LINUX.ORG.RU
решено ФорумAdmin

А вдруг? Cisco VPN по IPSEC с авторизацией по сертификатам

 , , , ,


0

1

Тема поднималась не раз, самое обсуждаемое нашел вот тут - Альтернатива Cisco VPN client+сертификат но решения так и не было.

Как уже поняли речь идет о подключении к Cisco VPN с использованием сертификатов. Раньше для этих целей жила виртуалочка с WinXP и офф. клиентом Cisco, который со всем этим дружил. Виртуалочка погибла, хочется подключаться напрямую из Linux. В инете есть информация разного рода, но конкретного - ничего, по этому подыму тему еще раз. Вдруг кто-то сумел скрестить линукс с циской по ipsec с сертификатами. Сразу скажу что про Openconnect в курсе - это не то.

★★★

Ответ на: комментарий от anonymous

если просто подключиться как клиентом тогда vpnc

anonymous ()
Ответ на: комментарий от anonymous

Эх, всё хорошо в vpnc, кроме того что он не умеет сертификаты!

FreeBSD ★★★ ()

В общем удалось завести это бородатое чудо под названием vpnc с поддержкой сертификатов. Чуть позже напишу что для этого делал.

FreeBSD ★★★ ()

Если кому понадобится, делаем всё как сказано тут -

https://gist.github.com/heatzync/2718029

на ссылку эту кстати наткнулся спустя часа два гугления и поиска решений.

У меня всё завелось на Ubuntu-12.04 LTS, ведро 3.2.0 amd64. Пришлось также поставить пакет ia32-libs, иначе не взлетало. По скольку .PCF файла у меня не было, делал как в инструкции - на основе /etc/opt/cisco-vpnclient/Profiles/sample.pcf, вот основное что надо поправить и учесть:

[main]
Description=mysecurevpn
Host=1.2.3.4
AuthType=3
GroupName=
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=user
SaveUserPassword=0
EnableBackup=0
BackupServer=
EnableNat=1
CertStore=1
CertName=
CertPath=
CertSubjectName=e=user@mysecurevpn.net,cn=user,ou=VPNClients,o=MyOrg,l=Moscow,st=Moscow,c=RU
CertSerialHash=0B000000000000000000000000000000
DHGroup=2
ForceKeepAlives=0
UserPassword=
enc_UserPassword=
GroupPwd=
enc_GroupPwd=
ISPPhonebook=
NTDomain=
EnableMSLogon=1
MSLogonType=0
TunnelingMode=0
TcpTunnelingPort=10000
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=0

обратите внимание на «CertSubjectName» - я сначала тыркался тупо со значением «user», как cn в субже сертификата, а надо оказывается всю строку целиком как при выхлопе «cisco_cert_mgr -U -op view».

Обратил внимание что после разрыва соединения оно не всегда подымается до тех пор пока не сделаешь rmmod cisco_ipsec, а затем insmod его же. Из очевидных минусов решения - софт старый, приходится патчить, неизвестно сколько еще проработает эта связка. Но всё это лирика в сравнении с тем фактом что это единственное рабочее решение которе удалось состряпать!

FreeBSD ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.