format certyfikatu z Cisco VPN Client

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
bieruch
fresh
fresh
Posty: 5
Rejestracja: 22 mar 2013, 18:19

format certyfikatu z Cisco VPN Client

#1

#1 Post autor: bieruch »

Witam serdecznie. Mam następujący problem. Chcę zmienić klienta Cisco VPN Client który sprawia mi problemy na Shrew. Do uwierzytelnienia korzystam z certyfikatu klienckiego. Niestety certyfikat jest w formacie cisco, tylko tak go mogę wyeksportować, i nie mogę go potem zaimportować do klienta Shrew. Czy istnieje narzędzie pozwalające na konwersję tego certyfikatu do jakiejś otwartej postaci jak pem albo p12?

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#2

#2 Post autor: dorvin »

Będzie ciężko. A to jakiś wielki problem, żeby ponownie zrobić enrollment?

Awatar użytkownika
bugi
wannabe
wannabe
Posty: 1345
Rejestracja: 09 lip 2008, 17:50
Lokalizacja: Warsaw Poland

Re: format certyfikatu z Cisco VPN Client

#3

#3 Post autor: bugi »

bieruch pisze:Witam serdecznie. Mam następujący problem. Chcę zmienić klienta Cisco VPN Client który sprawia mi problemy na Shrew. Do uwierzytelnienia korzystam z certyfikatu klienckiego. Niestety certyfikat jest w formacie cisco, tylko tak go mogę wyeksportować, i nie mogę go potem zaimportować do klienta Shrew. Czy istnieje narzędzie pozwalające na konwersję tego certyfikatu do jakiejś otwartej postaci jak pem albo p12?
Witaj,

Spróbuj XCA http://sourceforge.net/projects/xca/

pzdr
CCIE RS#55541
"W ogóle, bracie, jeżeli nie masz na utrzymaniu rodziny, nie grozi ci głód, nie jesteś Tutsi ani Hutu i te sprawy, to wystarczy, że odpowiesz sobie na jedno zajebiście, ale to zajebiście, ważne pytanie: co lubię w życiu robić. A potem zacznij to robić..."
http://www.linkedin.com/in/mariuszbugaj

bieruch
fresh
fresh
Posty: 5
Rejestracja: 22 mar 2013, 18:19

#4

#4 Post autor: bieruch »

Dzięki, wypróbuję xca i dam znać. Pokombinuję też z enrollmentem, nie jestem pewien jakie są możliwości w tym przypadku.

bieruch
fresh
fresh
Posty: 5
Rejestracja: 22 mar 2013, 18:19

#5

#5 Post autor: bieruch »

Niestety, xca tego nie rozpoznaje. To chyba jakiś niepubliczny format cisco, pewnie specjalnie tak jest zrobione. W tej sytuacji rozwinę mój problem, może istnieje inne rozwiązanie.

Od klienta otrzymałem dostęp VPN za pośrednictwem Cisco VPN Client. Uwierzytelnianie jest na podstawie certyfikatu klienckiego. Niestety gateway został skonfigurowany w taki sposób, że odcina mi LAN. Nie mogę korzystać z drukarki, repozytorium kodu i innych narzędzi dostępnych w mojej lokalnej sieci. Dotychczas pracowałem na miejscu u klienta, ale jest kryzys, oszczędzają na powierzchni biurowej i wysadzają zewnętrznych pracowników. Niestety najwyraźniej podejście adminów od bezpieczeństwa nie nadąża za nowymi realiami.

Czy może istnieje zatem opcja instalacji jakiegoś prostego routera cisco w mojej sieci, który by miał zainstalowanego KLIENTA vpn działającego z takim certyfikatem i udostępniającego połączenie dla maszyn w swojej sieci? A może jest jeszcze inne rozwiązanie? Na razie jedyne co działa to maszyna wirtualna w której odpalam Cisco VPN Client, ale to rozwiązanie dalekie od optymalnego.

czarli
member
member
Posty: 17
Rejestracja: 12 sty 2011, 12:18
Kontakt:

#6

#6 Post autor: czarli »

Witam!

A moge zapytac dlaczego uzywasz Shrew zamiast Cisco VPN? Czyzby Win8?

Jezeli tak to mozesz sprobowac tego triku :)

==========================================================
The legacy Cisco VPN client (5.0.07.0440 for x64, 5.0.07.0410 for x86) is working for some people. You need to apply a small workaround as explained below –

· Open Registry editor by typingregedit in Run prompt
· Browse to the Registry Key HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CVirtA
· Select the DisplayName to modify, and remove the leading characters from the value data upto "%;" i.e.

o For x86, change the value data from something like "@oem8.inf,%CVirtA_Desc%;Cisco Systems VPN Adapter” to "Cisco Systems VPN Adapter”

o For x64, change the value data from something like "@oem8.inf,%CVirtA_Desc%;Cisco Systems VPN Adapter for 64-bit Windows” to "Cisco Systems VPN Adapter for 64-bit Windows”
=========================================================

Poza tym jezeli masz problem z VPN to moze popros o pomoc u zrodla, czyli adminow ktorzy zarzadaja siecia.

Pozdrawiam

-------------------
www.itlibrary.net

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#7

#7 Post autor: dorvin »

bieruch pisze:To chyba jakiś niepubliczny format cisco, pewnie specjalnie tak jest zrobione.
Zgadza się. To format własnościowy.
Czy może istnieje zatem opcja instalacji jakiegoś prostego routera cisco w mojej sieci, który by miał zainstalowanego KLIENTA vpn działającego z takim certyfikatem i udostępniającego połączenie dla maszyn w swojej sieci?
Ale to Ci i tak nic nie da, bo router zaciągnie politykę. Już nie mówiąc o takim drobiazgu, że ciężko będzie zestawić połączenie.
Na razie jedyne co działa to maszyna wirtualna w której odpalam Cisco VPN Client, ale to rozwiązanie dalekie od optymalnego.
Ależ to właśnie bardzo optymalne rozwiązanie. Tylko trzeba się przyzwyczaić. Masz niezależność swojego środowiska od widzimisię adminów zdalnej sieci, możesz się łączyć do różnych sieci (np. rano do Cisco, w południe do Checkpointa, wieczorem do Junipera) i nie zbierasz śmieci na maszynie głównej.

bieruch
fresh
fresh
Posty: 5
Rejestracja: 22 mar 2013, 18:19

#8

#8 Post autor: bieruch »

Dzięki za sugestie. Chcę użyć Shrew, bo pozwala na skonfigurowanie dostępu do LAN - tak jak pisałem wyżej. Wygląda na to że muszę jakoś przestawić się na pracę z wirtualną maszyną.

czaja200
wannabe
wannabe
Posty: 71
Rejestracja: 05 kwie 2011, 12:18
Lokalizacja: dolnyśląsk

#9

#9 Post autor: czaja200 »

bieruch pisze:Od klienta otrzymałem dostęp VPN za pośrednictwem Cisco VPN Client. Uwierzytelnianie jest na podstawie certyfikatu klienckiego. Niestety gateway został skonfigurowany w taki sposób, że odcina mi LAN. Nie mogę korzystać z drukarki, repozytorium kodu i innych narzędzi dostępnych w mojej lokalnej sieci. Dotychczas pracowałem na miejscu u klienta, ale jest kryzys, oszczędzają na powierzchni biurowej i wysadzają zewnętrznych pracowników. Niestety najwyraźniej podejście adminów od bezpieczeństwa nie nadąża za nowymi realiami.
Sposób, możesz samemu modyfikować tablicę rutingu na kompie.
Robisz "gotowca" np. jakiś .bat zmieniający wpisy w tablicy, który uruchamiasz po zestawieniu się VPN-a.
MB

bieruch
fresh
fresh
Posty: 5
Rejestracja: 22 mar 2013, 18:19

#10

#10 Post autor: bieruch »

czaja200 pisze: Sposób, możesz samemu modyfikować tablicę rutingu na kompie.
Robisz "gotowca" np. jakiś .bat zmieniający wpisy w tablicy, który uruchamiasz po zestawieniu się VPN-a.
To niestety nie działa. Daje się ustawić routing jaki bym chciał, ale ruch i tak nie wychodzi.

czaja200
wannabe
wannabe
Posty: 71
Rejestracja: 05 kwie 2011, 12:18
Lokalizacja: dolnyśląsk

#11

#11 Post autor: czaja200 »

Jak chcesz, to wklej tablice rutingu przed i po zestawieniu VPN-a. Podaj sieć (sieci) w centrali.
Wstaw modyfikacje, które wprowadzałeś.
MB

ODPOWIEDZ