Per configurare il tunnel di prova abbiamo utilizzato una chiave pre-shared abbastanza debole che, dopo aver lottato con qualche parametro errato (di cui parleremo a breve), ha funzionato senza problemi. Abbiamo anche fatto il tentativo di utilizzare un'autenticazione basata su certificati ma senza successo. Il fallimento è stato causato molto probabilmente dalla fretta, dalla mancanza di tempo e dal non aver seguito passo dopo passo tutte le istruzioni necessarie affinchè i due router si scambiassero con successo i certificati. La Figura 15, raffigurante la sezione Certificates, è abbastanza dettagliata e include le tabulazioni per configurare i certificati: Trusted CAs (Certificate Authorities), Trusted Remote Hosts e Directory Servers contenenti le varie liste.
Figura 15: Schermata dei Certificati di Autenticazione (Cliccate sull'immagine per ingrandirla)
La Figura 16 mostra la pagina che permette la creazione di un certificato.
Figura 16: Schermata di creazione di un certificato (Cliccate sull'immagine per ingrandirla)
Una volta impostata la modalità di autenticazione, sarà necessario configurare le Network Policy per il tunnel, utilizzando i controlli mostrati nella Figura 17.
Figura 17: Schermata Network Policy per VPN (Cliccate sull'immagine per ingrandirla)
Una volta inserite le regole, ha inizio la parte divertente: cercare di far partire e far funzionare il tunnel. Il nostro primo tentativo è stato contrastato da una regola del firewall introdotta durante i test del throughput. Come al solito, le informazioni contenute nelle log erano troppo criptiche per essere realmente utili (La Figura 18 mostra l'esempio di una configurazione errata di un tunnel) e hanno richiesto l'intervento di un ingegnere di Zyxel, che ha dovuto esaminare la configurazione del router prima di poterci aiutare a risolvere il problema. É interessante notare che una corretta configurazione premia con una frase inserita nella log: "Tunnel costruito con successo", ma un fallimento non comporta nessun messaggio di avvertimento.
Figura 18: Log del fallimento della creazione di un tunnel IPsec (Cliccate sull'immagine per ingrandirla)
Dopo aver risolto il problema dovuto alla regola precedentemente introdotta, siamo riusciti a far partire il tunnel utilizzando la chiave pre-shared, il "Wizard" VPN e accettando la maggior parte delle impostazioni di default proposte per IKE e IPsec. La schermata SA Monitor permette di vedere l'elenco dei tunnel collegati e funzionanti (sarebbe bello vedere qualche tipo di rappresentazione anche nella pagina principale Home). La tabulazione Global Setting contiene le impostazioni dei vari temporizzatori: Input e Output Idle Timer, Gateway Domain Name Update Timer e i controlli MSS (TCP Maximum Segment Size), questi ultimi configurati coi valori di default Auto e le opzioni Off e User-Defined.
Complessivamente, abbiamo avuto esperienze di configurazione di IPsec ben più dolorose ma, come detto all'inizio della sezione, il 2 Plus non rappresenta lo stato dell'arte a livello di user-friendly. Bisogna anche dire che Zyxel abbandona gli utenti a sé stessi nella selezione di un client IPsec da utilizzare con PC che devono collegarsi in sicurezza.