Collegarsi ad una VPN CISCO da Linux
Ovviamente è possibile usare il Client fornito direttamente da Cisco in versione per Linux, ma se avete problemi di kernel troppo nuovi esiste un client, chiamato VPNC (aka “client for cisco vpn concentrator“) che può collegarsi ad un concentratore Cisco senza problemi.
Ovviamente sono necessarie alcune informazioni quali l’indirizzo del concentratore (ovviamente), poi serve la password di gruppo, e la user e la password dell’utente.
Spesso la password di gruppo non viene comunicata all’utente finale, perchè di solito viene fornito un file di configurazione insieme al clinent vpn, che altro non è che un banale file di testo con tutte le informazioni necessarie, con estensione PCF.
Nel PCF la password di gruppo è cifrata, ma esiste su linux una utility che permette di convertire il file PCF in un file di configurazione per VPNC decriptando la password di gruppo.
I programmi sono due: cisco-decrypt che decripta la password di gruppo e pcf2vpnc che effettua la conversione vera a propria dei file di configurazione
I semplici passi per convertire il vostro file PCF sono i seguenti
1) accertarsi che il kernel supporti i tunnel di tipo TUN/TAP, nel kernel deve essere settata la voce
Device Drivers —> Networking support —> [*] Universal TUN/TAP device driver support
2) si installi vpnc, su debian based basta un:
apt-get install vpnc
3) si deve scaricare il file sorgente del programma che è in grado di decifrare la password di gruppo, il link lo trovate più avanti, e lo dovete compilare col comando:
gcc -Wall -o cisco-decrypt cisco-decrypt.c $(libgcrypt-config –libs –cflags)
4) abbiate cura che cisco-decrypt e pcf2vpnc siano copiati nella cartella /usr/bin
5) a questo punto potete convertire il file mioprofilo.pcf con il comando
pcf2vpnc /tmp/mioprofil.pcf /etc/vpnc/mioprofilo.conf
6) e potete provare la connessione con il comando
vpnc /etc/vpnc/mioprofilo.conf
ovviamente vi verrà chiesta la password dell’utente per la connessione
7) se la connessione và buon fine con ifconfig trovere una nuova scheda di rete, tipicamente tun0 (tun zero), che è collegata alla vostra vpn Cisco.
Il download dei due file lo fate da qui
Una cosa molto interessante di questo collegamento è che quasi sempre le connessioni con le VPN Cisco fatte dal loro client isolano la macchina dalla lan locale ed impediscono di fatto la visibilità delle risorse di rete (credo sia una configurazione di deafult) mentre questo client no, anche se si deve sistemare a mano il routing, quindi potete collegarvi al concentratore Cisco e contemporanemante alla vostra lan per navigare, scaricare la posta, stampare e quant’altro.
Inoltre mi verrebbe da pensare una cosa un poco maliziosa: se in una lan ci sono un numero N macchine che usano questo client per collegarsi allo stesso concentratore (da me in ditta è una situazione comune con molti clienti) perchè non fare nat dalla lan verso la vpn con una linux box ?
Si risparmierebbe la spesa delle licenze del client (che hanno un costo) e rotture di balle di configurazione sugli N client.
…ma occhio a non farvi sgamare, di solito gli admin delle reti che vi fanno collegare non hanno piacere che N macchine entrino sulla loro rete senza un minimo di controllo.
Buona connessione 