IPSec VPN z Linuxu na Cisco ASA 5500

AbcLinuxu:/ Blogy / Pavuk / IPSec VPN z Linuxu na Cisco ASA 5500

Štítky: C, cd, certifikat, Cisco, config, databáze, diff, distribuce, Fedora, heslo, Internet, IPsec, návod, OpenSSL, práva, problém, programování, skript, stahování, Su, sudo, Tar, Ubuntu, VPN, wget, Windows

IPSec VPN z Linuxu na Cisco ASA 5500

14.7.2010 22:19 | Přečteno: 2058× | Linux | poslední úprava: 4.7.2011 01:15

Donedávna som používal vpnc na pripojenie do firemnej siete k plnej spokojnosti. Problém nastal po zmene autentifikácie na Cisco ASA firewalle zo zdieľaného kľúča na certifikát. Vpnc certifikáty nevie. Tento zápis popisuje rýchle a škaredé riešenie.

Cisco VPN Client 5.0 pre Windows to má jednoduché - miesto Group Authentication zvoliť Certificate Authentication a vybrať certifikát. Certifikát má každý užívateľ automaticky z doménovej CA.

Po niekoľkých dňoch skúmania, skúšania a omylov sa rovnaká funkčnosť podarila aj na Linuxe pomocou ipsec-tools a IKE démona racoon.

Aktualizácia: ipsec-tools vo verzii 0.8 funguje správne proti Cisco ASA bez úpravy zdrojového kódu. Stačí stiahnuť, zostaviť a nastaviť podľa návodu.

Problémom na ktorý som narazil bolo, že Cisco ASA 5520 neoznamuje klientovi že zvláda XUATH. Respektíve možno aj oznamuje, ale racoon nerozumie. V každom prípade, racoon kontroluje či protistrana vie XAUTH, ak nevie, racoon nepošle zadané XAUTH meno a heslo. V logu sa objaví:
racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable

Rýchle a škaredé riešenie:
Vypnúť návratové hodnoty vo funkciách kontrolujúcich XAUTH schopnosť protistrany. Treba odkomentovať riadok "return NULL;", v súbore ipsec-tools-0.7.3/src/racoon/isakmp_xauth.c to sú riadky 1386 a 1537, zostaviť a nainštalovať.

Diff rozdiel súboru isakmp_xauth.c:

1386c1386

<                             //return NULL;

---

>                             return NULL;

1537c1537

<                             //return NULL;

---

>                             return NULL;

Návod pre Fedora 13:

yum install -y kernel-headers

yum install -y openssl-devel

yum install -y flex

wget http://sourceforge.net/projects/ipsec-tools/files/ipsec-tools/0.7.3/ipsec-tools-0.7.3.tar.bz2/download

tar -jxvf ipsec-tools-0.7.3.tar.bz2

cd ipsec-tools-0.7.3

export CFLAGS=-fno-strict-aliasing

make clean

Upraviť súbor src/racoon/isakmp_xauth.c ako je popísané v predchádzajúcom odstavci.

./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/racoon --localstatedir=/var --enable-natt --enable-frag --enable-hybrid --enable-dpd --enable-adminport --enable-security-context=no --with-kernel-headers=/usr/include --enable-stats

make

make install

Návod pre Ubuntu 10.04:

sudo apt-get install linux-headers-generic

sudo apt-get install libssl-dev

sudo apt-get install flex

sudo apt-get remove ipsec-tools

wget http://sourceforge.net/projects/ipsec-tools/files/ipsec-tools/0.7.3/ipsec-tools-0.7.3.tar.bz2/download

tar -jxvf ipsec-tools-0.7.3.tar.bz2

cd ipsec-tools-0.7.3

export CFLAGS=-fno-strict-aliasing

sudo ln -s /usr/src/linux-headers-2.6.32-23 /usr/src/linux

make clean

Upraviť súbor src/racoon/isakmp_xauth.c ako je popísané v predchádzajúcom odstavci.

./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/racoon --localstatedir=/var --enable-natt --enable-frag --enable-hybrid --enable-dpd --enable-adminport --enable-security-context=no --with-kernel-headers=/usr/include/linux --enable-stats

make

sudo make install

Certifikáty:
Užívateľský certifikát treba exportovať z Windows pomocou Start->Run->certmgr.msc, vybrať Personal->Certificates, vybrať platný certifikát a exportovať ho so súkromným kľúčom, všetkými nadradenými certifikátmi, zadať heslo, uložiť do súboru user_xy.pfx a skopírovať do Linuxu.
V Linuxe potom treba vytiahnuť klientský certifikát do súboru user_xy.pem:

openssl pkcs12 -in user_xy.pfx -out user_xy.pem -nodes -clcerts -nokeys

Vytiahnuť súkromný kľúč do súboru user_xy.key:

openssl pkcs12 -in user_xy.pfx -out user_xy.key -nodes -nocerts

Vytiahnuť certifikáty nadradených autorít do súboru company_ca.pem:

openssl pkcs12 -in user_xy.pfx -out company_ca.pem -nodes -cacerts -nokeys

Tieto tri súbory treba skopírovať do adresára /etc/racoon/certs.
Nastaviť nadradené certifikáty ako dôveryhodné:

ln -s company_ca.pem `openssl x509 -noout -hash -in company_ca.pem`.0

Nastaviť práva 0600 na súbor user_xy.key

chmod 0600 /etc/racoon/certs/user_xy.key

Overiť klientský certifikát:

openssl verify -CAfile /etc/racoon/certs/company_ca.pem user_xy.pem

Súbor /etc/racoon/racoon.conf:

# Racoon IKE daemon configuration file.

# See 'man racoon.conf' for a description of the format and entries.



path include "/etc/racoon";

path pre_shared_key "/etc/racoon/psk.txt";

path certificate "/etc/racoon/certs";

path script "/etc/racoon/scripts";

log debug2;



sainfo anonymous

{

        pfs_group 2;

        lifetime time 1 hour ;

        encryption_algorithm 3des, aes ;

        authentication_algorithm hmac_sha1, hmac_md5 ;

        compression_algorithm deflate ;

}



remote 11.22.33.44

{

        exchange_mode main;

        my_identifier asn1dn;

        certificate_type x509 "user_xy.pem" "user_xy.key";

        ca_type x509 "company_ca.pem";

        mode_cfg on;

        nat_traversal on;

        ike_frag on;

        verify_cert off;

        verify_identifier off;

        script "p1_up_down" phase1_up;

        script "p1_up_down" phase1_down;

        proposal

        {

                encryption_algorithm aes256;

                hash_algorithm sha1;

                authentication_method xauth_rsa_client;

                dh_group 2;

        }

        proposal

        {

                encryption_algorithm 3des;

                hash_algorithm sha1;

                authentication_method xauth_rsa_client;

                dh_group 2;

        }

}

Nainštalovať obslužný skript /etc/racoon/scripts/p1_up_down

wget http://www.contrib.andrew.cmu.edu/~somlo/p1_up_down

chmod 0700 /etc/racoon/scripts/p1_up_down

Naštartovať racoon:
racoon -vvv -ddd

Pripojenie pomocou IPSec VPN do práce:

racoonctl vc -u user_xy 11.22.33.44

Password:

Heslom sa samozrejme myslí heslo užívateľa user_xy vo firemnej Active Directory alebo inej databáze užívateľov.

Výpis bezpečnostných priradení (SA):
setkey -D
Pri správnom IPSec spojení musí obsahovať aspoň dve priradenia.

Ukončenie VPN spojenia:
racoonctl vd 11.22.33.44

To je všetko. Prajem Vám i sebe príjemnú prácu na diaľku z pohodlia domova.

Hodnocení: 100 %

špatné • dobré

Obrázky

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

14.7.2010 22:34 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

Odpovědět | Sbalit | Link | Blokovat | Admin

Kdysi davno jsem se take pral s IPSECem linux vs Cisco PIX a racoon jsem vzdal pomerne brzy. OpenSWAN zafungoval mnohem driv.

14.7.2010 22:51 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

OpenSwan som tiež skúmal, ale vôbec som neporozumel ako pristupujú k certifikátom a na tom to stroskotalo. Ak máš po ruke nejaký OpenSwan konfig, mohol by si ho tu ukázať.

14.7.2010 23:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

Odpovědět | Sbalit | Link | Blokovat | Admin

Nedávno jsem zjistil, že existuje něco jako Shrew VPN, ještě jsem neměl čas si s tim hrát.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

15.7.2010 09:30 skunerq | skóre: 19 | blog: skunerovo
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

shreesoft VPN je super, navic jako prvni umel windows 64b VPN clienta dobra dokumentace, umi VPNky proti vsem beznym VPN koncentratorum a navic nezasere system virtualnima sitovyma adapterama ...

15.7.2010 08:25 Pravák Bob | skóre: 13 | Praha
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

Odpovědět | Sbalit | Link | Blokovat | Admin

vpnc certifikáty umí, ale je nutné ho přeložit ze zdrojáků s

OPENSSL_GPL_VIOLATION = -DOPENSSL_GPL_VIOLATION 

OPENSSLLIBS = -lcrypto

a v konfigu použít

IKE Authmode hybrid

knowledge brings fear

15.7.2010 10:55 Ivan
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

Odpovědět | Sbalit | Link | Blokovat | Admin

Diky za navod !!. U nas VPN koncentrator tvrdi ze XAUTH umi, ale pouze v pripade, kdyz pouziu force mode(nebo agressive?)

15.7.2010 11:14 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

Práve agresívny režim je u nás zakázaný a povolený je len main. Ktosi odhalil že agresívny režim s XAUTH nie je bezpečný. Pre main režim a neznámu IP klienta treba aj tie certifikáty.

Založit nové vlákno • Nahoru