VPN/IPSec/Debian PKI
Instalace Cisco VPN klienta
Pro instalaci programu Cisco VPN client musíme mít rootovská práva!
Po stažení instalačního balíku vpnclient-linux.tar.gz jej přemístíme na vhodné místo např. /tmp, rozbalíme a přepneme se do adresáře vpnclient:
mv vpnclient-linux.tar.gz /tmp cd /tmp tar zxvf vpnclient-linux.tar.gz cd vpnclient
Spustíme instalaci:
./vpn_install
Instalační adresář doporučujeme ponechat /usr/local/bin a službu VPN spouštět při startu:
Directory where binaries will be installed [/usr/local/bin] Automatically start the VPN service at boot time [yes]
Pro přeložení klienta budeme potřebovat hlavičkové soubory spuštěného jádra (instalátor je sám správně najde):
Directory containing linux kernel source code [/lib/modules/2.6.18/build]
Poté už následuje překlad modulu a instalace všech potřebných programů. Na závěr spustíme službu VPN (při příštím startu už se bude startovat sama):
/etc/init.d/vpnclient_init start
Musíme přidat spouštění služby VPN i do runlevelu 2:
ln -sf /etc/init.d/vpnclient_init /etc/rc2.d/S85vpnclient_init
Pokud chceme spouštět program Cisco VPN client jako uživatelé, musíme nastavit suid bit souboru cvpnd:
chmod 4111 /opt/cisco-vpnclient/bin/cvpnd
Používání Cisco VPN klienta
Stažení konfigurace
Zde si můžete stáhnout soubor s přednastavenou konfigurací a přesuneme jej do adresáře /etc/opt/cisco-vpnclient/Profiles/
mv zcu-pki.pcf /etc/opt/cisco-vpnclient/Profiles/
Import kořenového certifikátu ZČU CA
Stáhneme certifikát certifikační autority ZČU a naimportujeme jej do programu (musíme zadat cestu k certifikátu):
cisco_cert_mgr -R -op import
Zkontrolujeme, jestli import proběhl správně:
cisco_cert_mgr -R -op list
Výstup by měl vypadat takto:
Cert # Common Name ------- ------------ 0 ZCU root CA
Import osobního síťového certifikátu
Certifikát naimportujeme do programu (musíme zadat cestu k certifikátu). Budeme dotázáni na heslo pro import certifikátu a heslo pro zabezpečení přístupu k certifikátu (to pak musíme zadat pokaždé při použití osobního síťového certifikátu v rámci aplikace Cisco VPN Client; můžete ho ponechat prázdné):
cisco_cert_mgr -U -op import
Zkontrolujeme, jestli import proběhl správně:
cisco_cert_mgr -U -op list
Výstup by měl vypadat takto:
Cert # Common Name ------- ------------ 0 jnovak@ZCU.CZ
Úprava přednastavené konfigurace
V souboru zcu-pki.pcf v adresáři /etc/opt/cisco-vpnclient/Profiles/ musíme upravit řádek CertName= (doplníme správné CommonName z certifikátu):
CertName=jnovak@ZCU.CZ
Vytvoření bezpečného IPSec připojení
Musí být spuštěna služba VPN, která nahraje do paměti modul cisco_ipsec:
/etc/init.d/vpnclient_init start
Spustíme program Cisco VPN client (budeme dotázáni na heslo pro přístup k certifikátu):
vpnclient connect zcu-pki
Jestliže vše proběhne správně, výpis by měl vypadat takto:
Initializing the VPN connection. Contacting the gateway at 147.228.232.2 Negotiating security policies. Securing communication channel. ### Welcome to WEBnet ### VPN server: ic-asa5520-vpn-fw.zcu.cz ** PKI certificate authentication successful ** Do you wish to continue? (y/n): y Your VPN connection is secure. VPN tunnel information. Client address: 147.228.232.128 Server address: 147.228.232.2 Encryption: 256-bit AES Authentication: HMAC-SHA IP Compression: None NAT passthrough is inactive Local LAN Access is disabled
Veškerá komunikace nyní probíhá skrz bezpečné šifrované spojení IPSec.
Proces můžeme přesunout na pozadí stisknutím CTRL-Z a příkazem bg:
[1]+ Stopped vpnclient connect zcu-pki localhost:~# bg [1]+ vpnclient connect zcu-pki &
Kontrola připojení
Můžeme zkontrolovat vytvořené spojení:
localhost:~# ifconfig
cipsec0 Zapouzdření:Ethernet HWadr 00:0B:FC:CC:01:33
inet adr:147.228.232.128 Maska:255.255.252.0
AKTIVOVÁNO BĚŽÍ NEARP MTU:1356 Metrika:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
kolizí:0 délka odchozí fronty:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Ukončení bezpečného IPSec připojení
Napíšeme:
vpnclient disconnect
Veškerá komunikace nyní probíhá běžným nezabezpečeným spojením.
