Come funziona la VPN Apple

Sezione dedicata al mondo Server [hardware/software]

Moderatore: ModiMaccanici

Avatar utente
esco
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 10 ott 2007 22:45
Messaggi: 1420
Località: Bologna

Top

Provo ad avviare una piccola nota sulla VPN Apple con l'obiettivo di raccogliere il supporto degli esperti per comprendere le funzionalità del servizio VPN offerto nei sistemi operativi macOS e iOS.

La VPN consente il collegamento "sicuro" tra due hardware appartenenti a LAN diverse: esempio casa e ufficio. Uno dei due hardware, denominato Server, in genere è un computer sempre attivo e in "ascolto". L'hardware che si collega via VPN al Server può essere un computer, un iPhone o un iPad, che possono accedere alle informazioni contenute nel server (file audio-video, dati ed altri servizi).
E' tutto molto semplice, ma devono essere aperte le giuste porte del router del server ed occorre un IP statico o "analogo".

Ognuno dei passaggi sotto esposti potrebbe essere oggetto di discussioni separate, spero si riesca a semplificare e contenere tutto in pochi post per evitare dispersioni.

IMPOSTARE LA VPN Lato server (macOS)
Il computer Server deve disporre:
  • connessione ad internet
  • indirizzo IPv4 manuale, esempio 192.168.1.10
  • app Server installata
Dopo l'avvio dell'App Server, per ogni servizio che si intende attivare, si dovrebbe avviare l'installazione guidata (non se se dipende dalla versione Server, nella mia [v.5.3.1] c'è (ma ho avuto anche bisogno di assistenza on-line dei tecnici Apple che mi hanno aiutato a collegare alcune macchine windows della LAN, che non riuscivo a collegare con le procedure guidate del software).

Impostare Utenti:
aggiungere utenti con user e pass ed opzione "directory network" o "directory locale" (con VPN accedo con entrambe le tipologie di utente).
La rete di utenti che gestito è piccola non ho avuto bisogno di organizzare "gruppi". Secondo me, nel caso i servizi del server siano utilizzati da gruppi (anche piccoli) di utenti "diversi" potrebbe essere utile organizzare i gruppi.

Impostare VPN: assegnare un nome all'host VPN, assegnare una stringa per il segreto condiviso, indicare il numero degli indirizzi client (anche solo 2 o 3 se non si hanno troppe connessioni VPN simultanee), indicare il DNS per internet (esempio 8.8.8.8 e 8.8.4.4, oppure i preferibili 1.1.1.1 e 1.0.0.1).

Impostare DNS del Server: aggiungere record "zona primaria" e "zona inversa" nel mio caso "nomeserver.private" primaria (Record A e NS) e "140.1.168.192.in-addr.arpa" inversa (Record PTR e NS). Nel mio caso la regolazione del DNS l'ho fatta fare al sistema di installazione "guidato".

Impostare OperDirectory: associare il nome Server "nomeserver.private" al tipo "Master" e all'indirizzo IP del Server [esempio 192.168.1.10]. Nel mio caso la regolazione OpenDirectory l'ho fatta fare al sistema di installazione "guidato".

Nella prima schermata di Server "Panoramica": Nome host "nomeserver.private" con pallino verde, Nome computer con pallino verde, Internet con pallino verde e l'indicazione di "servizio raggiungibile", Interfaccia network: nel mio caso tipo Ethernet e l'indirizzo IP interno (esempio 192.168.1.10).
Nella prima schermata di Server "Impostazioni": tutto selezionato: tutto attivo e selezionato;
Nella prima schermata di Server Archivio: nel mio caso l'HD del server e del disco TimeMachine;
Nella prima schermata di Server "Accesso": "tutti gli utenti" e "tutti i network".

IMPOSTARE IL ROUTER Lato server
Aprire le porte necessarie alla VPN: UDP 500, 1701, 4500.
Le porte TCP 22 e 5900 per i servizi SSH e Condivisione schermo.
L'elenco delle porte da aprire sono raccomandate da Apple per ciascun servizio Apple: https://support.apple.com/it-it/HT202944

IMPOSTARE LA VPN Lato Client (macOS)
Impostazioni di sistema: Rete, Aggiungi interfaccia VPN, tipo di interfaccia L2TP su IPSec ed aggiungere un nome: esempio "LaMiaVPN"
Configurazione: default, indirizzo del server statico o "servizio analogo", Account: nome dell'utente autorizzato nel Server.
Impostazioni autenticazione: Password dell'utente autorizzato nel Server (ma si può usare un certificato ed altre opzioni se pianificate Lato Server), Segreto condiviso (ma si può usare un certificato se pianificato Lato Server).

IMPOSTARE LA VPN Lato client (iOS)
Impostazioni >VPN >aggiungi configurazione
Tipo L2TP
Descrizione: un nome a scelta
Server: l'indirizzo IP pubblico del server o analogo
Account: nome account autorizzato dal server
RSA SecurID: de-selezionato
Password: la pass utente del Server
Segreto: il segreto condiviso indicato nel Server
Inviare tutto il traffico: selezionato
Proxy: No.

Come si può osservare, una volta regolato il Lato Server ed aperte le porte del Router, la VPN per macOS e iOS è molto semplice da impostare.
Ho scritto un po' in fretta, spero non ci siano errori.

Avatar utente
Paolofast
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: dom, 07 gen 2018 20:00
Messaggi: 5564

Top

Se ho ben capito, tutto parte dall'acquisto di MacOs Server (ben 21,99 euro :D ) su Mac App Store, da installare sulla macchina che farà da server.
E da lì in poi, nessuna altra spesa per software.
Giusto?
*
*
“Non so tutto, so solo quello che conosco” Hanekawa Tsubasa.

Avatar utente
esco
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 10 ott 2007 22:45
Messaggi: 1420
Località: Bologna

Top

Esatto, non ci sono altre spese.
Anzi, se operi con una macchina Apple nata per fare da server (ad esempio un mac Mini server) l'App Server dovrebbe essere già inclusa tra le app presenti nel computer, ma non ti saprei dire come funzionano le vecchie versioni di Server (in passato si chiamava anche con altro nome); le versioni recenti di Server (come quella che uso io) sono imbarazzanti per semplicità e per l'installazione "guidata", non so forse dipende anche dal fatto che uso una % molto ridotta delle sue potenzialità.

Avatar utente
Alberto.G
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: dom, 22 gen 2017 20:34
Messaggi: 3088
Località: Fvg

Top

Grazie mille esco per questa nota… l’hai definita “piccola” ma proprio non direi!
In ogni caso, complimenti assai per il tuo intervento, ben fatto, chiaro e preciso, che fa senz’altro onore al nostro Forum.

iMac (Retina 4K, 21.5-inch, Late 2015) Mod.16,2 - Processore 3,1 GHz Intel Core i5 (i5-5675R) CPU 4-core
Memoria 8 GB 1867 MHz DDR3 - Scheda grafica Intel Iris Pro Graphics 6200 1536 MB
sistema presente: macOS MONTEREY versione 12.7.4 (21H1123) dal 08/03/2024 ore 09:29

Avatar utente
robertos
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: ven, 17 lug 2009 18:52
Messaggi: 5487
Località: Roma

Top

ATTENZIONE!
Un tempo c'era un'applicazione chiamata MacOS Server che costava anche meno di adesso e trasformava un qualsiasi mac
in un server semplice da installare, configurare e utilizzare, con molte utilità già predisposte, ad esempio l'oggetto di questo post
(servizio che ho utilizzato per anni con grande soddisfazione) ma anche
  • gestore degli utenti remoti
    gestore delle stampanti di rete
    server LDAP
    gestore di posta elettronica (mail server)
    server di streaming audio/video in rete
    gestore di reti VPN
    server di iCal
    server Wiki
    server di iChat
    server di Spotlight
    strumenti di produzione di podcast
    utilità di configurazione grafica per il web server
    utilità di configurazione grafica per il protocollo Kerberos
Ma poi a partire da Sierra e High Sierra è successo qualcosa e...

A partire da macOS Server 5.7.1, Apple non fornirà più in dotazione con macOS Server servizi open source come
server calendario, server contatti, server di posta, server VPN, DHCP, DNS e siti web.

I clienti potranno ottenere questi servizi direttamente dai provider open source.
In questo modo, i clienti macOS Server possono installare i servizi più sicuri e aggiornati non appena sono disponibili.

Grazie della concessione

Apple ha pubblicato la documentazione per semplificare tale transizione.
Servizi inclusi in macOS Server 5.7.1 e versioni successive
I seguenti servizi sono inclusi e completamente supportati in macOS Server 5.7.1 e versioni successive:
  • Gestore profilo
    Open Directory
    Xsan
Direi pochino...

Servizi migrati da macOS Server a macOS High Sierra e versioni successive
Questi servizi, ora disponibili in macOS High Sierra e versioni successive, sono accessibili da Preferenze di Sistema > Condivisione:
  • Server di file
    Server di cache
    Server di Time Machine
Quindi sono compresi nella versione base del system relativo... e gli altri??

Stato assistenza
Questa tabella mostra lo stato di ogni servizio macOS Server e le alternative disponibili.

Schermata 2021-03-21 alle 11.31.46.png
Schermata 2021-03-21 alle 11.31.46.png (131.65 KiB) Visto 1568 volte


Quindi "fai da te"... e allora perché dovrei comprarlo, anche se costa poco?


Giusto per vostra informazione

Qui una guida di Apple per la migrazione ai servizi open source
Non forzare nessuno a passare a Mac, altrimenti diventerai suo schiavo per sempre! © franz
Fixing the world, one piece of hardware at a time. © iFixit

Avatar utente
esco
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 10 ott 2007 22:45
Messaggi: 1420
Località: Bologna

Top

I delusi della scelta di Apple di abbandonare i Server sono molti, come Robertos. Io credo di aver acquistato l'ultimo (o penultimo) Mac mini server prodotto da Apple (late 2012): è una macchina perfetta che è stata dedicata solo alla funzione server per un piccolo gruppo di lavoro. Secondo me potrebbe gestire due/tre ordini di grandezza superiori di traffico ed utenti rispetto al nostro uso.

Segnalo un altro aspetto economico che riguarda l'IP statico necessario per una adeguata VPN.

I fornitori di connettività in genere includono il servizio DND dinamico, ma fanno pagare (se richiesto) il servizio con IP statico: ad esempio in passato ho acquistato un IP statico per 5,00€/mese. Recentemente ho anche attivato un servizio NO-IP per altra connessione VPN che funziona molto bene.
NO-IP è gratuito [https://www.noip.com/remote-access] con la limitazione di dover mensilmente inviare una conferma attraverso il proprio account. Per evitare questa "scocciatura" è necessario pagare 25 €/anno per 25 host: quindi 1€/anno/host.
Attraverso il servizio di assistenza NO-IP si riesce agevolmente a regolare il router per attivare il servizio, e si raggiunge la macchina Server digitando il nome dell'host prescelto durante la registrazione, invece dei numeri dell'IP statico. Sulla base del nome Host, il servizio NO-IP provvede a riconoscere la macchina da raggiungere, insomma a me sembra di avere un IP statico anche per l'inaspettata velocità di connessione.

Avatar utente
Scialla
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 12 ago 2009 19:27
Messaggi: 17897
Località: Torino

Top

Io uso sia duckdns che no-ip per la mia domotica.
La scocciatura di no-ip la bypasso tramite uno script in python che si occupa di dare la conferma automaticamente, messo in crontab in maniera da girare tutti i giorni..
 Il futuro (Apple)? Nammerda!

Di un costoso Mac si può fare a meno, di macOS no... (cit. fax)

Avatar utente
esco
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 10 ott 2007 22:45
Messaggi: 1420
Località: Bologna

Top

Scialla ha scritto:
mar, 23 mar 2021 12:20
La scocciatura di no-ip la bypasso tramite uno script in python...
potresti anche tradurre il tuo script Pyton in uno script per la shell Unix di Terminale?

Avatar utente
Scialla
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 12 ago 2009 19:27
Messaggi: 17897
Località: Torino

Top

non saprei, non è roba mia, prova a guardare, è per linux ma magari va...

https://github.com/loblab/noip-renew

io lo faccio girare sul raspberry
 Il futuro (Apple)? Nammerda!

Di un costoso Mac si può fare a meno, di macOS no... (cit. fax)

Avatar utente
fragrua
Stato: Connesso
Admin of my life
Admin of my life
Avatar utente
Iscritto il: sab, 08 ott 2005 07:00
Messaggi: 62793
Località: [k]ragnano

Top

Contatta:
esco ha scritto:
sab, 20 mar 2021 12:58
Ho scritto un po' in fretta, spero non ci siano errori.
Intanto questo post ti ha promosso Expert. ;-)
La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
Franz Grua (sarebbe fragrua)

In un mondo perfetto io sarei un essere inutile.
©2015 albertocchio

—> Uso corretto del Forum: https://goo.gl/9xOO0a

Immagine

Avatar utente
Reid
Stato: Non connesso
Stella nascente
Stella nascente
Avatar utente
Iscritto il: sab, 29 dic 2012 20:50
Messaggi: 922

Top

Ottimo articolo!!!!

ma per cosa potrebbe essere usata nella quotidianità la VPN che indirizza ad un tuo mac usato come webserver?

Sto pensando a come potrei usarla...
Il backup è quella cosa che va fatta prima 

Avatar utente
esco
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 10 ott 2007 22:45
Messaggi: 1420
Località: Bologna

Top

@Reid tieni presente che
esco ha scritto:
sab, 20 mar 2021 12:58
La VPN consente il collegamento "sicuro" tra due hardware appartenenti a LAN diverse: esempio casa e ufficio. Uno dei due hardware, denominato Server, in genere è un computer sempre attivo e in "ascolto". L'hardware che si collega via VPN al Server può essere un computer, un iPhone o un iPad, che possono accedere alle informazioni contenute nel server (file audio-video, dati ed altri servizi). E' tutto molto semplice, ma devono essere aperte le giuste porte del router del server ed occorre un IP statico o "analogo".
Tieni anche presente che più client possono collegarsi al medesimo server anche simultaneamente e per "analogo" puoi intendere i servizi no-ip o dyndns.

Ad esempio, se hai un Mac con l'app Server a bordo ed una connessione internet almeno discreta: puoi fare almeno le cose indicate nella veloce lista che segue:
- generare uno o più gruppi di utenti al server con specifici permessi/autorizzazioni;
- impostare uno o più servizi Calendario per gli utenti;
- impostare uno o più servizi di File sharing per gli utenti;
- impostare una o più rubriche/contatti per gli utenti;
- gestire i profili di settaggio degli utenti che, collegandosi al server, troveranno la loro scrivania;
- impostare una o più servizi di messaggistica (Messaggi);
- gestire la posta elettronica per gli utenti iscritti con il dominio prescelto;
- pubblicare un sito web (host virtuale);
- gestire via Time Machine i backup degli HD dei computer degli utenti in modo centralizzato;
- impostare uno o più servizi Wiki per tutti o per una parte degli utenti.

Server dispone anche di altre funzioni, più complesse. Io utilizzo una piccola parte delle sue potenzialità (cinque servizi) per un gruppo variabile da 10 a 20 utenti. L'uso più semplice è ovviamente il file server per consentire a ciascun utente di operare sul server dall'esterno della LAN (es. smartworking) via VPN, che significa praticamente lavorare sulla medesima LAN e in piena sicurezza. Altro uso tipico è quello della contabilità/magazzino/ordini di software di gestione contabile che in genere dispongono di database centralizzati es. sql a cui accedere anche via VPN da remoto, anche con iPad (ad esempio SimplyFatt Net).

Ma l'app Server è pianificata per gestire, credo in modo efficiente, centinaia di utenti considerando l'uso di SSD interni, rete Gigabit ed eventuali connessioni a SSD esterni via Thunderbolt. Servizi analoghi di terze parti costano, e non poco.

Peccato che nelle recenti revisioni di Server, come indicato da robertos, siano stati rimossi molti servizi (alcuni integrati nei sistemi operativi macOS). Per chi è interessato ad una sperimentazione, utilizzando ad esempio un vecchio Mac Mini con Sierra, suggerisco la versione Server 5.3.1, oppure la versione 5.4 se non occorre FTP.

Se non si dispone di un MacMini "recuperato" per installare l'App Server, eviterei di acquistare un nuovo hardware Apple per gli scopi sopra indicati e, per piccoli gruppi di lavoro, valuterei un NAS Synology che, anche per gli entry-level, dispone di software "guidati" di elevata qualità.

Avatar utente
esco
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mer, 10 ott 2007 22:45
Messaggi: 1420
Località: Bologna

Top

fragrua ha scritto:
ven, 09 apr 2021 08:11
esco ha scritto:
sab, 20 mar 2021 12:58
Ho scritto un po' in fretta, spero non ci siano errori.
Intanto questo post ti ha promosso Expert. ;-)
lo so che qui si scherza e per questo frequento iMaccanici :thumbright:

Rispondi

Torna a “Server”

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti