pups
Anmeldungsdatum: 1. Dezember 2007
Beiträge: 92
|
Hi, ich bin leider gerade in der Notwendigkeit, mich zu einem CISCO Uni-Netzwerk per VPNC zu verbinden. Leider gibt die Uni natürlich keinen offiziellen Support für Linux:
https://dsi.iscte.pt/publicacoes/manuais/vpn/windows/index_en.php Ich habe also probiert die Einstellungen so gut es geht nachzuempfinden (Nutzername/Passwort auf nicht benötigt gestellt, .cer Nutzerzertifikat erstellt und eingebunden), allerdings klappt das nicht und das syslog zeigt nur:
Nov 3 13:46:23 crow NetworkManager[926]: <info> VPN plugin state changed: init (1)
Nov 3 13:46:23 crow NetworkManager[926]: <info> VPN plugin state changed: starting (3)
Nov 3 13:46:23 crow NetworkManager[926]: <info> VPN connection 'ISCTE' (Connect) reply received.
Nov 3 13:46:23 crow NetworkManager[926]: <warn> VPN connection 'ISCTE' failed to connect: 'No VPN secrets!'.
Nov 3 13:46:23 crow NetworkManager[926]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active. Auch Suchen nach Lösungen im Netz waren nicht Erfolgsversprechend. Ich habe noch probiert mit einer Windows VM an das Profil des Clients zu kommen und das in eine Conf für vpnc umzuwandeln, aber der weigert sich einfach darin zu installieren ☹ Gibt es da Tipps, wie man da vielleicht noch anders rangeht?
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
Hallo, hast du das Paket network-manager-vpnc installiert? Der Netzwerk-Manager kann von Hause aus kein Cisco-VPN. Dann probiere mal das "persönliche Zertifikat" herunterzuladen. Das Generelle (oft root-Zertifikat genannt) brauchst du nicht umbedingt. Es erhöht zwar die Sicherheit, aber für die Funktionalität wird es erstmal nicht gebraucht. Das Zertifikat kommt oft mit einer Profildatei, die man einfach importieren kann. Das scheint aber bei deiner Uni nicht der Fall zu sein. Stattdessen wird unter 25. der Host gezeigt und du meldest dich mit deinen Netzzugangsdaten an. Die sind oft anders als die Mailpasswörter, ist zumindest bei uns so. Bei uns nennt sich das "Netzzugangspasswort" und muss extra gesetzt werden. Grüße
MPW
|
praseodym
Supporter
Anmeldungsdatum: 9. Februar 2009
Beiträge: 22096
Wohnort: ~
|
|
pups
(Themenstarter)
Anmeldungsdatum: 1. Dezember 2007
Beiträge: 92
|
Danke für eure raschen Antworten. Entschuldigt ich hatte gar nicht erwähnt, dass ich vpnc und das Network-manager-Plugin natürlich installiert habe. Die Angaben habe ich dann im Dialog des Plugins gemacht. @MPW Das mit 25. verstehe ich auch nicht ganz, da man beim VPNC-Dialog sowas nicht einstellen kann. Über die Kommandozeile (vpn-connect) habe ich auch nichts gefunden. Die Passwörter sollen ja expl. nicht angegeben werden, dafür hat man dann ja das Nutzer-spezifische Zertifikat, dass man auch erst generieren lassen muss. Was ich auch nicht verstehe ist der "users" Eintrag, der aber wohl nicht die VPN-Gruppe sein soll?
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
Hallo, poste mal die Einstellungen, die du bisher gesetzt hast. Und guck dir mal dein Zertifikat mit cat an. Natürlich nicht posten! Ist das Klartext oder cryptisch? Evtl. sind dort noch Einstellungen verborgen. Bei uns gibt es nämlich so eine Art Konfigurationsdatei die man auch importieren kann. Grüße
MPW
|
pups
(Themenstarter)
Anmeldungsdatum: 1. Dezember 2007
Beiträge: 92
|
Ok hier also aus dem VPN Dialog:
Gateway: vpn.iscte.pt
Gruppenname: users (kann man auch nicht freilassen)
Hybride Authentifizierung: ja
CA-Datei: meins.cer
IPv4 und Erweitert-Dialog sind die Standard-Einstellungen. Das was du meinst sind sicherlich die .pcf Dateien, die man mit dem Windows-Client generieren kann. Da die Uni diese nicht anbietet, habe ich eben probiert diese in einer Windows VM zu generieren, wo ich aber an der Installation des Clients scheitere ☹
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
Hm, also wenn ich das richtig verstehe, ersetzt das persönliche Zertifikat das Gruppenpasswort. Hast du dich beim Benutzernamen mit user@iscte.pt angemeldet? Alternativ könntest du sonst mal die Anmeldung mittels Konsolentool vpnc probieren.
|
pups
(Themenstarter)
Anmeldungsdatum: 1. Dezember 2007
Beiträge: 92
|
Ja so hatte ich das auch verstanden, dass Gruppenpasswort habe ich ja auch nicht angegeben. Aber an einem Gruppennamen kommt man zumindest über den Networkmanager nicht dran vorbei. Mein Nutzername setzt sich aus einem eigenen Kürzel und @iscte.pt zusammen. Konsole habe ich probiert, allerdings konnte ich nirgendwo eine Doku zu vpnc-connect auftreiben, die mir sagt was ich per CLI für Optionen übergeben kann. Und die .conf ist ziemlich kryptisch :/
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
man vpnc-connect Wie wäre es damit 😀?
|
pups
(Themenstarter)
Anmeldungsdatum: 1. Dezember 2007
Beiträge: 92
|
Ach auf das einfachste kommt mann natürlich wieder nicht 😉 Allerdings gibt es da bezüglich Zertifikaten recht wiedersprüchliche Optionen:
--auth-mode <psk/cert/hybrid>
Authentication mode:
· psk: pre-shared key (default)
· cert: server + client certificate (not implemented yet)
· hybrid: server certificate + xauth (if built with openssl support)
Default: psk
conf-variable: IKE Authmode <psk/cert/hybrid>
--ca-file <filename>
filename and path to the CA-PEM-File
conf-variable: CA-File <filename>
Das hybrid wird wohl nicht funzen, da ich mir nicht vorstellen kann, dass der Cisco Xauth mitmacht? Und offensichtlich unterstützt die Version aus den offiziellen Ubuntu repos keine reine Auth per Cert? 🙄
Und dann soll das Zertifikat als PEM und nicht als .cer vorliegen?
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
Meiner Logik nach brauchst du das Mittlere, wo (not implemented yet) hintersteht 😀 Das wäre natürlich ätzend. Das würde evtl. auch erklären, warum der Netzwerk-Manager das nicht gebacken bekommt. Evtl. lohnt es sich mal bei Maurice nachzufragen: Maurice Massar
vpnc (at) unix-ag.uni-kl.de (Quelle)
|
pups
(Themenstarter)
Anmeldungsdatum: 1. Dezember 2007
Beiträge: 92
|
Ne das wird leider wohl noch nicht unterstützt:
http://wiki.ubuntuusers.de/Archiv/Cisco-VPN-Client
Leider funzt bei mir auch der properiäre Client nicht, da er bei der Installation das nicht übersetzt kriegt, vermutlich weil er einfach outdated ist und mein Kernel zu frisch. Anyway, vielen Dank für euren freundlichen Support ☺
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
Hm, das soll aber gehen: http://blog.miketoscano.com/?p=107 Poste mal deine die Fehlermeldungen, die du beim kompilieren bekommst.
|