Как настроить VPN(PPTP) с авторизацией по смарт-карте (etoken)?

[And390]

Всем привет.
Пытаюсь настроить доступ к существующей корпоративной сети через VPN(PPTP) со смарт-картой Aladdin eToken PRO на ubuntu 14. Работает в Windows. Драйвера (точнее, PKI Client от аладина) вроде бы установились, смарт-карта определяется, получилось вытянуть с нее сертификаты. Дальше пытаюсь следовать вот этому руководству http://media.kaspersky.com/ru/documents/vpn_safenet_authentication_client_for_ubuntu.pdf (раздел про pptp).
Создаю конфиги, как описано, запускаю

Код: [Выделить]

sudo pon myconn debug, получаю:

Код: [Выделить]

using channel 4
Using interface ppp0
Connect: ppp0 <--> /dev/pts/4
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xf5bea371> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <auth eap> <magic 0x7052840> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:a5.22.80.e4.da.1c.45.13.b1.aa.a5.f0.f3.06.b1.e3.00.00.00.00]> < 17 04 02 fb>]
sent [LCP ConfRej id=0x0 <callback CBCP> <mrru 1614> < 17 04 02 fb>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xf5bea371> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth eap> <magic 0x7052840> <pcomp> <accomp> <endpoint [local:a5.22.80.e4.da.1c.45.13.b1.aa.a5.f0.f3.06.b1.e3.00.00.00.00]>]
sent [LCP ConfAck id=0x1 <mru 1400> <auth eap> <magic 0x7052840> <pcomp> <accomp> <endpoint [local:a5.22.80.e4.da.1c.45.13.b1.aa.a5.f0.f3.06.b1.e3.00.00.00.00]>]
sent [LCP EchoReq id=0x0 magic=0xf5bea371]
rcvd [EAP Request id=0xd7 Identity <No message>]
sent [EAP Response id=0xd7 Identity <Name "XXX">]
rcvd [LCP EchoRep id=0x0 magic=0x7052840]
rcvd [EAP Failure id=0xd7]
EAP: peer reports authentication failure
sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
rcvd [LCP TermReq id=0x3 07 05 28 40 00 3c cd 74 00 00 02 b3]
sent [LCP TermAck id=0x3]
rcvd [LCP TermAck id=0x2 "Failed to authenticate ourselves to peer"]
Connection terminated.
Waiting for 1 child processes...
  script pptp 195.10.198.160 --nolaunchpppd, pid 3791
Script pptp 195.10.198.160 --nolaunchpppd finished (pid 3791), status = 0x0
Не свосем понял, что и зачем указывать в name ("в качестве параметра UserName указать свой доменный логин"), но кажется это пока не имеет значения. Вот еще ссылка на эту тему http://www.nikhef.nl/~janjust/ppp/doc_pkcs11_setup.html и больше ничего полезного не нашел. В обоих случаях надо создать /etc/ppp/openssl.cnf, где и прописывается доступ к драйверу libeTPkcs11.so, но не понимаю, каким образом система подтягивает этот файл? Он нигде больше не указан, и похоже, если его убрать, то ничего(логи) не меняется, как и при наличии/отсутствии смарт-карты.

/etc/ppp/openssl.cnf

(Нажмите, чтобы показать/скрыть)

openssl_conf = openssl_def
 
[ openssl_def ]
engines = engine_section
 
[ engine_section ]
pkcs11 = pkcs11_section
 
[ pkcs11_section ]
engine_id = pkcs11
dynamic_path = /usr/lib/ssl/engines/engine_pkcs11.so
MODULE_PATH = /usr/lib/libeTPkcs11.so
init = 0

/etc/ppp/peers/myconn

(Нажмите, чтобы показать/скрыть)

pty "pptp 195.10.198.160 --nolaunchpppd"
name XXX
remotename 195.10.198.160
require-mppe-128
file /etc/ppp/options.pptp
ipparam nbki
need-peer-eap
updetach
usepeerdns
password 12345678
defaultroute
replacedefaultroute
ca /home/and390/my.pem
cert pkcs11:1111111111111111111111111111111111111111111111111111111111111111111111111111
key pkcs11:1111111111111111111111111111111111111111111111111111111111111111111111111111

Любая помощь, идеи, ссылки приветствуются . Не покидает ощущение, что не там копаю.

[AnrDaemon]

Тема сама по себе интересная. Но читая указанные вами статьи, у меня возникло подозрение, что pppd может не содержать нужные вам патчи.

[And390]

Вот эти http://www.nikhef.nl/~janjust/ppp/download.html ? Похоже, попробую попозже (их еще и компилить надо). Но вроде бы его должны были добавить https://bugs.launchpad.net/ubuntu/+source/ppp/+bug/643417...
Если добавить в конфиг

Код: [Выделить]

require-eap то при попытке запуска пишет:

Код: [Выделить]

/usr/sbin/pppd: The remote system (195.10.198.160) is required to authenticate itself
/usr/sbin/pppd: but I couldn't find any suitable secret (password) for it to use to do so.


Пользователь решил продолжить мысль [time]13 Январь 2015, 03:13:52[/time]:Собрал pppd с патчем, но это ничего не изменило.
Зато одну ошибку исправил, в параметре name там все-таки надо было указать виндовый логин вида username@domain.
Теперь падает здесь:

Код: [Выделить]

Initialising engine
EAP-TLS: Cannot use that engine
EAP-TLS SSL error stack:
error:80001401:PKCS11 library:PKCS11_CTX_load:Unable to load PKCS#11 module
error:260B806D:engine routines:ENGINE_TABLE_REGISTER:init failed
Весь лог:

(Нажмите, чтобы показать/скрыть)

using channel 35
Using interface ppp0
Connect: ppp0 <--> /dev/pts/9
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x59c02703>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <auth eap> <magic 0x558f334c> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:a5.22.80.e4.da.1c.45.13.b1.aa.a5.f0.f3.06.b1.e3.00.00.00.00]> < 17 04 03 2c>]
sent [LCP ConfRej id=0x0 <pcomp> <accomp> <callback CBCP> <mrru 1614> < 17 04 03 2c>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x59c02703>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth eap> <magic 0x558f334c> <endpoint [local:a5.22.80.e4.da.1c.45.13.b1.aa.a5.f0.f3.06.b1.e3.00.00.00.00]>]
sent [LCP ConfAck id=0x1 <mru 1400> <auth eap> <magic 0x558f334c> <endpoint [local:a5.22.80.e4.da.1c.45.13.b1.aa.a5.f0.f3.06.b1.e3.00.00.00.00]>]
sent [LCP EchoReq id=0x0 magic=0x59c02703]
rcvd [EAP Request id=0x2 Identity <No message>]
sent [EAP Response id=0x2 Identity <Name "username@domain">]
rcvd [LCP EchoRep id=0x0 magic=0x558f334c]
rcvd [EAP Request id=0x3 Identity <No message>]
sent [EAP Response id=0x3 Identity <Name "username@domain">]
rcvd [EAP Request id=0x4 TLS --S]
MTU = 1386
calling get_eaptls_secret
calling eaptls_init_ssl
Found certificate engine 'pkcs11'
Found certificate identifier '39453945373335312d333545442d343031612d384637302d3238463636393036363042303a30'
Found privatekey engine 'pkcs11'
Found privatekey identifier '39453945373335312d333545442d343031612d384637302d3238463636393036363042303a30'
Loading OpenSSL config file
Loading OpenSSL built-ins
Loading OpenSSL configured modules
Enabling OpenSSL auto engines
Loading OpenSSL 'pkcs11' engine support
Initialising engine
EAP-TLS: Cannot use that engine
EAP-TLS SSL error stack:
error:80001401:PKCS11 library:PKCS11_CTX_load:Unable to load PKCS#11 module
error:260B806D:engine routines:ENGINE_TABLE_REGISTER:init failed
Enabling OpenSSL auto engines
Loading OpenSSL 'pkcs11' engine support
Initialising engine
EAP-TLS: Cannot use that engine
EAP-TLS SSL error stack:
error:80001401:PKCS11 library:PKCS11_CTX_load:Unable to load PKCS#11 module
error:260B806D:engine routines:ENGINE_TABLE_REGISTER:init failed
EAP-TLS: Cannot use public certificate pkcs11
EAP-TLS SSL error stack:
error:02001002:system library:fopen:No such file or directory
error:20074002:BIO routines:FILE_CTRL:system lib
error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
eaptls_init_ssl_client: fail
cannot init ssl
sent [EAP Response id=0x4 Nak <Suggested-type 0d (TLS)>]
rcvd [EAP Failure id=0x4]
EAP: peer reports authentication failure
sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
rcvd [LCP TermReq id=0x4 "U\377777776173L\000<\37777777715t\000\000\002\37777777663"]
sent [LCP TermAck id=0x4]
rcvd [LCP TermAck id=0x2 "Failed to authenticate ourselves to peer"]
Connection terminated.
Waiting for 1 child processes...
  script pptp 195.10.198.160 --nolaunchpppd, pid 11193
Script pptp 195.10.198.160 --nolaunchpppd finished (pid 11193), status = 0x0

Пользователь решил продолжить мысль 13 Января 2015, 11:55:01:Это было из-за того, что libeTPkcs11.so 32-битной версии (под Ubuntu 64-битную версию сделать поленились).
Теперь долго падает так:

Код: [Выделить]

Initializing SSL BIOs
 -> Handshake: Client Hello
sent [EAP Response id=0x23 TLS --- ...]
sent [LCP EchoReq id=0x1 magic=0x83244bfb]
rcvd [LCP EchoRep id=0x1 magic=0x6f737754]
sent [LCP EchoReq id=0x2 magic=0x83244bfb]
rcvd [LCP EchoRep id=0x2 magic=0x6f737754]
sent [LCP EchoReq id=0x3 magic=0x83244bfb]
sent [LCP EchoReq id=0x4 magic=0x83244bfb]
rcvd [LCP EchoRep id=0x4 magic=0x6f737754]
sent [LCP EchoReq id=0x5 magic=0x83244bfb]
Script pptp 195.10.198.160 --nolaunchpppd finished (pid 2327), status = 0x0
Modem hangup
Connection terminated.


[And390]

Слава богам! После того как добавил параметр mru 1400 и убрал need-peer-eap в логе увидел

Код: [Выделить]

Certificate verification error: CN (tau.nbki.msk) != peer_name (XXX)Прописал remotename tau.nbki.msk (никогда бы не догадался), и скрипт отработал без ошибок, подключение создалось. Правда ресурсы из сети пока все равно не видит.

[AnrDaemon]

Можете изложить ваши действия для вики?
Какую версию дистрибутива использовали, какие версии программного обеспечения, и что в итоге привело к успеху?

[And390]

Устанавливал на Ubuntu 14.04 для чистоты эксперимента на 32-битную версию, буду устанавливать 64-битную, кроме установки драйвера, по идее отличий быть не должно (установить драйвер на x64 уже получалось). Есть карточка eToken PRO 64K, и какой-то стандартный майкросовтовский VPN.
Последовательность такая:
1. Установить драйвер смарт карты. В моем случае он включен в софтинку eToken PKI Client 5.0 SP1, но ленивый Аладдин официально поддерживает только Ubuntu 9.04 (32-бит), так что установить ее было тоже не тривиально, там были ненайденные зависимости, libhal1, еще что-то, для 64-битной версии надо было еще проследить, чтобы нужные либы были 32-битные.
2. Вытянуть со смарт-карты сертификат и ключ (первая ссылка).
3. Настроить pppd. Итоговый конфиг (все работает как здесь http://www.nikhef.nl/~janjust/ppp/doc_pptp_clientsetup.html, только надо добавить mru 1400 и еще добавил usepeerdns, чтобы были видны домены из сети):

(Нажмите, чтобы показать/скрыть)

name user@login
remotename tau.nbki.msk

lock
noauth
ipcp-accept-local
ipcp-accept-remote
noipdefault
nodeflate
nobsdcomp
nopredictor1
nopcomp
noaccomp
 
refuse-pap
refuse-chap
refuse-mschap
 
require-mppe-128
mru 1400

usepeerdns
 
password Aa123456

debug
logfile /tmp/pppd.log
dump

ca /home/and390/my.pem
cert pkcs11:1111111111111111111111111111111111111111111111111111111111111111111111111111
key pkcs11:1111111111111111111111111111111111111111111111111111111111111111111111111111

pty  "pptp 195.10.198.160 --nolaunchpppd"

4. Настроить маршрутизацию (route add ...) и ресурсы сети будут видны.
Я готов все это описать более подробно. У меня только вызывают вопросы параметры name и remotename, по второй ссылке про них говорится что-то невнятное про CN= часть сертификата. Получается, в моем случае в name нужно указать виндовый логин (который админы выдают), а вот что такое remotename? Похоже на адрес VPN-сервера внутри сети. Документация:

remotename name
Set the assumed name of the remote system for authentication purposes to name.

Похоже, что это просто какое-то значение, которое админы могут настраивать на сервере произвольно. При подключении из-под винды, естественно все эти настройки указывать не надо, откуда-то она их берет.

[AnrDaemon]

CN= часть как раз вполне внятная.
Common Name - основное имя, на кого выдан сертификат.

[And390]

Да, но в моем случае эти значения совсем не совпадают с CN из сертификатов, по крайней мере тех, которые я вытащил со смарт-карты.

[AnrDaemon]

Показывайте

Код: [Выделить]

openssl x509 -subject -noout -in <certificate>обоих сертификатов.

[And390]

Мой:

Код: [Выделить]

subject= /DC=msk/DC=nbki/OU=MBTC Users/CN=\xD0\x97\xD0\xB0\xD1\x85\xD0\xB0\xD1\x80\xD0\xBE\xD0\xB2 \xD0\x90\xD0\xBD\xD0\xB4\xD1\x80\xD0\xB5\xD0\xB9 (MBTC)/emailAddress=azaharov@mbtc.ruСерверный:

Код: [Выделить]

subject= /DC=msk/DC=nbki/CN=NBKI-Root-CA-2032

[AnrDaemon]

Это не серверный, это CA похоже.
Кодировку консоли исправьте.

[And390]

Возможно, он вторым хранился на смарт-карте, не знаю где и зачем он используется. У первого стоит такой же issuer.

[AnrDaemon]

Так я просил показать сабж вашего сертификата и сервера, к которому подключаетесь.
Ваш показали, а сервер где?

P.S.
https://translate.google.ru/?q=issuer&oe=utf-8&ie=utf-8#en/ru/issuer

[And390]

Это все, которые хранились на смарт-карте. Откуда взять серверный сертификат?

[AnrDaemon]

C сервера!