Sziasztok.
Van egy érdekes kis történetem. Röviden annyi, hogy a céges vpn konfiguráció szerintem kissé elavult. Van egy usb token + driver, egy vpn kliens (Cisco Anyconnect Secure Mobility Client). Ha csatlakozni szeretnék, a kliensben csak el van mentve egy link, csak kattitok egyet és a többi dolog fut magától. Token csatlakoztatva, csak egy jelszót kér és megy minden.
Linux esetén (Ubuntu, Mint, Deepin) ez nem pont ilyen egyszerű. A drivert tartalmazó szoftvercsomagot sem volt egyszerű össze vadászni, főleg a megfelelő verziót, ennek voltak olyan függőségei, amik a tárolókból nem elérhetők, de mindezen túl vagyok. Az első probléma szerintem ott kezdődött, hogy nem találtam használható AnyConnect klienst. Van egy verzióm, ami félig-meddig működik a következőképpen:
Mivel a modern böngészők már nem támogatják az NPAPI bővítményeket, így kellett egy kompatíbilis böngésző. Ez lett a Pale Moon. A böngészőben eállítottam biztonsági eszköznek a tokent.
Adott linket, (ami a windowsos verzióban el van mentve a kliensben) beírom a böngészőbe, kéri a token jelszavát, elindul egy ununun-untrusted java app, ami érzékeli, hogy nincs vpn kliensem, letölti a gépre az Anyconnectet, megpróbálja feltelepíteni de nem sikerül. Ekkor ad egy manuális vpnsetup.sh scriptet. Letölt -> telepít, AnyConnect megvan. Böngészőben "retry" gomb megnyom, kapcsolat létrejön, örül.
Következő alkalommal már elég lenne csak megnyitni a böngészőben a lapot, beírni a token jelszavát és a a java app mindent intéz (mivel az Anyconnect már telepítve van). Ez működik is egészen addig, amíg a gépet újra nem indítom. Utána a letöltött vpnsetup.sh-t újra le kell futtatnom. Felülírja az állományokat és utána újra megy minden.
Az lenne a fő kérdés, hogy van-e arra valami lehetőség, hogy amikor bejelentkezem, lefusson a script magától root joggal (anélkül nem megy). Próbáltam symlinket létrehozni a /etc/profiles.d alá, de bejelentkezéskor hibaüzenet fogad.
Ha valaki egy kicsit konyít esetleg a linuxos AnyConnecthez... van egy olyan ötletem, hogy a konfig csak letöltődik a szerverről a java app segítségével és ha az megvolna, be tudnám tölteni kézzel is (de a tokent nem tudom hogy lehetne megadni neki tanúsítvány helyett). Nem akarom elhinni, hogy Win alatt egy kattintás, linux alatt meg így kell szívni. (egyébként win alatt is megy a böngészős verzió).
OpenVPN-en is gondolkodtam, de fogalmam sincs hogy oldanám meg. Nálam otthon 2 féle vpn van, egyik tanúsítvánnyal megy, a másik PPTP. A tokenes dolog egy kissé magas nekem.
Köszi az ötleteket!
Hozzászólások
Partszélről: esetleg próbáld ki az OpenConnect-et, az beszéli az AnyConnect protokollt és a leírása alapján tud PKCS#11 tokenből beszélgetni.
(az automatikus lefutást én a DE-re bíznám [KDE-n a rendszerbeállítások közt az automatikus indítás, többinél passz], utána már csak egy sudoers fájl és egy egy soros wrapper kérdése, ha ragaszkodsz az AnyConnect-hez)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Nekem teljesen mindegy mi a kliens neve, csak működjön :D Nem nagyon volt időm szórakozni vele, de most megnézem az OpenConnect-et. Köszi a tippet!
Meglett a gond. Alapvetően az történt, hogy újraindítás után nem ment a vpn kapcsolat felépítése böngészőn keresztül csak ha reinstall volt.
Megnéztem mi történik reinstall esetén és hogy mi a különbség újraindítás előtt és utána.
Egyszerűen csak annyi volt, hogy a vpnagentd nem futott. Beállítottam, hogy automatikusan induljon bootolás után. Azóta minden ok :)