Roadwarrior на StrongSwan и Cisco VPN gateway c авторизацией по токену.

1

2

Доброе время суток, уважаемые форумчане.

Есть настроенный Cisco VPN Client под оффтопиком, успешно соединяется.

Схема такова: <рабстанция> - <Подсеть моего предприятия >-<Шлюз предприятия> -<Интернет>-<VPN gateway>-<подсеть заказчика>

Цель - настроить аналогично в Linux

Доступ к «правой» стороне (которая циска) отсутствует, это админы телекома («Машинно-Тракторная Станция»).

Ситуация осложняется тем, что клиент авторизуется по токену, но, к счастью, вендор успел запилить драйвера, под пару дистрибутивов Linux

Удалось, судя мо моему логу подключения, настроить только «Фазу 1», на «Фазе 2» всё наглухо виснет. Пробовал 100500 разных параметров, особых изменений это не принесло.

Вот тут лог подключения, снятый оффтопным Cisco VPN Client с максимальным дебагом. (юзернем изменён :) ) http://pastebin.com/zwDPp7S5

ниже будет доп. инфа.

Ссылка

←	Визуализация логов сквида

Debian. Shell in a Box

→

вот конфиг с моей стороны по мотивам лога и дампа wireshark:

config setup
	plutodebug=all
	cachecrls=yes
	nat_traversal=yes
	crlcheckinterval=600
	charonstart=yes
	plutostart=yes
	pkcs11module=/usr/lib/libeTPkcs11.so

conn mts
	keyexchange=ikev1
	right=vpns.mts.ru
	rightid="C=RU, O=Mobile TeleSystems OJSC, OU=IT, CN=vpns.mts.ru"
	rightcert=mts_vpn_new.pem
	modeconfig = pull
	ikelifetime=32s
	ike=aes128-sha1-modp1024
	left=%defaultroute
	leftcert=%smartcard
	auto=add

Flammpanzer
(22.08.12 18:25:43 MSK) автор топика

Ответ на: комментарий от Flammpanzer 22.08.12 18:25:43 MSK

а Cisco AnyConnect использовать нельзя?

val-amart ★★★★★
(23.08.12 13:47:21 MSK)

Ответ на: комментарий от val-amart 23.08.12 13:47:21 MSK

Как я понял, AnyConnect использует SSL, а у нас именно IPSec

Вспомнил слова одного сотрудника МТС-а, что ему на Убунте удалось это настроить, но во-первых, я не знаю как его зовут, во вторых, тогда у нас была какая-то смарт-карта, которая под линуксом не поддерживается вообще, официальная версия максимум под оффтопик-2001

Сейчас же токен имеет пусть проприетарные дрова, но вполне себе рабочие.

Flammpanzer
(23.08.12 16:58:59 MSK) автор топика

Ссылка

Ответ на: комментарий от Flammpanzer 22.08.12 18:25:43 MSK

Есть дамп Cisco VPN Client силами Wireshark, но я его очкую выкладывать в паблик :)

Если есть интересующиеся, могу скинуть приватно.

Flammpanzer
(23.08.12 17:01:18 MSK) автор топика

19 июля 2014 г.

Ответ на: комментарий от Flammpanzer 23.08.12 17:01:18 MSK

nakolesah.net

http://nakolesah.net/

Dimitriy777
(19.07.14 23:13:18 MSK)

Ссылка

Если еще кому-либо актуально, эти хорьки кроме RSA еще используют XAuth. Соответственно в конфиг нужно добавить leftauth2=xauth Я еще в ipsec.secrets добавил строчку:

: XAUTH

но не уверен, что это необходимо.

anonymous
(14.08.14 16:47:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Визуализация логов сквида

Admin

Debian. Shell in a Box

→

nakolesah.net

Похожие темы