ciscokompatibler vpn

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

ciscokompatibler vpn

Beitrag von KarlPhilip » 18.07.2019 00:03:11

Liebe Foristen
Ich kann über den Netzwerkmanager die Ciscokompatible Konfiguration zwar aufrufen und ausfüllen, aber nicht abspeichern. Ich vermute da etwas mit Rechten. Ich habe nur die erforderlichen Programme installiert und ansonsten nichts verändert. Wer weiß die Lösung?
Gruß Karlphillip
p.s. Ich habe ein aktuelles Stretch am Laufen.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: ciscokompatibler vpn

Beitrag von Blackbox » 20.07.2019 08:55:48

Einmal abgesehen davon, dass du konsequent verschweigst, welche Verschlüsselungstechnologie dein Cisco VPN verwendet, frage ich mich, warum hier dieses kommerzielle Sicherheitsloch überhaupt besprochen werden sollte?
Ich denke, deine Fragen sind bei Cisco besser aufgehoben.
Denn hier im Forum geht es - wie der Name vermuten lässt - um Debian.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 20.07.2019 10:48:54

@Blackbox: dreh mal etwas runter, die Frage ist hier schon richtig, weil unter anderem diverse Router (Fritzbox?) diese komische Verbindungsmethode nutzen, und das läuft dann da auch nur unter dem Stichwort "Cisco VPN"

@KarlPhilip: ohne dazu grade was Fundiertes sagen zu können, einfach mal ins Blaue geraten: evtl liegts daran, dass die Configdatei für den Nutzer nicht schreibbar ist. Schau doch mal, welche Berechtigungen, die entsprechenden Dateien haben (sollten in /etc/NetworkManager/ liegen, und unter welchem Account das Networkmanager Plugin läuft, wenn es grade offen ist (ps aux).
Aber eh Du da jetzt viel Zeit ins große Rumsuchen investierst, Buster ist seit kurzem aktuell, vielleicht löst sich das Problem durchs Update ja von alleine?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: ciscokompatibler vpn

Beitrag von MSfree » 20.07.2019 10:53:37

Blackbox hat geschrieben: ↑ zum Beitrag ↑
20.07.2019 08:55:48
frage ich mich, warum hier dieses kommerzielle Sicherheitsloch überhaupt besprochen werden sollte? Denn hier im Forum geht es - wie der Name vermuten lässt - um Debian.
Ziemlich hochnäsig, oder?
Was glaubst du wohl, unter welchem OS der Netzwerkmanager arbeitet?
Du scheinst dir ja auch gar nicht vorstellen zu können, daß man sich die VPN-Lösung seines Arbeitgebers nicht aussuchen kann.

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 20.07.2019 17:01:02

Ihr Lieben,
danke für Eure bemerkenswerte Diskussion und die Antworten. das ist Klasse!!! Ich formuliere meine Anfrage mal um: Wie erreicht man die Fritzbox über VPN. Mit dem Smartphone geht es schliesslich auch. Der Hund liegt wohl am ehesten da, wo eggy vermutet. Ich habe mal versucht zu portunity zu tunneln und mir möglicherweise die Rechtevergabe bei openvpn verhunzt. Könnte zumindest sein. Beim Networkmanager habe ich bisher nur Root als Besitzer angetroffen. Gleiches gilt für die Config-Dateien. Eine Client.config finde ich nicht. In der Gui wird aber eine angezeigt. Das Anlegen dort funktionierte auch sehr hakelig. Mal ging es - mal nicht. Es scheint doch einiges verstellt zu sein. Hilft eine Neuinstallation vielleicht? Oder besser gefragt, was mach ich jetzt?
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 20.07.2019 17:11:37

vpnc (0.5.3r550-3) unstable; urgency=medium
Das ist mein derzeitiger vpnc.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 20.07.2019 17:41:59

Holzhammermethode (als root):
Netzwerk-Manager stoppen, configs wegschieben, nochmal alles Benötigte drüberbügeln
"apt-get install --reinstall network-manager-vpnc network-manager ... " - statt "..." alles eintragen, was von dpkg -l "network-manager*" |grep ^ii ausgespuckt wird, in der Hoffung, dass damit alles Nötige dabei war, nm wieder starten

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 22.07.2019 07:36:23

Holzhammer ging so nicht. Nicht über die Konsole, musste Synaptic bemühen. Hier meine ermittelte Fehlermeldung:
/usr/sbin/vpnc: hash comparison failed: (ISAKMP_N_AUTHENTICATION_FAILED)(24)
check group password!
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 22.07.2019 07:38:07

Grouppaßwort ist nach Anleitung eingefügt worden. Da gibt es nichts zu überprüfen.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 22.07.2019 08:29:44

Doch überprüf das mal ruhig. Das ist ja die erste brauchbare Fehlermeldung, oder? Das PW sollte jetzt im Klartext in der /etc/NetworkManager/system-connections/namedervpnverbindung stehen, schau mal, ob da evtl Sonderzeichen drin sind, die nicht so in der Datei gelandet sind, wie sie sollten. Kannst auch testweise neue Verbindung ohne Sonderzeichen erstellen, ka ob man die maskieren oder quoten musste. Evtl sind auch nur IPSec Secret und Xauth vertauscht, umdrehen und schauen, ob das hilft. Sonst wäre Debugging hochdrehen und schauen was passiert der nächste Schritt.

evtl muss der Dateiname ans Ende, evtl gehts so rum:
vpnc-connect /etc/NetworkManager/system-connections/namedervpnverbindung --debug 99
sollte genaueres ausspucken, da sollten dann auch die genutzen Passwörter drin stehen (also die nicht 1:1 irgendwo posten)

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 22.07.2019 20:50:49

er spuckte dieses
vpnc-connect: couldn't open `/etc/NetworkManager/system-connections/namedervpnverbindung.conf': No such file or directory
dirk@Debian:~$
aus.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 22.07.2019 20:54:49

Sorry Fehler meinerseits
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 22.07.2019 21:06:28

So hier kommt das Richtige:
xxxx@Debian:~$ sudo vpnc-connect /etc/NetworkManager/system-connections/Fritzbox_vpn
vpnc-connect: warning: unknown configuration directive in /etc/NetworkManager/system-connections/Fritzbox_vpn at line 1
vpnc-connect: warning: unknown configuration directive in /etc/NetworkManager/system-connections/Fritzbox_vpn at line 2
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 22.07.2019 21:24:30

Kommt drauf an, was da in der Datei steht. Einfach mal reinsehen, vielleicht kann man den Eintrag problemlos rausnehmen, vorher ggfs Backup von der Datei machen. Falls Du sie hier posten willst, Passworte etc ausXen.

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 22.07.2019 21:34:07

Hier die connection:
IKE DH Group=dh2
hier: Geheimes sieht okay aus!
IPSec secret-flags=1
Local Port=0
NAT Traversal Mode=natt
Perfect Forward Secrecy=server
Vendor=cisco
Xauth password-flags=1
Xauth username=xxx_xxxx
ipsec-secret-type=save
xauth-password-type=save
service-type=org.freedesktop.NetworkManager.vpnc

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=auto
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 23.07.2019 07:24:40

Da fehlen irgendwelche Einträge, zumindest sollte die Datei mit "[irgendwas]" anfangen. "[vpnconnetion]" (oder sowas ähnliches) gabs da glaub ich auch noch.

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 23.07.2019 23:54:24

mmmh, ja, ich bin auch ratlos. Trotzdem "Vielen Dank". Vielleicht guckt noch jemand rüber und weiß wie die config tatsächlich auszusehen hat.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 24.07.2019 14:34:58

Das kam auch beim debuggversuch.
vpnc version 0.5.3r550-3
hex_test: 00010203

S1 init_sockaddr
[2019-07-24 14:31:13]
vpnc-connect: unknown host `https://xxxxxxxxxxxxxxx/myfritz'
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 24.07.2019 14:36:16

Den Host habe ich nach Anleitung eingetragen.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 24.07.2019 19:42:50

nach Anleitung, welche? https sieht falsch aus, versuchs mal nur mit dem Rechnernamen, ohne Protokoll

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 24.07.2019 19:45:08

Code: Alles auswählen

[connection]
id=verbindungsname
uuid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
type=vpn
permissions=user:benutzername:;

[vpn]
IKE DH Group=dh2
IPSec ID=verbindungsname
IPSec gateway=rechnername
IPSec secret-flags=0
Local Port=0
NAT Traversal Mode=natt
Perfect Forward Secrecy=server
Vendor=cisco
Xauth password-flags=0
Xauth username=verbindungsname
ipsec-secret-type=save
xauth-password-type=save
service-type=org.freedesktop.NetworkManager.vpnc

[vpn-secrets]
IPSec secret=geheim1
Xauth password=geheim2

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=ignore
aus nem sid, könnte in stable auch funktionieren

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 25.07.2019 11:16:50

Bei dem Punkt permissions, was soll ich da eintragen? Wieso ist meine Datei nicht in Ordnung, und sieht so abweichend aus? Erstmal vielen Dank! Es ist ganz schön heiss hier, heute. Aktuell 29 Grad Celsius.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

Re: ciscokompatibler vpn

Beitrag von KarlPhilip » 25.07.2019 11:18:06

Ich habe mich an die Anleitung von AVM gehalten, diese sind ja der Hersteller.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: ciscokompatibler vpn

Beitrag von eggy » 25.07.2019 11:29:43

permissions ist der Benutzername auf dem Debian, damit die VPN-Verbindung auch als normaler Nutzer gestartet werden kann, falls Dein User KarlPhilip ist

Code: Alles auswählen

permissions=user:KarlPhilip:;
Wahrscheinlich kann man das für alle User einfach freilassen, also nur "permissions=" eintragen. Bin mir aber nicht sicher obs klappt, also versuchs erstmal mit dem einen User, umstellen auf "darf jeder" kann man dann später immernoch.

Benutzeravatar
KarlPhilip
Beiträge: 368
Registriert: 10.05.2017 17:08:41

ciscokompatibler vpn gelöst

Beitrag von KarlPhilip » 27.07.2019 16:58:39

Problem: gelöst. Ich habe nochmal einen Testuser angelegt und alles bewußt einfach gehalten, mußte allerdings einen Umlaut auflösen , da dieser angemeckert wurde. ä = ae z. B.. Dann ging alles ganz easy und ich happy. Ich bedanke mich bei allen die mir versucht haben zu helfen allen voran "eggy", der mich letztendlich zur Lösung führte. In der Zeile permissionuser bin jetzt ich eingetragen. Das dürfte der Knackpunkt gewesen sein.
Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten. Albern Einstein

Antworten