Страница 1 из 1
Настройка vpnc
Добавлено: 2008-09-19 9:05:07
r0man_
Настраиваю vpn с Cisco, используя vpnc, некоторые вещи не понятны.
Есть ключ isakmp, а в конфигу предлагают имя/пароль указывать,
так же Isakmp policy - в конфиге vpnc не нашел, где можно указать.
Re: Настройка vpnc
Добавлено: 2008-09-19 9:11:49
zingel
Код: Выделить всё
sh ver
sh running config
show isakmp policy
ну и вообще
Код: Выделить всё
isakmp enable outside
isakmp identity address
Re: Настройка vpnc
Добавлено: 2008-09-19 9:28:57
r0man_
У меня нет доступа к Cisco, прислали только настройки, которых должно хватить.
Вот они:
ip-сервера
Ключ isakmp: XXXXXXXXXXXXXXXX
Код: Выделить всё
transform-set: esp-3des esp-sha-hmac
PFS: Group 2
Isakmp policy:
9 authentication pre-share
9 encryption 3des
9 hash sha
9 group 2
9 lifetime 3600
20 authentication pre-share
20 encryption 3des
20 hash md5
20 group 2
20 lifetime 3600
21 authentication pre-share
21 encryption 3des
21 hash sha
21 group 1
21 lifetime 3600
30 authentication pre-share
30 encryption des
30 hash sha
30 group 2
30 lifetime 3600
Re: Настройка vpnc
Добавлено: 2008-09-19 9:34:55
zingel
Re: Настройка vpnc
Добавлено: 2008-09-19 9:53:37
r0man_
В man vpnc нет параметра isakmp key
Когда добавляю в конфиг - ругается.
Re: Настройка vpnc
Добавлено: 2008-09-19 10:09:16
zingel
на кошке
Re: Настройка vpnc
Добавлено: 2008-09-19 11:32:08
r0man_
В том то и дело, что Cisco у сторонней конторы, прислали инфу для подключения. Самих Cisco у нас нет, но грят что можно использовать vpnc, что я и пытаюсь сделать. В конфигах vpnc нет параметра isakmp key.
Re: Настройка vpnc
Добавлено: 2008-09-19 12:20:16
zingel
в самом vpnc по-моему это не реально...я пропарсил конфиги на оффсайте, не нашел, если честно
Re: Настройка vpnc
Добавлено: 2008-09-23 11:06:25
r0man_
Тогда я поспрашиваю по мат. части, ок?
isakmp key - это вместо имени/пароля используется?
В конфиге vpnc есть такие параметры:
IPSec ID <my.ipsec.id>
IPSec secret <mysecret>
Возможно преобразовать isakmp key в виду имя/пароль?
Re: Настройка vpnc
Добавлено: 2008-09-23 11:27:11
zingel
если там хеш, то можно подсунуть и проверить во второе поле
Re: Настройка vpnc
Добавлено: 2008-09-23 12:19:21
r0man_
Есть возможность указать хэш пароля, но имя-то все-равно потребует,а где его взять?
Вот опции vpnc:
IPSec ID <ASCII string> - your group name
IPSec obfuscated secret <hex string> - your group password (obfuscated)
Xauth username <ASCII string> - your username
Xauth obfuscated password <hex string> - your password (obfuscated)
Можно ли пояснить, что такое группа?
Re: Настройка vpnc
Добавлено: 2008-09-23 12:24:39
zingel
Oops!
There is a mistake in my previous mail.
I wrote :
> ... it sends an hash on a set of data including the group ID).
It is not on "a set of data"; it is directly the SHA1 hash of group
ID, sent as data payload in the ISAKMP_PAYLOAD_ID.
With Wireshark you can extract such data from the first packet sent,
and compare it with this offline computation
# echo -n "my group ID" | sha1sum
and verify that the client converts to lowercase before the hash.
I confirm that both Windows and Linux version of Contivity client
convert Group ID to lowercase before computing SHA1 hash
In attachment, a patch for vpnc-nortel branch to convert group ID to lowercase.
Re: Настройка vpnc
Добавлено: 2008-09-23 15:19:34
r0man_
#echo -n "my group ID" | sha1sum
я не могу ничего проверить, я элементарно не знаю что указывать как группу и пароль к ней.
У меня есть ключ isakmp - (набор символов). Как из него взять группу и пароль не знаю (да и вряд ли возможно).
Re: Настройка vpnc
Добавлено: 2008-09-27 9:04:32
zingel
я поспрашивал, никто не знает, походу - никак.
Re: Настройка vpnc
Добавлено: 2008-11-18 11:45:15
Fenrir
r0man_ писал(а):#echo -n "my group ID" | sha1sum
я не могу ничего проверить, я элементарно не знаю что указывать как группу и пароль к ней.
У меня есть ключ isakmp - (набор символов). Как из него взять группу и пароль не знаю (да и вряд ли возможно).
У кошки на удаленной стороне стоит dynamic-map с локальной ну или не локальной авторизацией
используется для подключения плавающих клиентов
т.е. 2 уровня при подключении Группа и Имя клиента
Группа используется для получения общих параметров тунеля а Имя клиента собственно для авторизации
Вам надо попросить с кошки вот этот кусок конфига
Код: Выделить всё
crypto isakmp client configuration group "Имя группы"
key "Групповой ключ"
dns A.B.C.D
domain domain.local
ну и далее по тексту
Re: Настройка vpnc
Добавлено: 2008-11-18 11:49:08
zingel
он говорил, что такого там нет, хотя...может плохо спрашивал..
Re: Настройка vpnc
Добавлено: 2008-11-18 11:50:28
Fenrir
Сорри не мысль не в ту сторону пошла, собственно пояснения что такое группа и её пароль так и остаются но проблемы не решают
Re: Настройка vpnc
Добавлено: 2008-11-18 11:52:46
Гость
Сам как раз ковыряю VPNC, если наковыряю ответ то кину
Re: Настройка vpnc
Добавлено: 2008-11-18 11:53:38
zingel
ок
Потом статью нужно будет сделать.
Re: Настройка vpnc
Добавлено: 2008-11-18 12:54:26
Fenrir
Перечитал документацию что идет с VPNC и боюсь что человеку он не поможет
Он работает как и виндовый Cisco VPN CLient
или груповая + личная авторизация или через прешаред сертификат
в данном случае стоит посмотреть в сторону ipsec-tools или racoon2
Re: Настройка vpnc
Добавлено: 2008-11-18 13:08:52
r0man_
Fenrir писал(а):в данном случае стоит посмотреть в сторону ipsec-tools или racoon2
Как раз с помощью ipsec-tools и удалось решить проблему подключения.
Re: Настройка vpnc
Добавлено: 2009-03-18 15:11:09
Гость
w