Настройка vpnc

[r0man_]

Настраиваю vpn с Cisco, используя vpnc, некоторые вещи не понятны.
Есть ключ isakmp, а в конфигу предлагают имя/пароль указывать,
так же Isakmp policy - в конфиге vpnc не нашел, где можно указать.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Код: Выделить всё

sh ver
sh running config 
show isakmp policy
 

ну и вообще

Код: Выделить всё

isakmp enable outside
isakmp identity address

[r0man_]

У меня нет доступа к Cisco, прислали только настройки, которых должно хватить.
Вот они:
ip-сервера
Ключ isakmp: XXXXXXXXXXXXXXXX

Код: Выделить всё

transform-set:  esp-3des esp-sha-hmac
PFS:    Group 2
Isakmp policy:  
                9 authentication pre-share 
                9 encryption 3des 
                9 hash sha 
                9 group 2 
                9 lifetime 3600 
                20 authentication pre-share 
                20 encryption 3des 
                20 hash md5 
                20 group 2 
                20 lifetime 3600 
                21 authentication pre-share 
                21 encryption 3des 
                21 hash sha 
                21 group 1 
                21 lifetime 3600 
                30 authentication pre-share 
                30 encryption des 
                30 hash sha 
                30 group 2 
                30 lifetime 3600

[zingel]

Код: Выделить всё

isakmp key

[r0man_]

В man vpnc нет параметра isakmp key
Когда добавляю в конфиг - ругается.

[zingel]

на кошке

[r0man_]

В том то и дело, что Cisco у сторонней конторы, прислали инфу для подключения. Самих Cisco у нас нет, но грят что можно использовать vpnc, что я и пытаюсь сделать. В конфигах vpnc нет параметра isakmp key.

[zingel]

в самом vpnc по-моему это не реально...я пропарсил конфиги на оффсайте, не нашел, если честно

[r0man_]

Тогда я поспрашиваю по мат. части, ок?
isakmp key - это вместо имени/пароля используется?
В конфиге vpnc есть такие параметры:
IPSec ID <my.ipsec.id>
IPSec secret <mysecret>
Возможно преобразовать isakmp key в виду имя/пароль?

[zingel]

если там хеш, то можно подсунуть и проверить во второе поле

[r0man_]

Есть возможность указать хэш пароля, но имя-то все-равно потребует,а где его взять?

Код: Выделить всё

IPSec obfuscated secret <hex string>

Вот опции vpnc:
IPSec ID <ASCII string> - your group name
IPSec obfuscated secret <hex string> - your group password (obfuscated)
Xauth username <ASCII string> - your username
Xauth obfuscated password <hex string> - your password (obfuscated)

Можно ли пояснить, что такое группа?

[zingel]

Oops!
There is a mistake in my previous mail.
I wrote :
> ... it sends an hash on a set of data including the group ID).
It is not on "a set of data"; it is directly the SHA1 hash of group
ID, sent as data payload in the ISAKMP_PAYLOAD_ID.
With Wireshark you can extract such data from the first packet sent,
and compare it with this offline computation
# echo -n "my group ID" | sha1sum
and verify that the client converts to lowercase before the hash.

I confirm that both Windows and Linux version of Contivity client
convert Group ID to lowercase before computing SHA1 hash

In attachment, a patch for vpnc-nortel branch to convert group ID to lowercase.

[r0man_]

#echo -n "my group ID" | sha1sum

я не могу ничего проверить, я элементарно не знаю что указывать как группу и пароль к ней.
У меня есть ключ isakmp - (набор символов). Как из него взять группу и пароль не знаю (да и вряд ли возможно).

[zingel]

я поспрашивал, никто не знает, походу - никак.

[Fenrir]

#echo -n "my group ID" | sha1sum

я не могу ничего проверить, я элементарно не знаю что указывать как группу и пароль к ней.
У меня есть ключ isakmp - (набор символов). Как из него взять группу и пароль не знаю (да и вряд ли возможно).

У кошки на удаленной стороне стоит dynamic-map с локальной ну или не локальной авторизацией
используется для подключения плавающих клиентов
т.е. 2 уровня при подключении Группа и Имя клиента
Группа используется для получения общих параметров тунеля а Имя клиента собственно для авторизации
Вам надо попросить с кошки вот этот кусок конфига

Код: Выделить всё

crypto isakmp client configuration group "Имя группы"
 key "Групповой ключ"
 dns A.B.C.D
 domain domain.local

ну и далее по тексту

[zingel]

он говорил, что такого там нет, хотя...может плохо спрашивал..

[Fenrir]

Сорри не мысль не в ту сторону пошла, собственно пояснения что такое группа и её пароль так и остаются но проблемы не решают

[Гость]

Сам как раз ковыряю VPNC, если наковыряю ответ то кину

[zingel]

ок

Потом статью нужно будет сделать.

[Fenrir]

Перечитал документацию что идет с VPNC и боюсь что человеку он не поможет
Он работает как и виндовый Cisco VPN CLient
или груповая + личная авторизация или через прешаред сертификат

в данном случае стоит посмотреть в сторону ipsec-tools или racoon2

[r0man_]

в данном случае стоит посмотреть в сторону ipsec-tools или racoon2

Как раз с помощью ipsec-tools и удалось решить проблему подключения.

[Гость]

w