Cisco VPN

Aus NComputing Knowledge Base
Wechseln zu: Navigation, Suche

NoTouch unterstützt sowohl den ursprünglichen Cisco IPSec VPN Client als auch die moderneren SSL VPNs. Bitte beachten Sie, dass VPN-Funktionen nur in den speziellen Enhanced Security Images (auf x86 Thin Client) enthalten sind. Die OpenConnect-Unterstützung (kostenloser Cisco VPN-Client) ist ab sofort für die RX-HDX-Firmware Version 2.40.4306 oder höher verfügbar.

Open Connect

Für die Cisco-Konnektivität bevorzugen wir OpenConnect, nicht nur weil es öffentlich ist, sondern auch weil es scheinbar besser gepflegt ist als die ursprüngliche Cisco-Software. Die Webseite des OpenConnect-Produkts ist http://www.infradead.org/openconnect/

Das OpenConnect Binary ist bereits enthalten. Daher ist es nicht besser oder schlechter, openconnect auf NoTouch auszuführen wie auf jedem anderen Linux-System. Natürlich versuchen wir, Parameter für alles zu geben, so dass unsere Kunden nicht auf die Kommandozeile gehen müssen, aber für openconnect haben wir vorerst nur die Binärdatei.

Das OpenConnect Handbuch sieht relativ einfach aus - http://www.infradead.org/openconnect/connecting.html - Es gibt viele Parameter. Wenn Sie openconnect ohne Parameter ausführen, müssen Sie überprüfen, was für Ihre Installation notwendig ist. Im OpenConnect-Handbuch steht, dass Sie ein vpnc-Skript benötigen. Natürlich ist dies im Standardverzeichnis /etc/vpnc/vpnc/vpnc/vpnc-script enthalten.

Unser erster Ratschlag ist, es einfach von der Kommandozeile aus auszuführen. Melden Sie sich auf der Konfigurationsseite des Systems an, klicken Sie auf Konsole, verwenden Sie den Befehl su, um root zu erhalten (wieder das gleiche Passwort) und versuchen Sie zu verbinden, starten Sie mit openconnect https://mygateway.mycompany.com

Wird beim Systemstart ausgeführt: Verwenden Sie Eventskripte, verwenden Sie Startup 3 (dies geschieht nach dem Networking).

Wird über ein Desktop-Symbol ausgeführt: Erstellen Sie eine Verbindung, als ob Sie eine VMware Horizon- oder Citrix-Verbindung erstellen würden. Wählen Sie jedoch den Verbindungsmodus "custom command" und setzen Sie den Parameter "Command to be executed" auf die Befehlszeile, die Sie ausführen möchten.

Cisco SSL

Der Cisco VPN-Client für Linux funktioniert gut in NoTouch und ist in einigen OS-Images enthalten.

In diesem Handbuch gehen wir davon aus, dass Sie einen NoTouch-Computer mit einer konfigurierten Verbindung haben, sei es Citrix, VMware Horizon View, was auch immer, und Sie möchten Cisco VPN-Unterstützung so hinzufügen, dass Ihre Benutzer auf ein Symbol klicken können, um die VPN-Verbindung zu starten, wenn sie sie benötigen.

  1. Öffnen Sie eine Shell-Eingabeaufforderung und stellen Sie sicher, dass Sie als root angemeldet sind (verwenden Sie den Befehl su mit dem Administratorkennwort des Clients, um Ihre Berechtigungen bei Bedarf vom normalen Benutzer auf root zu erhöhen).
  2. Konfigurieren Sie den Cisco VPN-Service
    • Erstellen Sie den Ordner, in dem sich die Datei befinden soll:
      • mkdir /config/ciscovpn
    • Erstellen/Editieren Sie Ihre ProfileName.pcf-Verbindungsdatei.
    • Speichern Sie die Datei unter /config/ciscovpn.
  3. Erstellen Sie in der Konfiguration oder über das NoTouch Center eine Verbindung mit dem Namen "Start VPN" und mit dem Verbindungsmodus "Custom command".
    • Setzen Sie den Parameter "Command to be executed" auf:
      • vpnclient connect ProfileName
      • (Bitte beachten Sie, dass ProfileName ohne die .pcf-Erweiterung kommen soll!)
  4. Aktivieren Sie den Cisco VPN-Service (unter Services)
  5. Starten Sie die Maschine neu und überprüfen Sie den Arbeitsablauf

Sie können natürlich den Connection Autostart für die CiscoVPN-Verbindung verwenden, um sich automatisch mit dem VPN zu verbinden. Wir haben jedoch festgestellt, dass die meisten Endbenutzer gerne eine gewisse Kontrolle haben, da sie entscheiden wollen, ob sie sie benötigen oder nicht (denken Sie an einen Mitarbeiter, der manchmal im Büro ohne VPN und manchmal von zu Hause mit VPN arbeitet).

Sollten Sie unterschiedliche Verbindungen für Inhouse- und "On-the-road"-Szenarien benötigen, können Sie natürlich weitere Verbindungen wie "Citrix Office" vs. "Citrix Outside" o.ä. anlegen.

Hinweis:Der CiscoVPN-Client-Service muss neu gestartet werden, bevor Sie sich wieder verbinden können. Sie erwarten vielleicht, dass der vpnclient dies tut, aber das ist nicht der Fall. Sie müssen den folgenden Befehl explizit aufrufen, z.B. aus der Session-Exit-Aktion: 

  /etc/init.d/vpnclient_init restart