cisco ipsec

1 view
Skip to first unread message

Sergey Zabolotny

unread,
Mar 24, 2020, 10:35:02 AM3/24/20
to
Hello *All.*

понадобилось настроить впн клиента. с серверной стороны дали serverip,
username, userpass, groupname и shared key
пол дня ищу варианты как это настроить на линуксе/бдс и пока безрезультатно. до
сих пор не приходилось настраивать впн с использованием групп. подскажите
правильный софт (strongswan/что-то другое?) и по возможности пример конфига.

* Originally in ru.unix.bsd
* Crossposted in ru.linux

Andrew Kant

unread,
Mar 24, 2020, 1:50:02 PM3/24/20
to
Hello Sergey!

Tuesday March 24 2020 16:14, Sergey Zabolotny wrote to All:

SZ> Hello *All.*

SZ> понадобилось настроить впн клиента. с серверной стороны дали serverip,
SZ> username, userpass, groupname и shared key
SZ> пол дня ищу варианты как это настроить на линуксе/бдс и пока
SZ> безрезультатно. до сих пор не приходилось настраивать впн с
SZ> использованием групп. подскажите правильный софт (strongswan/что-то
SZ> другое?) и по возможности пример конфига.

посмотри на openconnect, это клиент AnyConnect под линукс, похоже, это для него
реквизиты.

Good bye!
Andrew

Sergey Zabolotny

unread,
Mar 24, 2020, 2:20:02 PM3/24/20
to
Hello *Andrew.*

Tuesday 24 March 2020 19:34, Andrew Kant wrote to Sergey Zabolotny:

SZ>> понадобилось настроить впн клиента. с серверной стороны дали
SZ>> serverip, username, userpass, groupname и shared key пол дня ищу
SZ>> варианты как это настроить на линуксе/бдс и пока безрезультатно.
SZ>> до сих пор не приходилось настраивать впн с использованием групп.
SZ>> подскажите правильный софт (strongswan/что-то другое?) и по
SZ>> возможности пример конфига.

AK> посмотри на openconnect, это клиент AnyConnect под линукс, похоже, это
AK> для него реквизиты.
смотрел я на него, ipsec оно не умеет.

Alexey Vissarionov

unread,
Mar 24, 2020, 2:25:02 PM3/24/20
to
Доброго времени суток, Sergey!
24 Mar 2020 16:14:06, ты -> All:

SZ> понадобилось настроить впн клиента. с серверной стороны дали
SZ> serverip, username, userpass, groupname и shared key пол дня ищу
SZ> варианты как это настроить на линуксе/бдс и пока безрезультатно.
SZ> до сих пор не приходилось настраивать впн с использованием групп.

Что работает на сервере и группа чего имеется в виду?

SZ> подскажите правильный софт (strongswan/что-то другое?) и по
SZ> возможности пример конфига.

Единственная более-менее адекватная реализация VPN - это OpenVPN, и то с
искусственными ограничениями на устойчивые криптографические алгоритмы,
внедренными в OpenSSL по настойчивой рекомендации их главного спонсора.

А кто использует IPsec, тот гомосек.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Большинство пишевых отравлений начинается с "что ему в холодильнике будет?"

Dmitry Ivanov

unread,
Mar 24, 2020, 2:45:01 PM3/24/20
to
Здравствуйте, Sergey.

Вы писали 24 марта 2020 г., 23:08:16:

AK>> посмотри на openconnect, это клиент AnyConnect под линукс, похоже, это
AK>> для него реквизиты.
> смотрел я на него, ipsec оно не умеет.

Так судя по описанию, у тебя и не ipsec, а банальный VPN от циски. А
AnyConnectЮ вроде, и родной есть от циски под линух.. Если нет - как
советоваои выше openconnect
--
С уважением,
Dmitry

Eugene Grosbein

unread,
Mar 24, 2020, 3:35:02 PM3/24/20
to
24 марта 2020, вторник, в 21:12 NOVT, Alexey Vissarionov написал(а):

AV> Единственная более-менее адекватная реализация VPN - это OpenVPN, и то с
AV> искусственными ограничениями на устойчивые криптографические алгоритмы,
AV> внедренными в OpenSSL по настойчивой рекомендации их главного спонсора.
AV> А кто использует IPsec, тот гомосек.

https://www.youtube.com/watch?v=dvBMLToKsew

Eugene
--
Все любят естественный наркотик

Vladimir Bobarykin

unread,
Mar 25, 2020, 2:10:02 AM3/25/20
to
Здpавствуй, Sergey!

Вторник 24 Марта 2020 16:14, ты писал(а) All, в сообщении по ссылке
area://ru.linux?msgid=2:469/122.2+5e7a173d:

SZ> понадобилось настроить впн клиента. с серверной стороны дали serverip,
SZ> username, userpass, groupname и shared key пол дня ищу варианты как
SZ> это настроить на линуксе/бдс и пока безрезультатно. до сих пор не
SZ> приходилось настраивать впн с использованием групп. подскажите
SZ> правильный софт (strongswan/что-то другое?) и по возможности пример
SZ> конфига.
Тебе нужно что-то вроде Cisco VPN Client, но его вроде под линуху нет :)

Глянь сюда, может поможет
http://ubuntuhandbook.org/index.php/2013/08/install-cisco-vpn-client-ubuntu-13-
04-13-10/

https://askubuntu.com/questions/31100/how-do-i-install-the-cisco-vpn-client

С уважением - Vladimir
... Взгляни - у твоего окна моя печаль стоит на эшафоте...

Sergey Zabolotny

unread,
Mar 25, 2020, 4:50:01 AM3/25/20
to
Hello *Alexey.*

Tuesday 24 March 2020 21:12, Alexey Vissarionov wrote to Sergey Zabolotny:

SZ>> понадобилось настроить впн клиента. с серверной стороны дали
SZ>> serverip, username, userpass, groupname и shared key пол дня ищу
SZ>> варианты как это настроить на линуксе/бдс и пока безрезультатно.
SZ>> до сих пор не приходилось настраивать впн с использованием групп.

AV> Что работает на сервере и группа чего имеется в виду?
таких деталей мне не предоставили. с серверной стороны мне дали:
cisco ipsec vpn
serverip,
username,
usernamepass,
groupname,
sharedkey
все

яблочники, которые пользуются этими впн, говорят, что такое в макосе работает
из коробки. там оно называется cisco ipsec

SZ>> подскажите правильный софт (strongswan/что-то другое?) и по
SZ>> возможности пример конфига.

AV> Единственная более-менее адекватная реализация VPN - это OpenVPN, и то
AV> с искусственными ограничениями на устойчивые криптографические
AV> алгоритмы, внедренными в OpenSSL по настойчивой рекомендации их
AV> главного спонсора.
если я правильно помню опенвпн не умеет айписек. в моем случае без него, похоже
не обойтись.

AV> А кто использует IPsec, тот гомосек.
работодателю я такое сказать не могу.

Sergey Zabolotny

unread,
Mar 25, 2020, 4:50:02 AM3/25/20
to
Hello *Vladimir.*

Wednesday 25 March 2020 09:06, Vladimir Bobarykin wrote to Sergey Zabolotny:

SZ>> понадобилось настроить впн клиента. с серверной стороны дали
SZ>> serverip, username, userpass, groupname и shared key пол дня ищу
SZ>> варианты как это настроить на линуксе/бдс и пока безрезультатно.
SZ>> до сих пор не приходилось настраивать впн с использованием групп.
SZ>> подскажите правильный софт (strongswan/что-то другое?) и по
SZ>> возможности пример конфига.
VB> Тебе нужно что-то вроде Cisco VPN Client, но его вроде под линуху нет
VB> :)
я не хочу использовать нативного клиента от цыски. глюки эниконнект и
невозможность руками изменить маршруты после подъема туннеля достали в край и я
anyconnect заменил на опенконнект где это было возможно.

Sergey Zabolotny

unread,
Mar 25, 2020, 4:50:02 AM3/25/20
to
Hello *Dmitry.*

Tuesday 24 March 2020 21:36, Dmitry Ivanov wrote to Sergey Zabolotny:

AK>>> посмотри на openconnect, это клиент AnyConnect под линукс,
AK>>> похоже, это для него реквизиты.
>> смотрел я на него, ipsec оно не умеет.

DI> Так судя по описанию, у тебя и не ipsec, а банальный VPN от циски. А
DI> AnyConnectЮ вроде, и родной есть от циски под линух.. Если нет - как
DI> советоваои выше openconnect
ipsec. эниконнект я успешно заменял опенконнектом, а в этом случае опенконнект
не помогает.

Andrew Kant

unread,
Mar 25, 2020, 8:20:01 AM3/25/20
to
Hello Sergey!

Tuesday March 24 2020 20:08, Sergey Zabolotny wrote to Andrew Kant:

SZ>>> понадобилось настроить впн клиента. с серверной стороны дали
SZ>>> serverip, username, userpass, groupname и shared key пол дня ищу
SZ>>> варианты как это настроить на линуксе/бдс и пока безрезультатно.
SZ>>> до сих пор не приходилось настраивать впн с использованием групп.
SZ>>> подскажите правильный софт (strongswan/что-то другое?) и по
SZ>>> возможности пример конфига.

AK>> посмотри на openconnect, это клиент AnyConnect под линукс, похоже,
AK>> это для него реквизиты.
SZ> смотрел я на него, ipsec оно не умеет.

а причем что он умеет или не умеет? Тебе шашечки или ехать? скачай, вбей
реквизиты, а потом будешь рассуждать, ipsec это или что-то другое.

Good bye!
Andrew

Sergey Zabolotny

unread,
Mar 25, 2020, 9:35:01 AM3/25/20
to
Hello *Andrew.*

Wednesday 25 March 2020 14:07, Andrew Kant wrote to Sergey Zabolotny:

AK>>> посмотри на openconnect, это клиент AnyConnect под линукс,
AK>>> похоже, это для него реквизиты.
SZ>> смотрел я на него, ipsec оно не умеет.

AK> а причем что он умеет или не умеет? Тебе шашечки или ехать? скачай,
AK> вбей реквизиты, а потом будешь рассуждать, ipsec это или что-то
AK> другое.
еслиб не пробовал не говорил бы. опенконнект долбится по http(s), а там никого
нет.

Sergey Zabolotny

unread,
Mar 25, 2020, 9:35:01 AM3/25/20
to
Hello *All.*

Tuesday 24 March 2020 16:14, Sergey Zabolotny wrote to All:

с серверной стороны дали доп инфу:

используется Shrew Soft VPN. кусок конфига от него:

n:version:2
s:network-host:_server-ip_
n:network-ike-port:500
s:client-auto-mode:pull
s:client-iface:virtual
n:client-addr-auto:1
n:network-mtu-size:1380
s:network-natt-mode:enable
n:network-natt-port:4500
n:network-natt-rate:20
s:network-frag-mode:disable
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:0
n:client-wins-used:1
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
s:auth-method:mutual-psk-xauth
b:auth-mutual-psk:-----
s:ident-server-type:any
s:ident-client-type:ufqdn
s:ident-client-data:_groupname_
s:phase1-exchange:aggressive
s:phase1-cipher:aes
n:phase1-keylen:256
s:phase1-hash:sha2-256
n:phase1-dhgroup:14
n:phase1-life-secs:86400
n:vendor-chkpt-enable:0
s:phase2-transform:esp-aes
n:phase2-keylen:256
s:phase2-hmac:sha1
n:phase2-pfsgroup:-1
n:phase2-life-secs:28800
n:phase2-life-kbytes:128000
s:ipcomp-transform:disabled
s:policy-level:auto
n:policy-nailed:0
n:policy-list-auto:1

и Watchguard Mobile VPN с конфигом:

[PROFILE1]
Name=_groupname_
ConnType=1
ConnMedia=8
ConnMode=0
Timeout=0
Gateway=_server-ip_
IKE-Policy=_groupname_
IPSec-Policy=_groupname_
IkeLTSec=28800
IPSecLTType=3
IPSecLTSec=28800
IPSecLTKb=128000
ExchMode=4
PFS=0
IkeIdType=3
IkeIdStr="_groupname_"
UsePreShKey=1
Secret="-----"
UseXAUTH=1
UseComp=0
IpAddrAssign=1
UseTunnel=0
Network1=0.0.0.0
SubMask1=0.0.0.0
[IKEPOLICY1]
IkeName=_groupname_
IkeAuth=1
IkeCrypt=6
IkeHash=4
IkeDhGroup=14
[IPSECPOLICY1]
IPSecName=_groupname_
IpsecCrypt=6
IpsecAuth=2

Reply all
Reply to author
Forward
0 new messages