abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:00 | Upozornění

    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

    Ladislav Hagara | Komentářů: 3
    dnes 16:44 | IT novinky

    Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

    Ladislav Hagara | Komentářů: 4
    dnes 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    dnes 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    dnes 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 10
    dnes 05:11 | Komunita

    Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

    🇹🇬 | Komentářů: 34
    dnes 04:44 | Nová verze

    Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

    Ladislav Hagara | Komentářů: 3
    včera 16:44 | Nová verze

    Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | IT novinky

    Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

    Ladislav Hagara | Komentářů: 22
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (17%)
    Celkem 282 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    IPSec VPN z Linuxu na Cisco ASA 5500

    14.7.2010 22:19 | Přečteno: 2039× | Linux | poslední úprava: 4.7.2011 01:15

    Donedávna som používal vpnc na pripojenie do firemnej siete k plnej spokojnosti. Problém nastal po zmene autentifikácie na Cisco ASA firewalle zo zdieľaného kľúča na certifikát. Vpnc certifikáty nevie. Tento zápis popisuje rýchle a škaredé riešenie.

    Cisco VPN Client 5.0 pre Windows to má jednoduché - miesto Group Authentication zvoliť Certificate Authentication a vybrať certifikát. Certifikát má každý užívateľ automaticky z doménovej CA.

    Po niekoľkých dňoch skúmania, skúšania a omylov sa rovnaká funkčnosť podarila aj na Linuxe pomocou ipsec-tools a IKE démona racoon.

    Aktualizácia: ipsec-tools vo verzii 0.8 funguje správne proti Cisco ASA bez úpravy zdrojového kódu. Stačí stiahnuť, zostaviť a nastaviť podľa návodu.

    Problémom na ktorý som narazil bolo, že Cisco ASA 5520 neoznamuje klientovi že zvláda XUATH. Respektíve možno aj oznamuje, ale racoon nerozumie. V každom prípade, racoon kontroluje či protistrana vie XAUTH, ak nevie, racoon nepošle zadané XAUTH meno a heslo. V logu sa objaví:
    racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable

    Rýchle a škaredé riešenie:
    Vypnúť návratové hodnoty vo funkciách kontrolujúcich XAUTH schopnosť protistrany. Treba odkomentovať riadok "return NULL;", v súbore ipsec-tools-0.7.3/src/racoon/isakmp_xauth.c to sú riadky 1386 a 1537, zostaviť a nainštalovať.

    Diff rozdiel súboru isakmp_xauth.c:
    1386c1386
    < //return NULL;
    ---
    > return NULL;
    1537c1537
    < //return NULL;
    ---
    > return NULL;

    Návod pre Fedora 13:
    yum install -y kernel-headers
    yum install -y openssl-devel
    yum install -y flex
    wget http://sourceforge.net/projects/ipsec-tools/files/ipsec-tools/0.7.3/ipsec-tools-0.7.3.tar.bz2/download
    tar -jxvf ipsec-tools-0.7.3.tar.bz2
    cd ipsec-tools-0.7.3
    export CFLAGS=-fno-strict-aliasing
    make clean
    Upraviť súbor src/racoon/isakmp_xauth.c ako je popísané v predchádzajúcom odstavci.
    ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/racoon --localstatedir=/var --enable-natt --enable-frag --enable-hybrid --enable-dpd --enable-adminport --enable-security-context=no --with-kernel-headers=/usr/include --enable-stats
    make
    make install

    Návod pre Ubuntu 10.04:
    sudo apt-get install linux-headers-generic
    sudo apt-get install libssl-dev
    sudo apt-get install flex
    sudo apt-get remove ipsec-tools
    wget http://sourceforge.net/projects/ipsec-tools/files/ipsec-tools/0.7.3/ipsec-tools-0.7.3.tar.bz2/download
    tar -jxvf ipsec-tools-0.7.3.tar.bz2
    cd ipsec-tools-0.7.3
    export CFLAGS=-fno-strict-aliasing
    sudo ln -s /usr/src/linux-headers-2.6.32-23 /usr/src/linux
    make clean
    Upraviť súbor src/racoon/isakmp_xauth.c ako je popísané v predchádzajúcom odstavci.
    ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/racoon --localstatedir=/var --enable-natt --enable-frag --enable-hybrid --enable-dpd --enable-adminport --enable-security-context=no --with-kernel-headers=/usr/include/linux --enable-stats
    make
    sudo make install

    Certifikáty:
    Užívateľský certifikát treba exportovať z Windows pomocou Start->Run->certmgr.msc, vybrať Personal->Certificates, vybrať platný certifikát a exportovať ho so súkromným kľúčom, všetkými nadradenými certifikátmi, zadať heslo, uložiť do súboru user_xy.pfx a skopírovať do Linuxu.
    V Linuxe potom treba vytiahnuť klientský certifikát do súboru user_xy.pem:
    openssl pkcs12 -in user_xy.pfx -out user_xy.pem -nodes -clcerts -nokeys
    Vytiahnuť súkromný kľúč do súboru user_xy.key:
    openssl pkcs12 -in user_xy.pfx -out user_xy.key -nodes -nocerts
    Vytiahnuť certifikáty nadradených autorít do súboru company_ca.pem:
    openssl pkcs12 -in user_xy.pfx -out company_ca.pem -nodes -cacerts -nokeys
    Tieto tri súbory treba skopírovať do adresára /etc/racoon/certs.
    Nastaviť nadradené certifikáty ako dôveryhodné:
    ln -s company_ca.pem `openssl x509 -noout -hash -in company_ca.pem`.0
    Nastaviť práva 0600 na súbor user_xy.key
    chmod 0600 /etc/racoon/certs/user_xy.key
    Overiť klientský certifikát:
    openssl verify -CAfile /etc/racoon/certs/company_ca.pem user_xy.pem

    Súbor /etc/racoon/racoon.conf:
    # Racoon IKE daemon configuration file.
    # See 'man racoon.conf' for a description of the format and entries.

    path include "/etc/racoon";
    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";
    path script "/etc/racoon/scripts";
    log debug2;

    sainfo anonymous
    {
    pfs_group 2;
    lifetime time 1 hour ;
    encryption_algorithm 3des, aes ;
    authentication_algorithm hmac_sha1, hmac_md5 ;
    compression_algorithm deflate ;
    }

    remote 11.22.33.44
    {
    exchange_mode main;
    my_identifier asn1dn;
    certificate_type x509 "user_xy.pem" "user_xy.key";
    ca_type x509 "company_ca.pem";
    mode_cfg on;
    nat_traversal on;
    ike_frag on;
    verify_cert off;
    verify_identifier off;
    script "p1_up_down" phase1_up;
    script "p1_up_down" phase1_down;
    proposal
    {
    encryption_algorithm aes256;
    hash_algorithm sha1;
    authentication_method xauth_rsa_client;
    dh_group 2;
    }
    proposal
    {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method xauth_rsa_client;
    dh_group 2;
    }
    }

    Nainštalovať obslužný skript /etc/racoon/scripts/p1_up_down
    wget http://www.contrib.andrew.cmu.edu/~somlo/p1_up_down
    chmod 0700 /etc/racoon/scripts/p1_up_down

    Naštartovať racoon:
    racoon -vvv -ddd

    Pripojenie pomocou IPSec VPN do práce:
    racoonctl vc -u user_xy 11.22.33.44
    Password:

    Heslom sa samozrejme myslí heslo užívateľa user_xy vo firemnej Active Directory alebo inej databáze užívateľov.

    Výpis bezpečnostných priradení (SA):
    setkey -D
    Pri správnom IPSec spojení musí obsahovať aspoň dve priradenia.

    Ukončenie VPN spojenia:
    racoonctl vd 11.22.33.44

    To je všetko. Prajem Vám i sebe príjemnú prácu na diaľku z pohodlia domova.        

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    IPSec VPN z Linuxu na Cisco ASA 5500, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    14.7.2010 22:34 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    Kdysi davno jsem se take pral s IPSECem linux vs Cisco PIX a racoon jsem vzdal pomerne brzy. OpenSWAN zafungoval mnohem driv.
    14.7.2010 22:51 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    OpenSwan som tiež skúmal, ale vôbec som neporozumel ako pristupujú k certifikátom a na tom to stroskotalo. Ak máš po ruke nejaký OpenSwan konfig, mohol by si ho tu ukázať.
    vencour avatar 14.7.2010 23:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500

    Nedávno jsem zjistil, že existuje něco jako Shrew VPN, ještě jsem neměl čas si s tim hrát.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.7.2010 09:30 skunerq | skóre: 19 | blog: skunerovo
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    shreesoft VPN je super, navic jako prvni umel windows 64b VPN clienta dobra dokumentace, umi VPNky proti vsem beznym VPN koncentratorum a navic nezasere system virtualnima sitovyma adapterama ...
    Pravák Bob avatar 15.7.2010 08:25 Pravák Bob | skóre: 13 | Praha
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    vpnc certifikáty umí, ale je nutné ho přeložit ze zdrojáků s

    OPENSSL_GPL_VIOLATION = -DOPENSSL_GPL_VIOLATION

    OPENSSLLIBS = -lcrypto

    a v konfigu použít

    IKE Authmode hybrid
    knowledge brings fear
    15.7.2010 10:55 Ivan
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    Diky za navod !!. U nas VPN koncentrator tvrdi ze XAUTH umi, ale pouze v pripade, kdyz pouziu force mode(nebo agressive?)

    15.7.2010 11:14 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPSec VPN z Linuxu na Cisco ASA 5500
    Práve agresívny režim je u nás zakázaný a povolený je len main. Ktosi odhalil že agresívny režim s XAUTH nie je bezpečný. Pre main režim a neznámu IP klienta treba aj tie certifikáty.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.