-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Liste, mein Einstand auf dieser Liste, als relativ neuer Linux-user, wird gleich von einem Problem begleitet. Ich werde mein Problem so ausführlich wie möglich schildern, da ich davon ausgehe dass niemand der mit helfen möchte daran interessiert ist X-tausend mal nachzufragen, bis das Problem endgültig vorliegt. Ich möchte von meinem Desktop-PC (i686) aus zu meiner Uni (Passau) eine VPN-Verbindung aufbauen, da ich nur auf diesem Weg bestimmte webseiten aufrufen kann. Bis vor 1 Monat hatte ich SUSE 9.3 auf meinem Rechner und habe mich mittels des Cisco VPN-Client (4.6.02) mit der Uni verbunden. Dazu waren keinerlei Einstellungen an der Firewall vorzunehmen, welche ich so konfiguriert habe, dass ausschließlich IPsec und SSH als eingehende Verbindungen akzeptiert werden. Ich verwende kein Masquerading, da ich das noch nicht ganz durchschaut habe, und baue meine DSL-Verbindung ohne router, jedoch durch einen HUB welcher mein mini-lan mit dem DSL-Modem verbindet auf. Ich denke aber nicht dass _hier_ das problem liegt. wenn ich versuche, mit dem befehl $vpnclient connect <profil> nocertpwd eine Verbindung aufzubauen, so erhalte ich folgende ausgabe (ich verwende die option nocertpwd da ich weiss dass kein zertifikatspasswort gesetzt wurde): Cisco Systems VPN Client Version 4.6.02 (0030) Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.13-15.7-smp #1 SMP Tue Nov 29 14:32:29 UTC 2005 i686 Config file directory: /etc/opt/cisco-vpnclient Privilege Separation: unable to drop privileges. The application was unable to communicate with the VPN sub-system. wenn ich (was ich ja eigentlich auch nicht will, da es riskant ist) versuche mich als root mit dem vpn zu verbinden, bekomme ich eine andere ausgabe, aber das selbe "ergebnis" (es geht nicht *gruml*): Cisco Systems VPN Client Version 4.6.02 (0030) Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.13-15.7-smp #1 SMP Tue Nov 29 14:32:29 UTC 2005 i686 Config file directory: /etc/opt/cisco-vpnclient Initializing the VPN connection. Secure VPN Connection terminated locally by the Client Reason: Failed to establish a VPN connection. There are no new notification messages at this time. nun gut, ich habe außerdem schon einen Versuch mit KVpnc (vpnc mit GUI) gestartet und etliche varianten versucht. KVpnc stürzt entweder ab (absturzvariante "programm reagiert nicht") oder sagt mir auch nur, dass keine verbindung zu Stande kommt. fuer KVpnc habe ich das Cisco VPN-Client Profil importiert, welches meine Uni ihrem client beilegt. es nennt sich, fuer verbindungen aus dem Internet sinnigerweise "Internet". es folgt eine erläuterung meiner Einstellungen unter KVpnc, sowie die ausgabe dessen Log: Einstellungen: unter "kvpnc Einrichten" Registerkarte "Verbindungsprofile" ist folgendes eingetragen: Registerkarte "Allgemein": Name des Profils: "Verbindung Zur Uni aus dem Internet" Verbindungstyp: Cisco (vpnc) IPSec-Gateway: vpn-ext.rz.uni-passau.de //dieser reagiert uebrigens auf einen Ping wunderbar Netzwerkgerät: dsl0 //meine externe schnittstelle zur welt... Registerkarte "Cisco / OpenVPN" IPSec.ID: <definitiv korrekter wert angegeben> /* ich weiss nicht wie vertraulich diese info ist aber ich behalte sie mal */ Registerkarte "Zertifikat / Preshared Key (PSK)": Pre shared key: <ebenfalls korrekt> /* das Gruppenpasswort ist definitiv richtig PSK speichern: x // ausgewählt Registerkarte "Benutzer": Benutzername: <mein login name> /* lower cases, wie gefordert mit punkt zu begin, format ist korrekt */ Passwort: <mein passwort> /*kleine frage an die Experten: ich verwende ein "sicheres" passwort, welches also upper & lower case sowie sonderzeichen (wie zB %&/()) enthaelt. kann es sein, dass dieses vom VPN-Client nicht korrekt verarbeitet wird? da ich mich (hässlicherweise) an meiner universität auf einem Microsoft-betriebssystem (mittels meiner novell-kennung) einlogge und bei diesem passwort sonderzeichen genehmigt sind, habe ich sie natuerlich eingebaut. kann es sein dass HIER der konflikt liegt und ich unnötigerweise "VPN studiere" ? */ Registerkarte "Netzwerkeinstellungen": NAT-T: UDP (x) //also angekreuzigt wenn ich die schaltfläche "werkzeuginformationen" auswaehle, erhalte ich die bestaetigung, dass alle notwendigen pakete installiert sind (also iptables, ipsex, vpnc openssl und so weiter und so fort). alles grün, alles da. nun gut, hier die Ausgabe der debugkonsole von KVpnc, wenn ich auf "verbinden" gehe: VpncScript: /root/.kde/share/apps/kvpnc/vpnc-script.Verbindung zur Uni aus dem Internet info: Benutzerdefinierter lokaler Port "10000" wird benutzt info: Benutzerdefinierte IKE-Gruppe "dh-1" wird benutzt info: UDP wird benutzt. info: Es wird versucht, zu Server "vpn-ext.rz.uni-passau.de" (132.231.254.252) mit Benutzer "<meine novell kennung>" und IPSec ID "<korrekte ipsec-id>" zu verbinden... info: "vpnc" ist gestartet. debug: /usr/sbin/vpnc: IKE DH Group "dh-1" unsupported info: Zeit abgelaufen! Verbindungsprozess wird getötet! info: Verbindung fehlgeschlagen (Zeit abgelaufen). info: Nicht verbunden. info: Zeit abgelaufen! Verbindungsprozess wird getötet! info: Verbindung fehlgeschlagen (Zeit abgelaufen). info: Nicht verbunden. was ich noch zu meinem Problem sagen kann ist, dass ich (laut anleitung auf den seiten von www.cisco.com ) alle noetigen ports und protokolle an meiner linux-firewall freigegeben habe. das sind im folgenden (es kann sein dass ich ueberfluessige eintraege habe, da ich "auf nummer sicher" gehen wollte), aus der "SuSEfirewall2" file in "/etc/sysconfig": FW_SERVICES_EXT_TCP="10000 4662 5801 5901 ssh" FW_SERVICES_EXT_UDP="10000 500 4672 ipsec-nat-t isakmp" FW_SERVICES_EXT_IP="esp" sonstiges: keine weiteren forwarings oder routing oder andere optionen, alles belassen wie ich es vorgefunden habe. ich denke, nach diesem langen Block an text ist es zeit fuer ein "foo". - -foo ich möchte mich im Voraus bei jedem, der diesen Beitrag liest bedanken, und hoffe ich bereite niemandem graue haare durch evtl fehlende Angaben oder zu ungenaue Formulierungen. vielleicht darf man diese Mail auch als kleines "Weihnachtsrätsel" betrachten. Vielen Dank, der ganzen Liste wünsche ich angenehme Feiertage und einen guten Rutsch, Max Seifert -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFDq+IULoGDJ+emUPIRAlnBAKDGcsoihR35CwMVmZoUZsTZUo1fOACeLpTc EcXz8Giyum8ROVDcLgDhTf8= =ynoZ -----END PGP SIGNATURE-----
also bei mir (uni-münster) habe ich das so gelöst: dhcpcd eth0 && #muss ich machen für die ip route del default gw XXX.XXX.XXX.XXX && route add YYY.YYY.YYY.YYY gw XXX.XXX.XXX.XXX && pptp YYY.YYY.YYY.YYY & danach muss ich nurnoch eine neue standart route hinuzufüge: route add default gw ZZZ.ZZZ.ZZZZ.ZZZ und ein regelmäßigen ping damit ich nicht aus dem netz geschmissen werde. die konfiguration für den pptp liegt in /etc/ppp/* funktionniert problemlos und es gibt auch andere skirpts dafür, aber ich bin mit meiner lösung zufrieden. greatz Johannes -- Es gibt 10 Arten von Menschen auf dieser Welt, die einen verstehen das Binärsystem und die anderen verstehen es nicht.
Am Freitag 23 Dezember 2005 12:40 schrieb MX:
Config file directory: /etc/opt/cisco-vpnclient
Privilege Separation: unable to drop privileges. The application was unable to communicate with the VPN sub-system.
Soweit ich weiss ist das ein bekannter Bug des Cisco VPN-Clients. Probier mal die Dateirechte von /etc/CiscoSystemsVPNClient so zu setzen, daß Dein Benutzer hier schreiben kann. Ich wähle mich allerdings als root ein.
nun gut, ich habe außerdem schon einen Versuch mit KVpnc (vpnc mit GUI) gestartet und etliche varianten versucht. KVpnc stürzt entweder ab (absturzvariante "programm reagiert nicht") oder sagt mir auch nur, dass keine verbindung zu Stande kommt. fuer KVpnc habe ich das Cisco VPN-Client Profil importiert, welches meine Uni ihrem client beilegt. es nennt sich, fuer verbindungen aus dem Internet sinnigerweise "Internet". es folgt eine erläuterung meiner Einstellungen unter KVpnc, sowie die ausgabe dessen Log:
KVpnc benutzt nicht den Cisco Client, sonder vpnx. Hast Du das installiert? Gibts unter http://www.unix-ag.uni-kl.de/~massar/vpnc/ müsste aber bei SuSE auch dabei sein. Evtl. klappts damit. MfG Marco
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Marco Röben schrieb:
Soweit ich weiss ist das ein bekannter Bug des Cisco VPN-Clients. Probier mal die Dateirechte von /etc/CiscoSystemsVPNClient so zu setzen, daß Dein Benutzer hier schreiben kann. Ich wähle mich allerdings als root ein.
Danke für den Tip, aber daran hats nicht gelegen. 1. wie bereits erwähnt hat ja alles unter SL 9.2 bzw auch 9.3 problemfrei funktioniert. 2. habe die Rechte gesetzt und bekomme nach wie vor die Fehlermeldung "Unable to drop privileges" 3. auch als root funktioniert es nicht.
KVpnc benutzt nicht den Cisco Client, sonder vpnx. Hast Du das installiert? Gibts unter http://www.unix-ag.uni-kl.de/~massar/vpnc/ müsste aber bei SuSE auch dabei sein. Evtl. klappts damit.
Habe alles installiert was KVpnc behauptet brauchen zu können (anhand der Tools-Information innerhalb von KVpnc). Vielleicht liegts ja auch an irgendwelchen Einstellungen welche ich falsch vorgenommen habe, sei es innerhalb von KVpnc oder evtl auch an der Firewall. MfG Max -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFDrWDxLoGDJ+emUPIRAnjIAJ9uIpqoXtwlIWQGuFiDYmW/8QltNgCg6I7I Kbdx2tye2bYhopm550Zo4mY= =+RMF -----END PGP SIGNATURE-----
Hi Am Freitag, 23. Dezember 2005 12:40 schrieb MX:
Cisco Systems VPN Client Version 4.6.02 (0030) Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.13-15.7-smp #1 SMP Tue Nov 29 14:32:29 UTC 2005 i686 Config file directory: /etc/opt/cisco-vpnclient
Bei uns an der Uni wird auch der Cisco vpnclient verwendet. Ich hatte mit dem bisher immer nur Probleme. Vielleicht ist für dich vpnc eine Alternative? http://www.unix-ag.uni-kl.de/~massar/vpnc/ Den verwende ich. Leider ist die CPU-Last ziemlich hoch. Wenn ich mit volldampf runterlade, liegt der load schon bei 0,8, allerdings sind das dann auch 17MBit :) Dazu gibt es eine gui, kvpnc für KDE. Bis dann, Tilo
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Tilo Lutz schrieb:
Bei uns an der Uni wird auch der Cisco vpnclient verwendet. Ich hatte mit dem bisher immer nur Probleme. Vielleicht ist für dich vpnc eine Alternative? http://www.unix-ag.uni-kl.de/~massar/vpnc/ Den verwende ich. Leider ist die CPU-Last ziemlich hoch. Wenn ich mit volldampf runterlade, liegt der load schon bei 0,8, allerdings sind das dann auch 17MBit :)
Dazu gibt es eine gui, kvpnc für KDE.
Bis dann, Tilo
Wie bereits vorher erwähnt weigert sich auch der vpnc eine Verbindung aufzubauen. Ich habe ebenfalls mit KVpnc gearbeitet, ich bekomme keine Verbindung. Im 2. Teil meiner Mail habe ich diese Problematik ebenfalls geschildert. MfG, Max -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFDrV7eLoGDJ+emUPIRAiQgAJ4jf1EMu0FNBk47XWEdbedMejumfACgo+eW 73D5FKBjF1XSOVblM/Kr3Xc= =DSsS -----END PGP SIGNATURE-----
* MX wrote on Fri, Dec 23, 2005 at 12:40 +0100:
wenn ich (was ich ja eigentlich auch nicht will, da es riskant ist) versuche mich als root mit dem vpn zu verbinden,
Sorry, mein Verständnis setzt hier aus, muss gleich mal nachfragen :) Du willst Virtual Private Network machen, aber nicht als root, weil riskant? Das heisst, bei Dir dürfen User IPs setzen, tunneln, an der routingtabelle rumfummeln etc? Ich würde /das/ als riskant bezeichnen. Wo liegt mein Fehler? oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.
participants (5)
-
Johanns Schneider
-
Marco Röben
-
MX
-
Steffen Dettmer
-
Tilo Lutz