VPN/IPSec/Debian PKI

Z HelpDesk
< VPN
Verze z 17. 9. 2009, 19:50, kterou vytvořil Simekm (diskuse | příspěvky) (Zrušena verze 21799 od uživatele Simekm (diskuse))

Stažení konfigurace

Zde si můžete stáhnout soubor s přednastavenou konfigurací a přesuneme jej do adresáře /etc/opt/cisco-vpnclient/Profiles/ 

mv zcu-pki.pcf /etc/opt/cisco-vpnclient/Profiles/

Import kořenového certifikátu ZČU CA

Stáhneme certifikát certifikační autority ZČU a naimportujeme jej do programu (musíme zadat cestu k certifikátu): 

cisco_cert_mgr -R -op import

Zkontrolujeme, jestli import proběhl správně: 

cisco_cert_mgr -R -op list

Výstup by měl vypadat takto: 

Cert #          Common Name
-------         ------------
0               ZCU root CA

Import osobního síťového certifikátu

Certifikát naimportujeme do programu (musíme zadat cestu k certifikátu). Budeme dotázáni na heslo pro import certifikátu a heslo pro zabezpečení přístupu k certifikátu (to pak musíme zadat pokaždé při použití osobního síťového certifikátu v rámci aplikace Cisco VPN Client; můžete ho ponechat prázdné): 

cisco_cert_mgr -U -op import

Zkontrolujeme, jestli import proběhl správně: 

cisco_cert_mgr -U -op list

Výstup by měl vypadat takto: 

Cert #          Common Name
-------         ------------
0               jnovak@ZCU.CZ

Úprava přednastavené konfigurace

V souboru zcu-pki.pcf v adresáři /etc/opt/cisco-vpnclient/Profiles/ musíme upravit řádek CertName= (doplníme správné CommonName z certifikátu): 

CertName=jnovak@ZCU.CZ

Vytvoření bezpečného IPSec připojení

Musí být spuštěna služba VPN, která nahraje do paměti modul cisco_ipsec: 

/etc/init.d/vpnclient_init start

Spustíme program Cisco VPN client (budeme dotázáni na heslo pro přístup k certifikátu): 

vpnclient connect zcu-pki

Jestliže vše proběhne správně, výpis by měl vypadat takto: 

Initializing the VPN connection.
Contacting the gateway at 147.228.232.2
Negotiating security policies.
Securing communication channel.

### Welcome to WEBnet ###

VPN server: ic-asa5520-vpn-fw.zcu.cz

** PKI certificate authentication successful **

Do you wish to continue? (y/n): y

Your VPN connection is secure.

VPN tunnel information.
Client address: 147.228.232.128
Server address: 147.228.232.2
Encryption: 256-bit AES
Authentication: HMAC-SHA
IP Compression: None
NAT passthrough is inactive
Local LAN Access is disabled

Veškerá komunikace nyní probíhá skrz bezpečné šifrované spojení IPSec.

Proces můžeme přesunout na pozadí stisknutím CTRL-Z a příkazem bg: 

[1]+  Stopped                 vpnclient connect zcu-pki
localhost:~# bg
[1]+ vpnclient connect zcu-pki &

Kontrola připojení

Můžeme zkontrolovat vytvořené spojení: 

localhost:~# ifconfig
cipsec0   Zapouzdření:Ethernet  HWadr 00:0B:FC:CC:01:33
          inet adr:147.228.232.128 Maska:255.255.252.0
          AKTIVOVÁNO BĚŽÍ NEARP  MTU:1356  Metrika:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          kolizí:0 délka odchozí fronty:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Ukončení bezpečného IPSec připojení

Napíšeme: 

vpnclient disconnect

Veškerá komunikace nyní probíhá běžným nezabezpečeným spojením.

Citováno z „https://helpdesk.zcu.cz/index.php?title=VPN/IPSec/Debian_PKI&oldid=21861