Делов на раз, как говорится , сели и сделали.А на самом деле ..ну это потом.
Итак , принес с работы два профайл с нативного cisco vpn клиента
ibm – для коннекта в ibm
scnsoft - для конекта в outsorce компанию
Посерчился по портежу и нашел две чудо тулзы которые должны делать нужны мне коннект
- 1.net-misc/cisco-vpnclient-3des-4.8.02.0030 (и более старая версия тоже была опробована)
- 2.net-misc/vpnc-0.5.3
Первым на буке поселился нативный циско клиент.Поселился , установил свой ядерный модуль и занял положеное ему место в /opt
Профайлы к нему подошли что я принес с работы. Я только подложил в директорию /etc/opt/cisco-vpnclient/Profiles
запуск оказался тоже очень простым
vpnclient connect scnsoft user ******* pwd ********
Где scnsoft - это имя профайла
И вот я уже вижу свет в конце тунеля и как спускается ко мне с циски ангел весь в белом и с таблицей роутинга в руках и днс в зубах :))
рапортует клиент что подрубился , текст выводит правильный, вводишь "y" - и счасться казалось бы есть...
На выходе также:
- создает сетевой интерфейс
- правильно заполняет таблицу роутинга в нужную мне подсеть.
Вобщем ведет себя прям как профессиональный политик.Почему политик ? Да потому что пишет что подрубился и все выводит как надо, а нифига не работает
При попытке пинговать или зайти на любой адрес из подсети выдается ошибка что нет такого или еще хуже того
- На ядре 2.6.28 просто не коннектится
- на ядре 2.6.29 к тому же вешает всю систему.При этом индикатор винчестера злобно начинает мигать зеленым , а любимая музыка из колонок звучит как из мясорубки :)Так повесить систему надо еще уметь ! Но не зря же циско спецам такие деньги платят :)
Погуглив , нашел у людей аналогичные нерешенные проблемы http://bugs.gentoo.org/show_bug.cgi?id=234361
Думаю , связаны они с версей ядра..Поставив например 2.6.14 все запалит , но это не наш путь , правильно? Доунгрейд на 15 ядер вниз это было бы сильно :)Как сменить прокачанную во всем девушку на птушницу :)
версии клиента также погоды не сделали , пробовал
- cisco-vpnclient-3des-4.8.01.0640.ebuild
- cisco-vpnclient-3des-4.8.02.0030.ebuild
Итак , циско клиент идет в топку , с песней и всеми нужными при этом танцами
net-misc/kvpnc-0.9.1 (для QT4)
Если в кратце , такой глюкавой программы я еще не встречал.Она смогла сделать абсолютно НИЧЕГО.На каждую из запущенных операций я получал ошибки.А конкретно:
- Заимпортировать профайл из pcf формата
- Заимпортировать cisco сертификат
- Подсоединиться к заботливо созданному руками ее родному профайлу
Можно конечно долго искать причины , но на мой взгляд программа должна как минимум делать свою работа , те основные фичи.kvpnc этим меня не порадовал ,
Поэтому ЭТО гуи также идет в топку
net-misc/kvpnc-0.9.1
В первую очередь меня порадовала установка , всего 50 килобайт для такой нужной программы - уже неплохо :)
дальше потребовалось конвертировать мои профайлы и сертификаты из pcf в формат vpnc
Это просто: pcf2vpnc scnsoft.pcf scnsoft.conf
Дальше сертификат надо было конвертнуть из cisco crt формата в pem format , который понимает vpnc, это чуть сложнее через промежуточный формат.Для этого должен стоять openssl пакет:
openssl x509 -in scnsoft.crt -out scnsoft.der -outform DER
openssl x509 -in scnsoft.der -inform DER -out scnsoft.pem -outform PEM
на выходе получается профайл и сертификат.Аналогичные действия я сделал для профайла IBM
То , что получилось я сложил в /etc/vpnc
Дальше я вписал пользователя и пароль в профайл и дело сделано.
Собственно , вот сами профайлы.Они разные , с разным типом авторизации:
##IBM
IPSec ID xxxxxxxxx
IPSec gateway xx.xx.xx.xx
IPSec secret xxxxxxxxxxxx
Xauth username xxxxxxxxxxx
Xauth password xxxxxxxxxxxx
IKE Authmode psk
DPD idle timeout (our side) 0
##Scnsoft
IPSec ID xxxxxxxxxxxx
IPSec gateway xxxxxxxxxxxx
IPSec secret xxxxxxxxxxxxx
Enable Single DES
Xauth username xxxxxxxxxxx
Xauth password xxxxxxxxxxxxxx
CA-File /etc/vpnc/scnsoft.pem
IKE Authmode hybrid
Собсвенно сам запуск ,
Проафайл IBM у меня запустился прекрасно ,
а вот scnsoft нет.выдает такую ошибку:
Connect Banner:
| WELCOME TO SCIENCESOFT NETWORK!
|
vpnc: quick mode response rejected: (ISAKMP_N_INVALID_MESSAGE_ID)(9)
this means the concentrator did not like what we had to offer.
Possible reasons are:
* concentrator configured to require a firewall
this locks out even Cisco clients on any platform expect windows
which is an obvious security improvment. There is no workaround (yet).
* concentrator configured to require IP compression
this is not yet supported by vpnc.
Note: the Cisco Concentrator Documentation recommends against using
compression, expect on low-bandwith (read: ISDN) links, because it
uses much CPU-resources on the concentrator
Вроде и аутентификацию прошел и конект банер показал , а счастья нет :(
В итоге получается что ipsec с psk работает отлично в ibm , а hybrid ipsec в scnsoft нет
Я знаю что у многих все работает , и работает как говорится испокон веков , но данный конкретный случай показывает что есть еще над чем поработать в плане поддержки оборудования испольующего cisco_ipsec
да лано,vpnc отлично работает даже с доступом на VPN сервера cisco
ОтветитьУдалитьможет знаешь тогда что можно по моей проблеме подкрутить ,
ОтветитьУдалитьсмущает что vpnc показывает два возможных варианта:
1. включенная ай пи компрессия
2 файрвол
Но ни того ни другого нет , проверял когда циско клиент подключается он пишет что все это выключено
Посмотрим что скажет багзила на мой баг :)