(cisco)vpn-Client mit Zertifikatsunterstützung [gelöst]

[Duff]

Hallo,

ich suche einen vpn-client mit dem ich auch cisco-Zertifikate einbinden kann.

Habe bisher nur vpnc gefunden, aber dort kann ich keine Option zum Einbinden von Zertifikaten finden.

Danke.

[peschmae]

Da musst du afaik den von cisco verwenden. Ist aber mühsam weil ich zumindest immer nur veraltete Versionen gekriegt habe die nur mit veralteteten Kernel laufen...

MfG Peschmä

[Duff]

Wo bekommt man die denn her?

Etwa von cisco selber und umsonst?

[peschmae]

Keine Ahnung - ich habe den bisher immer im Zusammenhang mit Unis angetroffen. Die hatten den dann jeweils zum Download auf ihrer Webseite.

MfG Peschmä

[Duff]

Habe mir nun mal den kvpnc installiert. Bei dem Konnte ich auch das cisco-Zertifikat importieren.
Beim Versuch eine Verbindung aufzubauen, bekomme ich aber schon die Fehlermeldung:

Fehler: Tunnerlgerät fehlt. Laden von Modul tunfehlgeschlagen. Stop.

Muss ich vorher noch was machen?
[edit]
Ups, ich muss natürlich noch das Modul laden, wie es auch die Fehlermeldung besagt.
Sorry.
[/edit]

[Duff]

So, bekomme nun immer folgende Fehlermeldung:

Code: Alles auswählen

Debug: Erweiterte Einstellungen werden benutzt.
Info: Benutzerdefinierte IKE-Gruppe dh2 wird benutzt
Info: UDP wird benutzt.
Info: Es wird versucht, zu Server xxx mit Benutzer xxx und IPSec ID xxx zu verbinden... 
Info: vpnc ist gestartet.
Info: Zeit abgelaufen! Verbindungsprozess wird getötet!
Info: Verbindung fehlgeschlagen (Zeit abgelaufen).
Info: Nicht verbunden. 
Info: Es wird 15 Sekunden auf Verbindung gewartet...
Info: Es wird 15 Sekunden auf Verbindung gewartet...

Im Logfile /var/log/messages kann man nur sehen, dass der kvpnc-Dienst gestartet wurde:

Code: Alles auswählen

Jun 30 10:29:57 localhost syslogd 1.4.1#18: restart.
Jun 30 10:30:16 localhost lpd[8298]: restarted
Jun 30 10:30:18 localhost syslogd 1.4.1#18: restart.
Jun 30 10:32:11 localhost kernel: tun: Universal TUN/TAP device driver, 1.6
Jun 30 10:32:11 localhost kernel: tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>

Jemand ne Idee, wo genau nun der Fehler liegt?

[peschmae]

kvpnc greift zum Verbinden mit Cisco VPNs auf vpnc zurück, da dieser aber mit Zertifikaten nicht umgehen kann, kann das Ganze nicht funktionieren. Siehe auch hier

Dass du das Zertifikat trotzdem importieren kannst liegt vermutlich daran, dass kvpnc für andere VPN-Varianten (OpenVPN, IPSec, u.ä.) Zertifikate unterstützt.

MfG Peschmä

[Duff]

Na toll.

Wäre ja auch zu schön gewesen ;-(

Currentyl I think the only way is to use the original cisco vpnc client which
requires to build a own kernel module and is not free. I had think about to
made suport for the original cisco client but only 2-3 people have ask for
that and 99,9% dont need it really (certificate support), so I think its too
much work for some people.

...am meisten stört mich hier die Aussage, dass es nicht umsonst ist! Aber naja, mal weiter suchen...

[Vinc]

Currentyl I think the only way is to use the original cisco vpnc client which
requires to build a own kernel module and is not free...

...am meisten stört mich hier die Aussage, dass es nicht umsonst ist! Aber naja, mal weiter suchen...

Ich weiß nicht ob du das falsch übersetzt oder wirklich falsch verstanden hast aber:
Der Client ist "umsonst", d.h du musst kein Geld zahlen um ihn benutzen zu dürfen. Downloadlinks: Link1, Link2
Auf einem ganz andern Blatt steht dass er "not free" ist, sprich keine freie Software.

Gruß,
alex

p.s: Solltest du auf deiner Suche nach nem "freien" Client Erfolg haben, so lass es uns, bzw. im speziellen mich, doch bitte wissen, danke.

[peschmae]

Ich weiß nicht ob du das falsch übersetzt oder wirklich falsch verstanden hast aber:
Der Client ist "umsonst", d.h du musst kein Geld zahlen um ihn benutzen zu dürfen. Downloadlinks: Link1, Link2
Auf einem ganz andern Blatt steht dass er "not free" ist, sprich keine freie Software.

Und was genau steht auf der ersten von dir verlinkten Seite in rot ganz oben?

Das Ding kriegst du gar nicht ohne Cisco-Vertrag, den aber im Normalfall derjenige haben sollte der das VPN aufsetzt... klick

MfG Peschmä

[Duff]

Soweit sieht die Installation schon mal ganz gut aus:

Code: Alles auswählen

daniel-laptop:/home/daniel/downloads/vpn/vpnclient# ./vpn_install
Cisco Systems VPN Client Version 4.8.00 (0490) Linux Installer
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.

By installing this product you agree that you have read the
license.txt file (The VPN Client license) and will comply with
its terms.


Directory where binaries will be installed [/usr/local/bin]

Automatically start the VPN service at boot time [yes]no

In order to build the VPN kernel module, you must have the
kernel headers for the version of the kernel you are running.


Directory containing linux kernel source code [/lib/modules/2.6.18-4-686/build]

* Binaries will be installed in "/usr/local/bin".
* Modules will be installed in "/lib/modules/2.6.18-4-686/CiscoVPN".
* The VPN service will *NOT* be started automatically at boot time.
* Kernel source from "/lib/modules/2.6.18-4-686/build" will be used to build the module.

Is the above correct [y]

Making module
make -C /lib/modules/2.6.18-4-686/build SUBDIRS=/home/daniel/downloads/vpn/vpnclient modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.18-4-686'
  CC [M]  /home/daniel/downloads/vpn/vpnclient/linuxcniapi.o
  CC [M]  /home/daniel/downloads/vpn/vpnclient/frag.o
  CC [M]  /home/daniel/downloads/vpn/vpnclient/IPSecDrvOS_linux.o
  CC [M]  /home/daniel/downloads/vpn/vpnclient/interceptor.o
/home/daniel/downloads/vpn/vpnclient/interceptor.c: In function 'handle_vpnup':
/home/daniel/downloads/vpn/vpnclient/interceptor.c:310: warning: assignment from incompatible pointer type
/home/daniel/downloads/vpn/vpnclient/interceptor.c:334: warning: assignment from incompatible pointer type
/home/daniel/downloads/vpn/vpnclient/interceptor.c:335: warning: assignment from incompatible pointer type
/home/daniel/downloads/vpn/vpnclient/interceptor.c: In function 'do_cleanup':
/home/daniel/downloads/vpn/vpnclient/interceptor.c:378: warning: assignment from incompatible pointer type
  CC [M]  /home/daniel/downloads/vpn/vpnclient/linuxkernelapi.o
  LD [M]  /home/daniel/downloads/vpn/vpnclient/cisco_ipsec.o
  Building modules, stage 2.
  MODPOST
WARNING: /home/daniel/downloads/vpn/vpnclient/cisco_ipsec.o - Section mismatch: reference to .init.text: from .data between 'interceptor_dev' (at offset 0x54) and 'interceptor_notifier'
  CC      /home/daniel/downloads/vpn/vpnclient/cisco_ipsec.mod.o
  LD [M]  /home/daniel/downloads/vpn/vpnclient/cisco_ipsec.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.18-4-686'
Create module directory "/lib/modules/2.6.18-4-686/CiscoVPN".
Copying module to directory "/lib/modules/2.6.18-4-686/CiscoVPN".
Already have group 'bin'

Creating start/stop script "/etc/init.d/vpnclient_init".
    /etc/init.d/vpnclient_init
Creating global config /etc/opt/cisco-vpnclient

Installing license.txt (VPN Client license) in "/opt/cisco-vpnclient/":

Installing bundled user profiles in "/etc/opt/cisco-vpnclient/Profiles/":
* New Profiles     : sample

Copying binaries to directory "/opt/cisco-vpnclient/bin".
Adding symlinks to "/usr/local/bin".
    /opt/cisco-vpnclient/bin/vpnclient
    /opt/cisco-vpnclient/bin/cisco_cert_mgr
    /opt/cisco-vpnclient/bin/ipseclog
Copying setuid binaries to directory "/opt/cisco-vpnclient/bin".
    /opt/cisco-vpnclient/bin/cvpnd
Copying libraries to directory "/opt/cisco-vpnclient/lib".
    /opt/cisco-vpnclient/lib/libvpnapi.so
Copying header files to directory "/opt/cisco-vpnclient/include".
    /opt/cisco-vpnclient/include/vpnapi.h

Setting permissions.
    /opt/cisco-vpnclient/bin/cvpnd (setuid root)
    /opt/cisco-vpnclient (group bin readable)
    /etc/opt/cisco-vpnclient (group bin readable)
    /etc/opt/cisco-vpnclient/Profiles (group bin readable)
    /etc/opt/cisco-vpnclient/Certificates (group bin readable)
* You may wish to change these permissions to restrict access to root.
* You must run "/etc/init.d/vpnclient_init start" before using the client.
* You will need to run this script every time you reboot your computer.

Bekomme bei der Verbindung immer folgende Fehlermeldung:

Code: Alles auswählen

daniel-laptop:/etc/opt/cisco-vpnclient/Profiles# vpnclient connect address
Cisco Systems VPN Client Version 4.8.00 (0490)
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.18-4-686 #1 SMP Wed May 9 23:03:12 UTC 2007 i686
Config file directory: /etc/opt/cisco-vpnclient

The profile specified could not be read.

Habe nach /etc/opt/cisco-vpnclient/Profiles die .pcf-Datei hinkopiert.

Muss ich sonst noch was beachten???

[Duff]

Es hat nun funktioniert.

Musste beim Verbindungsaufbau den Namen der Zertifikatsdatei mit angeben (ohne die Endung).

Code: Alles auswählen

vpnclient connect ZertifikatsnameOhneEndung

Danke nochmal an alle die mir geholfen haben!

[Vinc]

Und was genau steht auf der ersten von dir verlinkten Seite in rot ganz oben?

Das Ding kriegst du gar nicht ohne Cisco-Vertrag, den aber im Normalfall derjenige haben sollte der das VPN aufsetzt... klick

MfG Peschmä

Ok, sorry, wer lesen kann und so...
Hab bisher immer nur was von "Registrierung erforderlich" gelesen, nix von etwaigen Kosten.

Nichts desto trotz ist in dem zitierten Text mit "not free" imo nicht "nicht umsonst" gemeint, das wollte ich nur mal aufklären/klarstellen. Oder juckts dich da net in den Fingern wenn du solche Gleichungen siehst?

Gruß,
alex

[peschmae]

Nichts desto trotz ist in dem zitierten Text mit "not free" imo nicht "nicht umsonst" gemeint, das wollte ich nur mal aufklären/klarstellen. Oder juckts dich da net in den Fingern wenn du solche Gleichungen siehst?

Da bin ich einverstanden

MfG Peschmä