Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2665 views
  • Users 0 members are here
Options
Suggested

[FEATURE] Cisco VPN Client Config generation

Scott_Klassen
I would think it to be a good idea for Astaro to generate a Cisco VPN profile (.pcf) for import into the Cisco VPN client, that can be downloaded from the user profile. Just like Astaro does for an OpenVPN profile with the SSL VPN. Much easier to explain to an end user how to add a PCF file than have them manually enter in the host name, IP, etc.
 
Edit:  FYI to an dev who may bother to read this, the pcf file is a plain text file, so should be a simple thing to do.  [:)]
Parents Reply Children
  • 0 in reply to Gert Hansen
    Hi Gert,

    when I take a look at a profile from my company it looks like this (to have a whole example instead of the individual commands on the Cisco site: 

    [main]

    !Description=anonymous Gateway

    !Host=anonymous.net

    !AuthType=1

    !GroupName=AnonymousStandard

    !GroupPwd=

    !enc_GroupPwd=someEncryptedString

    !EnableISPConnect=0

    !ISPConnectType=0

    !ISPConnect=

    !ISPCommand=

    Username=

    SaveUserPassword=0

    UserPassword=

    enc_UserPassword=

    !NTDomain=

    !EnableBackup=1

    !BackupServer=anonymous2.net,anonymous3.net

    !EnableMSLogon=1

    !MSLogonType=0

    !EnableNat=1

    !TunnelingMode=0

    !TcpTunnelingPort=10000

    !CertStore=0

    !CertName=

    !CertPath=

    !CertSubjectName=

    !CertSerialHash=00000000000000000000000000000000

    !SendCertChain=0

    !VerifyCertDN=

    !DHGroup=2

    !ForceKeepAlives=0

    !PeerTimeout=90

    !EnableLocalLAN=0

    !EnableSplitDNS=1

    !ForceNetLogin=0
  • 0 in reply to Brainscanner
    Ye, that's it and quite a few things can be configured. Here's one I just generated to connect to my 7.360 test box:
     
    [main]
    Description=
    Host=192.168.12.8
    AuthType=3
    GroupName=
    GroupPwd=
    enc_GroupPwd=
    EnableISPConnect=0
    ISPConnectType=0
    ISPConnect=
    ISPPhonebook=
    ISPCommand=
    Username=admin
    SaveUserPassword=0
    UserPassword=
    enc_UserPassword=
    NTDomain=
    EnableBackup=0
    BackupServer=
    EnableMSLogon=1
    MSLogonType=0
    EnableNat=1
    TunnelingMode=0
    TcpTunnelingPort=10000
    CertStore=1
    CertName=admin
    CertPath=
    CertSubjectName=e=blah@blah.com,cn=monkeys,o=pookeybear,l=EmeraldCity,c=oz
    CertSerialHash=0A0A0D2F1C158F1F53ABCDE3BFB316FC
    SendCertChain=0
    PeerTimeout=90
    EnableLocalLAN=0
     
     
    Sanitized of course. The hash has been changed to protect the guilty. ;P.  This is a very basic profile generated through the CIsco VPN client GUI, but there are more options possible.
     
    There are several options I would see as wise to allow administrators to choose how they are populated through WEBAdmin:  1)  Description (this is the label users will see for the connection)  2)  UDP or TCP  3)  EnableLocalLan  4)  EnableSplitDNS.
     
    The last three can have a big impact on the security and compatibility of the connection.  For example, I once had a remote user who lived far out in a rural area.  The only "broadband" connection available to her was through a satellite service.  The VPN would never connect.  After a bit of research, I found out that it is very common for satellite providers to block TCP IPSEC VPN connections to conserve bandwidth usage.  The fix was to have her switch to UDP.
     
    If you don't have it avaiable Gert, I can shoot you an install for the Cisco VPN client, so you can play with it a bit and see how config changes in the client GUI affect the profile in the PCF file.  PM me if this would help.
  • 0 in reply to Scott_Klassen
    My working PCF file is included to show similarites...

    Also, does nobody else want to be able to include which networks are tunneled? Do you really want ALL traffic including internet traffic to go through the vpn tunnel?

    [main]
    Description=home vpn
    Host=hostname
    AuthType=3
    GroupName=
    GroupPwd=
    enc_GroupPwd=
    EnableISPConnect=0
    ISPConnectType=0
    ISPConnect=
    ISPPhonebook=
    ISPCommand=
    Username=psmith
    SaveUserPassword=0
    UserPassword=
    enc_UserPassword=
    NTDomain=
    EnableBackup=0
    BackupServer=
    EnableMSLogon=1
    MSLogonType=0
    EnableNat=1
    TunnelingMode=0
    TcpTunnelingPort=10000
    CertStore=1
    CertName=Paul Smith
    CertPath=
    CertSubjectName=e=admin@linuxvpn.net,cn=admin Smith,o=Linuxvpn.net,l=Brantford,c=ca
    CertSerialHash=***************xx
    SendCertChain=0
    PeerTimeout=90
    EnableLocalLAN=1
  • 0 in reply to ReD-MaN
    Thought about this already, but postponed it until we come up with an automated installer that puts the PKCS#12 in place as well. Currently I see limited use for a .pcf export, because the user would additionally need to download the PKCS#12 and fiddle with the - then automatically created - connection entry in VPN client to assign it to the connection. The only benefit in having a auto-.pcf would then boil down to the server address being configured automatically.

    I'll overhaul the whole Windows installer concept in the mid-term. You'll probably see some improvement then. So, stay tuned. =)
  • 0 in reply to d12fk
    Has anyone tried the VPNC client on Linux with Astaro?
    I've been using it with Cisco concentrators, and it works nicely with NetworkManager on Fedora. 
    Unfortunately, OpenVPN does not work nicely in Fedora with Astaro's OpenVPN config, so I'm wondering if VPNC would work better.
    I'll probably try it if no one else has.

    Barry
  • 0 in reply to BarryG
    Has anyone tried the VPNC client on Linux with Astaro?
    I've been using it with Cisco concentrators, and it works nicely with NetworkManager on Fedora. 
    Unfortunately, OpenVPN does not work nicely in Fedora with Astaro's OpenVPN config, so I'm wondering if VPNC would work better.
    I'll probably try it if no one else has.

    Barry


    To my knowledge (and just tried w/ NetworkManager and CLI vpnc in Fedora 10) vpnc doesn't support certificates yet, so no dice - at least via the Cisco method.  Haven't tried NetworkManager w/ OpenVPN yet.