konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Witam,

Pojawił się problem z konfiguracją klienta cisco VPN dla linuxa:
vpnclient-linux-x86_64-4.8.00.0490-k9.tar.gz

został rozpakowany i zainstalowany
./vpn_install

Poniżej jest plik konfiguracyjny profilu:

[main]
Description=connection profile
Host=xxx.xxx.xxx.xxx <--tu oczywiscie podalem adres IP VPN Gatewaya
AuthType=3
GroupName=
GroupPwd=
enc_GroupPwd=
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPPhonebook=
ISPCommand=
Username=login
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=0
TunnelingMode=0
TcpTunnelingPort=10000
CertStore=1
CertName=Imie Nazwisko-cert.p12
CertPath=/etc/opt/cisco-vpnclient/Certificates
CertSubjectName=cn=Imie Nazwisko,ou=firmy zewnetrzne,o=Jakas firma SA,l=MiastoX,st=wojewodztwo,c=PL
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=1

1. uruchomienie VPN
# /etc/init.d/vpnclient_init start
Starting /opt/cisco-vpnclient/bin/vpnclient: Done

2. próba połaczenia
# vpnclient connect connection
Cisco Systems VPN Client Version 4.8.01 (0640)
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.23.1-42.fc8 #1 SMP Tue Oct 30 13:55:12 EDT 2007 i686
Config file directory: /etc/opt/cisco-vpnclient

Enter Certificate password: <--tu podaje haslo do certyfikatu
Initializing the VPN connection.
Secure VPN Connection terminated locally by the Client
Reason: The Connection Manager was unable to read the connection entry, or the connection entry has missing or incorrect information.
There are no new notification messages at this time.

3. Taki sam plik konfiguracyjny profilu działa na systemie Windows bez problemu. W dokumentacji jest napisane że profile są zamienne między systemami i mozna je przenośić, wpisy typowe dla systemów Windows sa ignorowane.

Firewall w systemie jest wyłącozny FULL ACCEPT
Selinux działa w trybie permissive

PYTANIE: Dlaczego nie działa.
Przejrzałem w dokumentacji CISCO wszystkie opcje.
IPSec, certyfikaty sa w katalogu Certificates.

Tym bardziej że taki sam plik konfiguracyjny profilu dziła na Windows a na Fedora Linux nie chce.

Any idea ???????????????Andrzej Arkadiusz C. edytował(a) ten post dnia 03.09.08 o godzinie 14:16

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Andrzej Arkadiusz C.:
Enter a group password: <--tu podaje haslo do certyfikatu
Raczej do grupy (jak jest napisane).
Any idea ???????????????

Jeżeli używasz tak prostej konfiguracji, to spróbuj vpnc.

PS. Niestety nie wiem, jak cisco vpn clienta zmusić do działania na linuksie.

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Michał Iwaszko:
Andrzej Arkadiusz C.:
Enter a group password: <--tu podaje haslo do certyfikatu
Raczej do grupy (jak jest napisane).
Any idea ???????????????

Jeżeli używasz tak prostej konfiguracji, to spróbuj vpnc.

PS. Niestety nie wiem, jak cisco vpn clienta zmusić do działania na linuksie.


nie do grupy tylko do certyfikatu

AuthTYpe 3

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

IPSec gateway xxx.xxx.xxx.xxx <--tu adres VPN gatewaya
IPSec ID connect
CA-File /etc/vpnc/imie nazwisko-cert.p12
IPSec secret haslodocertyfikatu
Xauth username mojlogindokoncentratoravpn
Xauth password mojehaslodokoncentratoravpn
root@srv:/etc/
# vpnc /etc/vpnc.conf
vpnc: no response from target
root@srv:/etc/

Z vpnc jest tez problem w Linuxie jak powyżej

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Sprawdziłbym logi urządzenia, które terminuje Twoje VPNy. W którym miejscu się zatrzymał, czy też w ogóle się nie połączył itd. To:
Initializing the VPN connection.
Secure VPN Connection terminated locally by the Client
Reason: The Connection Manager was unable to read the Connection entry, or the connection entry has missing or incorrect information.

niezbyt jednoznacznie wskazuje czy próba połączenia faktycznie miała miejsce.Michał Iwaszko edytował(a) ten post dnia 03.09.08 o godzinie 16:02

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Michał Iwaszko:
Sprawdziłbym logi urządzenia, które terminuje Twoje VPNy. W którym miejscu się zatrzymał, czy też w ogóle się nie połączył itd. To:
Initializing the VPN connection.
Secure VPN Connection terminated locally by the Client
Reason: The Connection Manager was unable to read the Connection entry, or the connection entry has missing or incorrect information.

niezbyt jednoznacznie wskazuje czy próba połączenia faktycznie miała miejsce.Michał Iwaszko edytował(a) ten post dnia 03.09.08 o godzinie 16:02

logi urzadzenia
masz na mysli mój system operacyjny nic nie ma w logach, sprawdzałem
chyba że masz na myśli inne urządzenie, do gatewaya VPN nie mam dostepu

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Andrzej Arkadiusz C.:
chyba że masz na myśli inne urządzenie, do gatewaya VPN nie mam dostepu

Dokładnie o tym mówiłem. Ogólnie w IPSecu jest tak, iż to strona "odbierająca" ma więcej informacji na temat, dlaczego połączenie się nie udało. Na Twoim miejscu, nie wnikam już po co chcesz to przenieść na Linuksa :-), zapytałbym administratora tego urządzenia. Może np nie przeniosłeś klucza prywatnego do certyfikatu?Michał Iwaszko edytował(a) ten post dnia 03.09.08 o godzinie 19:50

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

.Andrzej Arkadiusz C. edytował(a) ten post dnia 07.09.08 o godzinie 22:58

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Andrzej Arkadiusz C.:
nie działa

widzę że na grupie CISCO pomocy nie znajdę

Może TAC? :->
Marek Dabrowski

Marek Dabrowski Senior Network
Engineer

Temat: CISCO VPN client for Linux --problem konfiguracji

Andrzej Arkadiusz C.:
nie działa

widzę że na grupie CISCO pomocy nie znajdę

Uwazasz ze grupa Linux bedzie lepsza? :P
Marek Dabrowski

Marek Dabrowski Senior Network
Engineer

Temat: CISCO VPN client for Linux --problem konfiguracji

Reason: The Connection Manager was unable to read the connection
entry, or the connection entry has missing or incorrect information.
There are no new notification messages at this time.

Group name and group password potrzebny jest jesli to jest Point to Point VPN ... Byc moze tez username and password by pomogl ... upewnij se ze masz wszystkie info ... i nie krytukuj jak pytasz o pomoc :P
Jarosław Postawa

Jarosław Postawa Właściciel,
Dorvin.Net

Temat: CISCO VPN client for Linux --problem konfiguracji

Marek Dabrowski:
Group name and group password potrzebny jest jesli to jest Point to Point VPN ...

Nieprawda. To jest potrzebne, aby koncentrator potrafił odpowiednio zakwalifikować logującego się usera do grupy i wykorzystuje się przede wszystkim w RA. Username i hasło można podawać przy logowaniu, więc nie jest potrzebne w profilu.

Mi osobiście nie podoba się linijka:
CertName=Imie Nazwisko-cert.p12

a w szczególności niequotowana spacja. Później sprawdziłbym też prawa dostępu do pliku z profilem oraz katalogu, gdzie ten plik się znajduje.

Jarek
Marek Dabrowski

Marek Dabrowski Senior Network
Engineer

Temat: CISCO VPN client for Linux --problem konfiguracji

Nie mow ze Group nie mozna uzywac do P2P ... tak samo jak RA ... Zgadzam sie z toba ze to poprostu moze koncentrator zidentifikowac jakie ustawienia ma nadac temu uzytkownikowi ... Szczegulnie chodzi mi o Access list ... Ale czsami jest tak ze jesli nie ustawisz grupy to koncentrator lub ASA nie polaczy cie bez tego. To zalezy jak jest ustawione ... a gdybac to mozemy wieki :)

Co do hasla to musisz ustawic jak sie nie myle xauth ... bez tego nie bedzie pytac o username i password ... czy znow sie myle?
Jarosław Postawa

Jarosław Postawa Właściciel,
Dorvin.Net

Temat: CISCO VPN client for Linux --problem konfiguracji

Obawiam się, że group w tradycyjnym rozumieniu nie stosuje się do L2L, zwłaszcza legacy. Wymyślili to specjalnie dla RA i służy np. do nadawania IP, dnsów, ustawiania split tunnelingu i paru jeszcze innych rzeczy (całe group policy, czyli co danej grupie wolno).

Co do username/pass to stosuje się to do uwierzytelnienia konkretnego użytkownika, a nie maszyny nawiązującej połączenie. W szczególności ma to znaczenie w przypadku klientów hardwarowych, ale przy vpn client również. Poza tym po użytkowniku również przydziela się regułki policy.

Ogólnie zasada działania całego tego mechanizmu to temat na dość solidny wykład. :)
Marek Dabrowski

Marek Dabrowski Senior Network
Engineer

Temat: CISCO VPN client for Linux --problem konfiguracji

Hmm widze ze obojga dobrze rozumiemy ... Ale wydaje mi sie ze ty jednak masz wiecej racji. Zreszta u mnie nie najlepiej jest z wyslowieniem sie.

konto usunięte

Temat: CISCO VPN client for Linux --problem konfiguracji

Jarosław Postawa:
Marek Dabrowski:
Group name and group password potrzebny jest jesli to jest Point to Point VPN ...

Nieprawda. To jest potrzebne, aby koncentrator potrafił odpowiednio zakwalifikować logującego się usera do grupy i wykorzystuje się przede wszystkim w RA. Username i hasło można podawać przy logowaniu, więc nie jest potrzebne w profilu.

Mi osobiście nie podoba się linijka:
CertName=Imie Nazwisko-cert.p12

a w szczególności niequotowana spacja. Później sprawdziłbym też prawa dostępu do pliku z profilem oraz katalogu, gdzie ten plik się znajduje.

Jarek


Zmieniłem nazwe pliku certyfikaty na Imie_Nazwisko-cert.p12

dla pewnosci ustawilem prawa do wszystkich katalogów i plików na 777
ale błąd jest ten samAndrzej Arkadiusz C. edytował(a) ten post dnia 12.09.08 o godzinie 10:14

Następna dyskusja:

Cisco VPN Client na linux (...




Wyślij zaproszenie do