VPN/IPSec/Debian PKI
Stažení konfigurace
Zde si můžete stáhnout soubor s přednastavenou konfigurací a přesuneme jej do adresáře /etc/opt/cisco-vpnclient/Profiles/
mv zcu-pki.pcf /etc/opt/cisco-vpnclient/Profiles/
Import kořenového certifikátu ZČU CA
Stáhneme certifikát certifikační autority ZČU a naimportujeme jej do programu (musíme zadat cestu k certifikátu):
cisco_cert_mgr -R -op import
Zkontrolujeme, jestli import proběhl správně:
cisco_cert_mgr -R -op list
Výstup by měl vypadat takto:
Cert # Common Name ------- ------------ 0 ZCU root CA
Import osobního síťového certifikátu
Certifikát naimportujeme do programu (musíme zadat cestu k certifikátu). Budeme dotázáni na heslo pro import certifikátu a heslo pro zabezpečení přístupu k certifikátu:
cisco_cert_mgr -U -op import
Zkontrolujeme, jestli import proběhl správně:
cisco_cert_mgr -U -op list
Výstup by měl vypadat takto:
Cert # Common Name ------- ------------ 0 jnovak@ZCU.CZ
Úprava přednastavené konfigurace
V souboru zcu-pki.pcf v adresáři /etc/opt/cisco-vpnclient/Profiles/ musíme upravit řádek CertName= (doplníme správné CommonName z certifikátu):
CertName=jnovak@ZCU.CZ
Vytvoření bezpečného IPSec připojení
Musí být spuštěna služba VPN, která nahraje do paměti modul cisco_ipsec:
/etc/init.d/vpnclient_init start
Spustíme program Cisco VPN client (budeme dotázáni na heslo pro přístup k certifikátu):
vpnclient connect zcu-pki
Jestliže vše proběhne správně, výpis by měl vypadat takto:
Initializing the VPN connection. Contacting the gateway at 147.228.232.2 Negotiating security policies. Securing communication channel. ### Welcome to WEBnet ### VPN server: ic-asa5520-vpn-fw.zcu.cz ** PKI certificate authentication successful ** Do you wish to continue? (y/n): y Your VPN connection is secure. VPN tunnel information. Client address: 147.228.232.128 Server address: 147.228.232.2 Encryption: 256-bit AES Authentication: HMAC-SHA IP Compression: None NAT passthrough is inactive Local LAN Access is disabled
Veškerá komunikace nyní probíhá skrz bezpečné šifrované spojení IPSec.
Proces můžeme přesunout na pozadí stisknutím CTRL-Z a příkazem bg:
[1]+ Stopped vpnclient connect zcu-pki localhost:~# bg [1]+ vpnclient connect zcu-pki &
Kontrola připojení
V jiném terminálu můžeme zkontrolovat vytvořené spojení:
localhost:~# ifconfig cipsec0 Zapouzdření:Ethernet HWadr 00:0B:FC:CC:01:33 inet adr:147.228.232.128 Maska:255.255.252.0 AKTIVOVÁNO BĚŽÍ NEARP MTU:1356 Metrika:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 kolizí:0 délka odchozí fronty:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Ukončení bezpečného IPSec připojení
Napíšeme:
vpnclient disconnect
Veškerá komunikace nyní probíhá běžným nezabezpečeným spojením.