» »

Cisco VPN in alternativni klienti

Cisco VPN in alternativni klienti

zee ::

Zivjo.
Za oddaljen (remote) dostop do omrezja v sluzbi se pod Windows sistemi uporablja Ciscotov Any Connect, ki ustvari IPsec tunel do sluzbe. Avtentikacija potece preko osebnega certifikata.

Problem/-a sta vsaj dva:
1. Ciscotov klient niti po razno ne dela v cemurkoli drugem kot Windowsi XP/Vista/7. Verzija za OS X je predpotopna in ne zna uporabiti certifikata v Applovem keychainu; v Snow Leopard vgrajena verzija tudi ne dela. Verzija za Linux je pa problematicna zato, ker se potrebni modul na novejsih kernel-ih sploh ne prevede in je potrebno kodo rocno patchat, pa se potem se proces prikljuvanja neuspesno konca brez posebnega sporocila o napaki. Linux vgrajeni VPN klient tudi ne dela (ne podpira avtentikacije s certifikatom).
2. Na oddelku imamo racunalnike, ki imajo skoraj izkljucno Linux. Nekaj je tudi Applovih prenosnikov.
3. Windows-ov zaradi narave nasega dela ne bomo namescali.

Kako v taki situaciji usposobiti VPN iz OS X/Linux racunalnika?

Hvala vnaprej.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
  • spremenilo: zee ()

jkreuztzfeld ::

Hm. Pred kakim letom in pol sem moral stestirat delovanje AnyConnecta na Linuxu. Zadeva je delovala brez omembe vrednih težav.

Konfiguracija:
Knoppix 5.3 na fizični delovni postaji
- kernel 2.6.24.4 SMP
- iceweasel 2.0.0.12-1
- libcurl 7.18.0-1
- openssl 0.9.8g-7
- sun-java5-jre 1.5.0
- zlib1g 1.2.3.3
- gtk 2.12.9
- gdk ??
- libpango 1.20.0-1
- iptables 1.4.0-3
- kde 3.5.9
Cisco AnyConnect VPN client v2.3.0185

Ne verjamem da ti kaj pomaga, pa vseeno...
--
Great minds run in great circles.

zee ::

Pri 2.6.30+ je potrebno pachanje Ciscotovega programa oz. modulov, cesar se mi pa ne da poceti vsak teden (ob izidu novega kernela).
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

jkreuztzfeld ::

Si slučajno poskusil tegale? http://www.shrew.net/software
--
Great minds run in great circles.

zee ::

Bom poskusil še tegale. Žal ne obstaja za OS X. :(
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Poldi112 ::

zee je izjavil:

Pri 2.6.30+ je potrebno pachanje Ciscotovega programa oz. modulov, cesar se mi pa ne da poceti vsak teden (ob izidu novega kernela).


Kernel ne izhaja vsak teden, plus da te nihče ne sili, da ga update-aš.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

x.sci ::

Si preprican, da hoces IPsec tunel? Sicer je ze nekaj casa, ko sem se igral s tem, ampak takrat so standardne IPsec implementacije cisto lepo delale s Ciscom.

Glede na to da uporabljas Anyconnect, mogoce rabis SSL VPN? Pri tem se na zacetku prijavis cez nek web vmesnik, ki ti avtomatsko nalozi nekega clienta. Ce je temu tako, lahko poskusis openconnect (ga priporocam, ce nisi ravno laik); http://www.infradead.org/openconnect.ht... .

zee ::

Rabim IPsec tunel. Pac nastavitve v sluzbi.

Poskusil sem tudi z Openconnect pa ni slo. :'( Morda je bilo tudi to, da sem bil po stirih urah poskusanja z precej...er...jezen. :P
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

lurker ::

Verzija za OS X je predpotopna in ne zna uporabiti certifikata v Applovem keychainu; v Snow Leopard vgrajena verzija tudi ne dela.
Meni nekatere povezave delujejo preko SL built-in cisco vpn-ja, druge pa ne (avtentikacija ni uspešna).

Mam pa tudi težave z nekaterimi PPTP povezavami preko OSX vpn klienta (samo na nekatere lokacije in nikakor ne uspem pogruntat kaj je drugače na server side, da ponekod deluje bp, drugje pa spet ne (povezava deluje, potem pa nekaj časa nič ne gre skozi, potem spet dela, neuporabno za resnejše delo)), ampak to je že malo OT (če pa je imel kdo tudi take težave in ima rešitev, lepo prosim... :)).

Zgodovina sprememb…

  • spremenilo: lurker ()

zee ::

V mojem primeru na OS X se streznik ne oglasi (kao!), do avtentikacije sploh ne pride. :'(
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

x.sci ::

zee: Ce rabis IPsec tunel, potem seveda openconnect ne bo delal :)
Samo za IPsec ne rabis nobenega ekstra clienta (prakticno vse implementacije IPsec v OSih se testirajo s Ciscom (pustimo kak OpenBSD 4.7 :)), problem je ponavadi le pravilno skonfigurirat stvar. Ce ne dela GUI, ti ne ostane drugega kot the hard way(tm) in zagrizti v debuge/loge.

Lahko pa probas se s kakim BSDjem, ki ima (meni osebno) enostavno konfiguracijo teh zadev (ipsec.conf). Meni je uspelo stvar postavit na OpenBSD 4.6.

x.sci ::

zee je izjavil:

V mojem primeru na OS X se streznik ne oglasi (kao!), do avtentikacije sploh ne pride. :'(


Za vsak slucaj: Kaj pa se zgodi, ce v browserju odpres IP VPN gatewaya?
Pa se to: iz windowsev stvar preverjeno dela? Ker lahko je tudi problem slabe konfiguracije na gatewayu.

zee ::

IP VPN strežnika lahko pingam.

Na Windows XP/7 32-bit in 64-bit zadeva dela brez težav.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

x.sci ::

Anyconnect se mislm da lahko poveze na oba nacina (IPsec in SSL). Ce ne mores odpret https naslova gatewaya, potem imas verjetno res IPsec, sicer ima lahko Anyconnect fallback na SSL. Je pa zanimivo, da ti z nobenim clientom ne dela.

Zgodovina sprememb…

  • spremenil: x.sci ()

zee ::

Razlog je precej enostaven: leni sistemci v sluzbi.

Zdaj se pogajam z njimi, da mi nastavijo port forwarding, saj me zanima izkljucno SSH dostop do enega sluzbenega racunalnika (iz katerega lahko pridem kamorkoli).
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

aleksander10 ::

Zaenkrat Cisco Anyconnect omogoča samo SSL VPN.
http://www.cisco.com/en/US/prod/collate...

Za IPSEC potrebuješ Cisco VPN client (če potrebuješ cisco klienta)

Drugače lahko za linux uporabiš VPNC, ki zelo dobro dela kot IPSEC klient in se povezuje na Cisco naprave, ki terminirajo IPSEC. (uporabljam)
http://www.debuntu.org/how-to-connect-t...

Za osx imaš Shimo + Cisco VPN client, ki deljuje tudi brz problema. (uporabljam)
http://www.chungwasoft.com/shimo/

ali uporabiš v SL vgrajenega klienta.
http://www.stanford.edu/group/macosxsig...
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

zee ::

VPNC ne podpira avtentikacije s certifikatom, tako da odpade.

Shimo-ta sem nekaj poskusal, vendar ga moram kupiti, ce hocem uporabiti CISCO-tove protokole, ne? Poskusna verzija tega pri meni ni podpirala.

V SL vgrajeni klient se ne more povezati na sluzbeni streznik (kljub pravilnim nastavitvam).
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

lurker ::

Za osx imaš Shimo + Cisco VPN client, ki deljuje tudi brz problema. (uporabljam)
Uh, sem čisto pozabil. :D Shimota sem jaz že pred časom kupil. Moram preverit kako je sedaj. Takrat je vsaj za PPTP bil le frontend in je uporabljal OSXovega clienta, pa sem predpostavljal, da je za cisco na SL enako. Torej, ima svojo implementacijo?

zee ::

Na spletni strani pise, da podpira vse mogoce protokole, ni pa oznaceno, ce uporablja lastno ali OS X implementacijo.

Ga bom pa moral zgleda kupiti. [:((] 15 EUR se mi zdi precej drago.

@aleksander10:
Kje si dobil Ciscotovega klienta na OS X? Z iskanjem sem nasel samo eno prastaro verzijo (verzija 4,xx).
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

x.sci ::

Gah... Anyconnect res ne podpira vec IPseca, ceprav je Cisco to lepo izpustil pri release notsih... Kar pomeni, da imas dejansko SSL VPN in ne IPsec... :)

Da ti z openconnectom ne dela, je zelo verjetno problem konfiguracije.

x.sci ::

aleksander10 je izjavil:

ali uporabiš v SL vgrajenega klienta.
http://www.stanford.edu/group/macosxsig...

Tole je IPsec in ne bo slo (vsaj ne tako kot je na tem blogu).

zee ::

@x.sci:
Kaj to pomeni zame oz. za moj problem?
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

aleksander10 ::

Cisco Anyconnect bo do verzije 3.0 tudi podpiral IPSEC. Ne vem točno kdaj bo realease amapak vseeno ...

Cisco VPN klienta lahko dobiš na Cisco strani imeti moraš CCO account.
Zadnja verzija za mac je 4.9.01.0180. Verzija 5 je samo za MS.

Drugače navezava Shimo in VPN clent deluje bp in tudi z certifikati.

Kakor sem jaz razumel on potrebuje klineta za IPSEC vpn in ne za SSL VPN, razen če se motim.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

zee ::

Potrebujem za IPsec VPN, da.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

x.sci ::

Torej, zee se trenutno lahko vpnja z Anyconnectom z windowsov. Anyconnect trenutno podpira samo SSL VPN, ergo bi se zee rad povezal na SSL VPN (in ne IPsec kot je napisal na zacetku). Samo mu uradni cisco client v macosu/linuxu ne dela/ni vsec/whatever. Ali pac?

zee ::

Uradni klient na Linuxu/OS X ne dela.

Bom pa riskiral 15 EUR in nabavil Shimo-ta.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

aleksander10 ::

Če si stestiral zadevo in ne deluje, potem bi jaz na tvojem mestu govoril z administratorjem dovtične cisco opreme za terminacijo VPN-jev in ga prosil če lahko odpre TAC ticket. (Cisco support). Ponavadi TAC odpre Cisco partner, pri katerem imaš support.
Drugo ti že ne morem svetovati, ker ne vem kakšno imaš postavitev in kako je skonfiguriran router oz. ASA.

P.S.
Jaz dnevno uporabljam Shimo+Cisco VPN klient in dela BP. Čudno se mi zdi, da zadeva ne deluje.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

zee ::

Bo zgleda potrebno, ja.

Mislil sem predlagati, da bi nam odprli en port na gatewayu in promet preko njega preusmerili na en racunalnik znotraj mreze, vendar gospodje sistemci niso navduseni nad to idejo.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

zee ::

Nasvet:
Za OS X sem kupil Shimo-ta. Nastavil sem povezavo VPN, certifikat sem uvozil v Keychain, vendar ga v Shimo-tu ne morem izbrati pri Authentication Method.

Nič ne razumem.

Lahko kdo pomaga?
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

zee ::

Novosti:
Izkazalo se je, da moram Ciscotov VPN profil ustvariti v Ciscotovem VPN klientu za Windowse. Rečeno-storjeno, vendar je prijava še vedno neuspešna.

Sporočila o procesu so naslednja:

Shimo-tov log datoteka:
12.6.10 17:39 - DEBUG: Not all information is set, trying with blank.
12.6.10 17:39 - Authenticater has been asked for authMode
12.6.10 17:40 - New Error: 17

Dmesg iz OS X:
CiscoVPN : attempting to attach to all available ethernet interfaces. CiscoVPN : checking if we are already attached to interface: vnic1
CiscoVPN : checking if we are already attached to interface: vnic0
CiscoVPN : checking if we are already attached to interface: en1
CiscoVPN : checking if we are already attached to interface: en0
CiscoVPN : attempting to attach to all available ethernet interfaces. CiscoVPN : checking if we are already attached to interface: vnic1
CiscoVPN : checking if we are already attached to interface: vnic0
CiscoVPN : checking if we are already attached to interface: en1
CiscoVPN : checking if we are already attached to interface: en0
hfs: hfc_btree_open: BTOpenPath error -32730
CiscoVPN : shutting down VPN driver. CiscoVPN : waking up VPN driver.

EDITs: typos
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet		12722412 (8260) Daniel
»

Povezava dveh lokalnih omrežij

Oddelek: Omrežja in internet		171664 (1144) Aleks Nafi
»

VPN

Oddelek: Programska oprema		213202 (2760) mk766321
»

kateri wireless router

Oddelek: Kaj kupiti		71526 (1376) Tr0n
»

VPN connection iz domačega omrežja v službo

Oddelek: Omrežja in internet		213935 (3593) darh

Več podobnih tem