abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 20:22 | Zajímavý software

    Navigace se soukromím CoMaps postavena nad OpenStreetMap je nově k dispozici v Google Play, App Store i F-Droid. Jedná se o komunitní fork aplikace Organic Maps.

    Ladislav Hagara | Komentářů: 1
    4.7. 19:33 | Nová verze

    Vývojáři OpenMW (Wikipedie) oznámili vydání verze 0.49.0 této svobodné implementace enginu pro hru The Elder Scrolls III: Morrowind. Přehled novinek i s náhledy obrazovek v oznámení o vydání.

    Ladislav Hagara | Komentářů: 1
    4.7. 15:22 | IT novinky

    Masivní výpadek elektrického proudu zasáhl velkou část České republiky. Hasiči vyjížděli k většímu počtu lidí uvězněných ve výtazích. Výpadek se týkal zejména severozápadu republiky, dotkl se také Prahy, Středočeského nebo Královéhradeckého kraje. Ochromen byl provoz pražské MHD, linky metra se už podařilo obnovit. Výpadek proudu postihl osm rozvoden přenosové soustavy, pět z nich je nyní opět v provozu. Příčina problémů je však stále neznámá. Po 16. hodině zasedne Ústřední krizový štáb.

    Ladislav Hagara | Komentářů: 46
    4.7. 02:33 | Nová verze

    Po více než roce vývoje od vydání verze 5.40 byla vydána nová stabilní verze 5.42 programovacího jazyka Perl (Wikipedie). Do vývoje se zapojilo 64 vývojářů. Změněno bylo přibližně 280 tisíc řádků v 1 500 souborech. Přehled novinek a změn v podrobném seznamu.

    Ladislav Hagara | Komentářů: 7
    4.7. 01:33 | Nová verze

    Byla vydána nová stabilní verze 7.5 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 138. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    3.7. 16:33 | Zajímavý software

    Sniffnet je multiplatformní aplikace pro sledování internetového provozu. Ke stažení pro Windows, macOS i Linux. Jedná se o open source software. Zdrojové kódy v programovacím jazyce Rust jsou k dispozici na GitHubu. Vývoj je finančně podporován NLnet Foundation.

    Ladislav Hagara | Komentářů: 0
    3.7. 12:33 | Nová verze

    Byl vydán Debian Installer Trixie RC 2, tj. druhá RC verze instalátoru Debianu 13 s kódovým názvem Trixie.

    Ladislav Hagara | Komentářů: 0
    3.7. 03:33 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za červen (YouTube).

    Ladislav Hagara | Komentářů: 0
    3.7. 02:33 | Nová verze

    Libreboot (Wikipedie) – svobodný firmware nahrazující proprietární BIOSy, distribuce Corebootu s pravidly pro proprietární bloby – byl vydán ve verzi 25.06 "Luminous Lemon". Přidána byla podpora desek Acer Q45T-AM a Dell Precision T1700 SFF a MT. Současně byl ve verzi 25.06 "Onerous Olive" vydán také Canoeboot, tj. fork Librebootu s ještě přísnějšími pravidly.

    Ladislav Hagara | Komentářů: 0
    3.7. 01:33 | Komunita

    Licence GNU GPLv3 o víkendu oslavila 18 let. Oficiálně vyšla 29. června 2007. Při té příležitosti Richard E. Fontana a Bradley M. Kuhn restartovali, oživili a znovu spustili projekt Copyleft-Next s cílem prodiskutovat a navrhnout novou licenci.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (60%)
     (27%)
     (7%)
     (2%)
     (1%)
     (1%)
     (3%)
    Celkem 356 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    IPSec VPN z Linuxu na Cisco ASA 5500

    14.7.2010 22:19 | Přečteno: 2034× | Linux | poslední úprava: 4.7.2011 01:15

    Donedávna som používal vpnc na pripojenie do firemnej siete k plnej spokojnosti. Problém nastal po zmene autentifikácie na Cisco ASA firewalle zo zdieľaného kľúča na certifikát. Vpnc certifikáty nevie. Tento zápis popisuje rýchle a škaredé riešenie.

    Cisco VPN Client 5.0 pre Windows to má jednoduché - miesto Group Authentication zvoliť Certificate Authentication a vybrať certifikát. Certifikát má každý užívateľ automaticky z doménovej CA.

    Po niekoľkých dňoch skúmania, skúšania a omylov sa rovnaká funkčnosť podarila aj na Linuxe pomocou ipsec-tools a IKE démona racoon.

    Aktualizácia: ipsec-tools vo verzii 0.8 funguje správne proti Cisco ASA bez úpravy zdrojového kódu. Stačí stiahnuť, zostaviť a nastaviť podľa návodu.

    Problémom na ktorý som narazil bolo, že Cisco ASA 5520 neoznamuje klientovi že zvláda XUATH. Respektíve možno aj oznamuje, ale racoon nerozumie. V každom prípade, racoon kontroluje či protistrana vie XAUTH, ak nevie, racoon nepošle zadané XAUTH meno a heslo. V logu sa objaví:
    racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable

    Rýchle a škaredé riešenie:
    Vypnúť návratové hodnoty vo funkciách kontrolujúcich XAUTH schopnosť protistrany. Treba odkomentovať riadok "return NULL;", v súbore ipsec-tools-0.7.3/src/racoon/isakmp_xauth.c to sú riadky 1386 a 1537, zostaviť a nainštalovať.

    Diff rozdiel súboru isakmp_xauth.c:
    1386c1386
    < //return NULL;
    ---
    > return NULL;
    1537c1537
    < //return NULL;
    ---
    > return NULL;

    Návod pre Fedora 13:
    yum install -y kernel-headers
    yum install -y openssl-devel
    yum install -y flex
    wget http://sourceforge.net/projects/ipsec-tools/files/ipsec-tools/0.7.3/ipsec-tools-0.7.3.tar.bz2/download
    tar -jxvf ipsec-tools-0.7.3.tar.bz2
    cd ipsec-tools-0.7.3
    export CFLAGS=-fno-strict-aliasing
    make clean
    Upraviť súbor src/racoon/isakmp_xauth.c ako je popísané v predchádzajúcom odstavci.
    ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/racoon --localstatedir=/var --enable-natt --enable-frag --enable-hybrid --enable-dpd --enable-adminport --enable-security-context=no --with-kernel-headers=/usr/include --enable-stats
    make
    make install

    Návod pre Ubuntu 10.04:
    sudo apt-get install linux-headers-generic
    sudo apt-get install libssl-dev
    sudo apt-get install flex
    sudo apt-get remove ipsec-tools
    wget http://sourceforge.net/projects/ipsec-tools/files/ipsec-tools/0.7.3/ipsec-tools-0.7.3.tar.bz2/download
    tar -jxvf ipsec-tools-0.7.3.tar.bz2
    cd ipsec-tools-0.7.3
    export CFLAGS=-fno-strict-aliasing
    sudo ln -s /usr/src/linux-headers-2.6.32-23 /usr/src/linux
    make clean
    Upraviť súbor src/racoon/isakmp_xauth.c ako je popísané v predchádzajúcom odstavci.
    ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/racoon --localstatedir=/var --enable-natt --enable-frag --enable-hybrid --enable-dpd --enable-adminport --enable-security-context=no --with-kernel-headers=/usr/include/linux --enable-stats
    make
    sudo make install

    Certifikáty:
    Užívateľský certifikát treba exportovať z Windows pomocou Start->Run->certmgr.msc, vybrať Personal->Certificates, vybrať platný certifikát a exportovať ho so súkromným kľúčom, všetkými nadradenými certifikátmi, zadať heslo, uložiť do súboru user_xy.pfx a skopírovať do Linuxu.
    V Linuxe potom treba vytiahnuť klientský certifikát do súboru user_xy.pem:
    openssl pkcs12 -in user_xy.pfx -out user_xy.pem -nodes -clcerts -nokeys
    Vytiahnuť súkromný kľúč do súboru user_xy.key:
    openssl pkcs12 -in user_xy.pfx -out user_xy.key -nodes -nocerts
    Vytiahnuť certifikáty nadradených autorít do súboru company_ca.pem:
    openssl pkcs12 -in user_xy.pfx -out company_ca.pem -nodes -cacerts -nokeys
    Tieto tri súbory treba skopírovať do adresára /etc/racoon/certs.
    Nastaviť nadradené certifikáty ako dôveryhodné:
    ln -s company_ca.pem `openssl x509 -noout -hash -in company_ca.pem`.0
    Nastaviť práva 0600 na súbor user_xy.key
    chmod 0600 /etc/racoon/certs/user_xy.key
    Overiť klientský certifikát:
    openssl verify -CAfile /etc/racoon/certs/company_ca.pem user_xy.pem

    Súbor /etc/racoon/racoon.conf:
    # Racoon IKE daemon configuration file.
    # See 'man racoon.conf' for a description of the format and entries.

    path include "/etc/racoon";
    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";
    path script "/etc/racoon/scripts";
    log debug2;

    sainfo anonymous
    {
    pfs_group 2;
    lifetime time 1 hour ;
    encryption_algorithm 3des, aes ;
    authentication_algorithm hmac_sha1, hmac_md5 ;
    compression_algorithm deflate ;
    }

    remote 11.22.33.44
    {
    exchange_mode main;
    my_identifier asn1dn;
    certificate_type x509 "user_xy.pem" "user_xy.key";
    ca_type x509 "company_ca.pem";
    mode_cfg on;
    nat_traversal on;
    ike_frag on;
    verify_cert off;
    verify_identifier off;
    script "p1_up_down" phase1_up;
    script "p1_up_down" phase1_down;
    proposal
    {
    encryption_algorithm aes256;
    hash_algorithm sha1;
    authentication_method xauth_rsa_client;
    dh_group 2;
    }
    proposal
    {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method xauth_rsa_client;
    dh_group 2;
    }
    }

    Nainštalovať obslužný skript /etc/racoon/scripts/p1_up_down
    wget http://www.contrib.andrew.cmu.edu/~somlo/p1_up_down
    chmod 0700 /etc/racoon/scripts/p1_up_down

    Naštartovať racoon:
    racoon -vvv -ddd

    Pripojenie pomocou IPSec VPN do práce:
    racoonctl vc -u user_xy 11.22.33.44
    Password:

    Heslom sa samozrejme myslí heslo užívateľa user_xy vo firemnej Active Directory alebo inej databáze užívateľov.

    Výpis bezpečnostných priradení (SA):
    setkey -D
    Pri správnom IPSec spojení musí obsahovať aspoň dve priradenia.

    Ukončenie VPN spojenia:
    racoonctl vd 11.22.33.44

    To je všetko. Prajem Vám i sebe príjemnú prácu na diaľku z pohodlia domova.        

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    IPSec VPN z Linuxu na Cisco ASA 5500, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    14.7.2010 22:34 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    Kdysi davno jsem se take pral s IPSECem linux vs Cisco PIX a racoon jsem vzdal pomerne brzy. OpenSWAN zafungoval mnohem driv.
    14.7.2010 22:51 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    OpenSwan som tiež skúmal, ale vôbec som neporozumel ako pristupujú k certifikátom a na tom to stroskotalo. Ak máš po ruke nejaký OpenSwan konfig, mohol by si ho tu ukázať.
    vencour avatar 14.7.2010 23:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

    Nedávno jsem zjistil, že existuje něco jako Shrew VPN, ještě jsem neměl čas si s tim hrát.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.7.2010 09:30 skunerq | skóre: 19 | blog: skunerovo
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    shreesoft VPN je super, navic jako prvni umel windows 64b VPN clienta dobra dokumentace, umi VPNky proti vsem beznym VPN koncentratorum a navic nezasere system virtualnima sitovyma adapterama ...
    Pravák Bob avatar 15.7.2010 08:25 Pravák Bob | skóre: 13 | Praha
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    vpnc certifikáty umí, ale je nutné ho přeložit ze zdrojáků s

    OPENSSL_GPL_VIOLATION = -DOPENSSL_GPL_VIOLATION

    OPENSSLLIBS = -lcrypto

    a v konfigu použít

    IKE Authmode hybrid
    knowledge brings fear
    15.7.2010 10:55 Ivan
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    Diky za navod !!. U nas VPN koncentrator tvrdi ze XAUTH umi, ale pouze v pripade, kdyz pouziu force mode(nebo agressive?)

    15.7.2010 11:14 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    Práve agresívny režim je u nás zakázaný a povolený je len main. Ktosi odhalil že agresívny režim s XAUTH nie je bezpečný. Pre main režim a neznámu IP klienta treba aj tie certifikáty.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.