VPN - difetti

VPN - difetti

I problemi più grossi sono stati comunque trovati con le funzioni VPN. Forse "difetti" è il termine più adatto, invece che "problemi" ma sarete voi a giudicare. Molti dei problemi difetti sono concentrati nell'applicazione QuickVPN, un client IPsec gratuito e scaricabile dal sito di Linksys, che può essere usato con l'RVAS4000, l'RVL2400 e tutti gli altri router Linksys dotati di IPsec. Bastano solo username e password, non è necessaria alcuna impostazione del protocollo. Quindi, si installa QuickVPN su una macchina Windows, si esegue l'applicativo, si introducono nome utente e password e si clicca sul bottone che effettua il collegamento.

QuickVPN è una applicazione "blackbox", che usa wget e openssl per impostare una connessione IPsec client-verso-gateway. Dando un'occhiata al contenuto dei file di testo creati nella directory QuickVPN (l'unico aiuto disponibile per il debugging) sembra che wget venga utilizzato prima per aprire una connessione HTTPs verso l'RVS4000 per scambiare informazioni sulla configurazione di IPsec. Openssl viene quindi utilizzato per configurare correttamente il tunnel IPsec.

Superata qualche falsa partenza, causata dall'utilizzo di versioni del firmware del router e del client QuickVPN troppo vecchie; l'introduzione di informazioni sul tunnel IPsec errate non ci ha di sicuro aiutato (le vecchie abitudini sono vecchie a morire); inoltre, abilitare DMZ sembra ostacolare ulteriormente le connessioni dai client QuickVPN.

Dopo aver resettato le impostazioni del router ai valori di fabbrica, è bastato reinstallare QuickVPN sul client e rispondere correttamente ad un messaggio abbastanza confuso apparso durante il login, per riuscire a stabilire una connessione. La comparsa, ad intervalli di circa un minuto, del mesaggio "Il gateway remoto non risponde.", ci ha fatto pensare che qualcosa ancora non andava.

Abbiamo quindi controllato la sezione sullo stato delle impostazioni della VPN IPsec, tramite la pagina Sommario delle Impostazioni del 4000 e stranamente siamo stati sorpresi dal vedere che non si era stabilito nessun tunnel. Anche le informazioni mostrate nella pagina Sommario VPN fornivano lo stesso risultato. Siamo riusciti a trovare un'indicazione sulla nostra connessione solo sulle schermate della sezione Stato dei Client VPN.

Figura 5: Siete in grado di trovare la connessione VPN? (Cliccate sull'immagine per ingrandirla)

Sembra che il 4000 tratti le connessioni gateway-verso-gateway e client-verso-gateway differentemente, almeno secondo il punto di vista degli stati. Supporta un totale di 10 tunnel IPsec: 5 gateway-verso-gateway e 5 client-verso-gateway; cosa che, ancora una volta, non sembra ovvia guardando semplicemente le schermate di stato o qualsiasi materiale informativo sul prodotto.

Un'altra cosa da notare sull'utilizzo di QuickVPN è la totale mancanza di documentazione sulla configurazione IPsec in uso. Non perdete tempo a cercare nella pagina VPN IPsec, perchè le impostazioni di supporto dei client QuickVPN non sono visibili. Per la cronaca, Linksys ha comunicato che il Client QuickVPN esegue le seguenti richieste all'RVS4000 in IKE Fase-1:

1. 3DES, SHA1, DH2, PSK, SA Lifetime = 28800 sec
2. 3DES, MD5, DH2, PSK, SA Lifetime = 28800 sec
3. DES, MD5, DH1, PSK, SA Lifetime = 28800 sec

Infine, cliccando sul bottone Disconnessione sembra che la connessione IPsec non si interrompa, o almeno, il client QuickVPN non mostra segni di scollegamenti in corso. A parte questi piccoli difetti, l'utilizzo di QuickVPN è davvero semplice.

Da aggiungere la possibile difficoltà di debug delle connessioni IPsec. Come anticipato precedentemente, i nuovi messaggi vengono accodati alla log, quindi bisogna perdere tempo scorrendola fino alla fine; gli stessi messaggi non ci sembrano molto utili e, se si utilizza Firefox, non è possibile visualizzare le schermate pop-up, che si nascondono dietro le finestre principali (problema assente in IE).