• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Howto CISCO VPN connection with openSUSE 12.1

Wizzzard

Wizzzard

Member
So habe ich zu meinem Firmennetz mit einer CISCO Firewall die Verbindung hergestellt.

Mir wurde dazu von den Administratoren ein CISCO VPN Client Profile Meine-Firma.pcf zur Verfügung gestellt.

Als root auf der Kommandozeile anmelden.

Das Paket vpnc installieren:
Code: 
zypper in vpnc

Jetzt das Profile in eine Konfigurationsdatei für vpnc umwandeln:
Code: 
pcf2vpnc Meine-Firma.pcf /etc/vpnc/Meine-Firma.conf

Die Rechte noch setzen:
Code: 
chmod 600  /etc/vpnc/Meine-Firma.conf

Achtung: Dies wird als unsicher betrachtet! Siehe man vpnc.
Wenn man das Kennwort nicht jedesmal auf der Kommandozeile eingeben will, noch folgendes in die Konfigurationsdatei schreiben:
Code: 
Xauth password <password>

Verbindung herstellen:
Code: 
vpnc /etc/vpnc/Meine-Firma.conf

Verbindung trennen:
Code: 
vpnc-disconnect

Mit dem KDE-Programm kvpnc habe ich das nicht hinbekommen. Da sind wohl noch Fehler drin.
 
S

spoensche

Moderator
Teammitglied
Wie kommst du auf Xauth? Mit xauth erlaubst du eine Verbindung von einem Xclient zu deinem X-Server. Kurz um du hast dir ein schönes Loch ins System eingepflanzt, weil xauth i.d.R. für Terminalserver (dein Rechner wäre in diesem Fall der Terminalserver) benötigt.
 
OP
Wizzzard

Wizzzard

Member
Bei mir fehlte noch was. Die Dead-Peer-Detection führte nach einiger Zeit immer wieder zum Verbindungsabbruch. Daher noch folgendes in die Konfigurationsdatei eintragen:

Code: 
DPD idle timeout (our side) 0
 
OP
Wizzzard

Wizzzard

Member
Hier ein Beispiel für die Konfigurationsdatei /etc/vpnc/Meine-Firma.conf:
Code: 
## generated by pcf2vpnc
IPSec ID VPN_Tunnel_My_Company
IPSec gateway 192.168.1.11
IPSec secret <Gruppen-Passwort>

Xauth username wizzzard
Xauth password gEhEim
IKE Authmode psk
DPD idle timeout (our side) 0
 
S

spoensche

Moderator
Teammitglied
Nur weil es in der Manpage von vpnc drin steht, heisst das noch lange nicht, das es für deinen Anwendungsfall sinnvoll ist. Wenn du dir selbst ein Loch ins System setzten willst, nur um kein Passwort eintippen zu müssen, kannst du das machen.

Bedenke aber, die erfolgreichsten Angriffe kommen von Innen.
Wenn möglich solltest du eine zertifikatsbasierte Authentifizierung verwenden, dann brauchst du auch kein Passwort eintippen.

Was sagen die Logs vom vpnc bzw. starte den vpnc mal per Konsole und poste bitte die Ausgaben. Hast du daran gedacht dass dein Router die Pakete verändert und möglicherweise deshalb die Anmeldung scheitert? (Stichwort NAT-T)
 
OP
Wizzzard

Wizzzard

Member
Wenn die Systemadministration keine Zertifikate verwendet, dann kann ich nichts machen. Bin ja froh, dass ich überhaupt eine Verbindung herstellen kann. In dem Unternehmen, in dem ich arbeite wird num mal sehr gerne proprietärer Kram verwendet, und Einfluß habe ich darauf keinen.

Ich wollte ja hier nur posten, wie ich eine Verbindung herstellen konnte, und nicht jeden Fall abhandeln, der in der freien Wildbahn sonst noch vorkommt.
 
S

spoensche

Moderator
Teammitglied
Wizzzard schrieb:
Wenn die Systemadministration keine Zertifikate verwendet, dann kann ich nichts machen
Zum Vergrößern anklicken....
Naja du könntest den Administratoren mal den Vorschlag unterbreiten. ;)

Wizzzard schrieb:
Ich wollte ja hier nur posten, wie ich eine Verbindung herstellen konnte, und nicht jeden Fall abhandeln, der in der freien Wildbahn sonst noch vorkommt.
Zum Vergrößern anklicken....

Das finde ich ja auch gut.
Ich wollte dich nur die Sicherheitsproblematik mit xauth aufmerksam machen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben