Con lo smartphone tramite tunnel VPN su un Web-IO

Accesso indipendente dal luogo, collegamento sicuro, configurazione semplice: in questo tutorial verrete guidati passo dopo passo attraverso le configurazioni necessarie per accedere al Web-IO con uno smartphone.

Requisiti:

• Il microwall e il web-IO sono messi completamente in funzione nella LAN del cliente e dell’isola Web-IO con gli indirizzi indicati sopra.

• Il Web based management dei microwall è raggiungibile nella rete aziendale del cliente.

• Sullo smartphone Android è installata l’app Wireguard (l’app si trova effettuando la ricerca di "wireguard" nel Google Play Store - per i dispositivi Apple disponibile anche nell’app store).

Nell’esempio qui descritto la configurazione del client VPN avviene per motivi di semplicità attraverso il microwall. È qui contenuta anche la sensibile Private key che autentifica il client. Per ambienti con requisiti di sicurezza aumentati la produzione della key quindi deve avvenire sul client stesso e solo la public key acritica deve essere ceduta al microwall.

In sintesi i passi necessari:

1. Configurazione VPN di microwall e smartphone
2. Autorizzazione della connessione VPN sul router perimetrale
3. Regole Firewall nel microwall
4. Test della connessione VPN

1. Configurazione VPN di microwall e smartphone

• Avviare un browser nella LAN per i clienti, aprire una connessione con il microwall tramite https ed effettuare il login.

• Navigare alla pagina "Pagina iniziale", al "Server VPN" e all’ "Ambiente VPN".

• L’"IP virtuale" del server VPN e l’area IP del tunnel VPN può essere in gran parte selezionata liberamente. Se non c’è conflitto con le aree IP della rete aziendale o dell’isola Web-IO, si può riprendere il criterio del microwall.

  

• Sulla porta UDP indicata il server VPN attende collegamenti in entrata dei client VPN. Per il numero di porta utilizzato qui si può impostare un forwarding di indirizzo/porta sull’indirizzo IP del microwall.

• Salvate le modifiche e navigate attraverso "Pagina iniziale" e "client VPN" a "Inventario client".

• Per l’allestimento di un nuovo client VPN, cliccare prima di tutto sul simbolo Più. Per la messa in funzione semplificata qui descritta, nella quale il file di configurazione client viene creato dal microwall, attivare l’interruttore a scorrimento. "Configurazione ampliata" 1.

  

• Assegnare l’indirizzo IP del client VPN dall’area del tunnel VPN 2 e selezionare un nome per il client.

• Fare clic su "GENERA KEYS" 3. Il Microwall genera una coppia public/private key per il client VPN. La Private Key sensibile viene visualizzata dalla Microwall esclusivamente per la creazione del file di configurazione del client VPN e solo in questa finestra di dialogo. Non viene salvata.

• In "Terminale (server VPN)" 4 indicate l’indirizzo IP e il numero di porta, dal quale è possibile raggiungere il server VPN da Internet. Se il router perimetrale della LAN del cliente dispone di un indirizzo IP pubblico statico, esso viene utilizzato qui. Altrimenti è necessario indicare un host name riservato attraverso un fornitore DNS dinamico.
  Tutti gli altri inserimenti sono già precompilati dal microwall per questa messa in funzione rapida e non devono essere modificati.

• Facendo clic sul tasto "Visualizza codice QR" 5 viene visualizzato il file di configurazione del client VPN sotto forma di codice QR sul monitor.

• Avviare la app WireGuard sullo smartphone, azionare il tasto Più, quindi selezionare "SCANSIRE DAL CODICE QR". Una volta letto il codice QR, assegnare un nome alla connessione e fare clic su "Genera tunnel".

• Chiudere il codice QR sul microwall e fare clic su "Aggiungi" 6 per concludere la creazione del client VPN. Per salvarlo fare clic su "Salva" nella seguente panoramica dei client VPN. "Salva".

  

2. Autorizzazione della connessione VPN sul router perimetrale

• Per inoltrare la connessione VPN entrante dallo smartphone al microwall, bisogna configurare una specifica regola di autorizzazione sul router perimetrale/DSL. In questo modo i pacchetti UDP entranti da Internet sulla porta impiegata 4444 vengono inoltrati all’indirizzo Intranet 192.168.10.200 del microwall.

• Esempio FritzBox 7590:
  In "Internet", "Autorizzazioni" e "Autorizzazioni porta" fare clic su "Aggiungi apparecchio per autorizzazione". Selezionare il microwall con l’indirizzo IP 192.168.10.200 e cliccare su "Nuova autorizzazione". Fare clic su "OK" e poi su "Acquisisci" per salvare la nuova autorizzazione nella FritzBox.

  

3. Regole firewall nel microwall

• Navigare attraverso la pagina Home e "Server VPN" a "Regole VPN". Per l’impostazione di una nuova regola di autorizzazione, cliccare prima di tutto sul simbolo Più.

• Assegnare un nome selezionabile liberamente per la regola.

  

• Facendo clic sulla freccia di direzione, stabilite che si tratta di un collegamento in entrata nell’isola Web-IO.

• In "IP sorgente" selezionare lo smartphone. In porta sorgente, selezionare "any" perché questa in genere viene determinata dinamicamente dal sistema lato client e non può essere stabilita.

• In "IP destinatario" inserire l’indirizzo IP del Web-IO (10.110.10.2). Come "Porta di destinazione" inserire 80 come porta di default per il sito internet del Web-IO.

• Tutte le altre impostazioni rimangono in questo esempio sulle indicazioni standard. Per chiudere la finestra di dialogo fare clic su "Aggiungi" e poi nell’elenco inventario su "Salva".

4. Test della connessione VPN

• Fare clic nella app WireGuard sullo smartphone nel tunnel VPN appena creato e attivare la connessione attraverso l’interruttore a scorrimento. Nella riga "Transfer" viene visualizzato il numero di dati ricevuti e inviati.

• Avviare un browser sullo smartphone. Attraverso l’indirizzo http://10.110.10.2 raggiungete la pagina internet del Web-IO.