.
Qui in fondo abbiamo il Gateway predefinito, che è il router che instrada il traffico verso internet.
Poi abbiamo una route per la rete LAN 10 remota che, per raggiungerla, invia il traffico al gateway 100.1 finale e utilizza l’interfaccia virtuale creata da OpenVPN.
vai al minuto 0:05:50
Per cui quando digitiamo l’indirizzo IP del PC2 192.168.10.32 in esplora risorse, il traffico viene fatto passare tramite il tunnel criptato con rete 100.
Ora vediamo come configurare i PC della rete LAN 1 per poter accedere alla cartella condivisa da PC2 tramite la VPN, ma senza installare il client OpenVPN.
vai al minuto 0:06:19
Qui siamo sul PC1 e per prima cosa diamo un occhiata allatabella di routing.
La prima cosa che notiamo è il gateway di default, non il router 192.168.1.1 ma è l’indirizzo del PC0 con l’indirizzo finale 101.
Nella tabella delle route non abbiamo nessuna informazione della rete remota 10 in cui abbiamo la cartella condivisa.
vai al minuto 0:06:40
Quindi tutto il traffico che non riguarda la rete locale viene inviato al PC0.
Se poi utilizziamo il comando tracert fino al PC2 possiamo vedere il percorso compiuto dai pacchetti.
I pacchetti vengono inviati al PC0 che conosce la route per la rete 10, per cui PC0 li inoltrati al gateway PfSense della rete VPN e poi PfSense li invia alla sua rete LAN in cui si trova il PC2.
vai al minuto 0:07:08
Come vedete sul PC1 non ho dovuto create una connessione VPN per raggiungere il PC2, ma ho utilizzato quella già esistente creata da PC0.
In esplora risorse posso accedere alla cartella condivisa, aprire il file e modificarlo.
Per ultimo vediamo ancora come abilitare la funzione ICS sulla scheda OpenVPN.
vai al minuto 0:07:29
Andiamo nelle proprietà.
Scheda Condivisione e abilitiamo l’opzione Consenti ad altri utenti in rete di collegarsi tramite la connessione internet di questo computer.
Scegliamo la scheda di rete connessa alla LAN.
OK.
Di default la scheda di rete viene impostata con l’indirizzo 192.168.137.1.
vai al minuto 0:07:55
Se però, non vi sta bene questo indirizzo potete anche cambiarlo.
Per non cambiare gli indirizzi agli altri PC che hanno una configurazione statica, rimetto la rete 192.168.1.0.
Inserite anche l’indirizzo del gateway e del sever DNS per poter avere anche la connessione a internet.
vai al minuto 0:08:16
Dal PC1 verifichiamo la connessione di rete.
Come vedete dal PC1 ho eseguito il comando tracert fino a PC2 e il comando tracert fino al sito di Google.
Con questo ho verificato che ho la connessione sia alla VPN che a internet.
