Avancerad VPN-användning

[frippe]

Vi sitter och spånar på ett projekt på jobbet för fjärranslutna användare. Vi vill att de ska ansluta och jobba mot oss med minsta antal musklick och minsta antal felmöjligheter. Och även minsta möjliga utsatthet för användarmanipulation och virus/trojaner.
Datorn behöver inte fungera som en fristående enhet då de förvaltningssystem användaren ska köra finns centralt och får endast köras centralt. Det finns inge behov av lokala klienter.

En idé vi leker med är följande:
- En bärbar dator utrustad med ett 3G-modem och ett Linux OS.
- En standardanvändare loggas automatiskt in på datorn
- När datorn startas upp aktiveras modemet och datorn ansluts mot Internet
- Användaren loggar in mot vår Cisco med VPN-klient
- Ett One Time Password skickas till användarens mibiltelefon
- Användaren loggar in med sitt OTP
- Ett rdp-fönster öppnas i helfönster på skärmen och ansluter mot vår terminalserver (win2003)
- Användaren loggar in på TS-servern, alternativt så skickas användarnamn + lösen med från VPN-inloggningen så användaren inte behöver logga in mer än en gång
- När användaren loggar ut från TS-servern stängs datorn av

Vi har funktionen igång utan 3G och OTP. Via ”vanligt” nätverk och endast vpn rullar lösningen utan problem. Men vi behöver tips/stöd för att få den att fungera fullt ut.

Vår nuvarande funktion ser ut på följande sätt:
- Datorn startar upp och en standardanvändare loggar in automatiskt.
- Ett skript ansluter VPN via vpnc
- Ett rdp-fönster öppnas och användaren loggar in på vår TS-server
- När rdp-sessionen avslutas skjuter skriptet ner datorn

Har någon erfarenheter av liknande lösningar? Eller ligger det en färdig lösning någonstans ute på Internet och väntar på mig ?

[johanre]

Kul projekt! Har ni kommit vidare med era idéer?

Det är svårt att svara på om det finns andra vägar att lösa ert behov eftersom du framförallt har beskrivit *lösningarna*. Min erfarenhet är att det bästa tillvägagångssättet för att lösa ett projekt med så här många komponenter är att först börja med att väldigt tydligt beskriva vilket problem ni försöker lösa; *sen* kan man börja diskutera lösningar. Detta för att man oftast "snöar" in på att diskutera lösningar som sedan visar sig fullständigt överarbetade i förhållande till behovet. Alltså; mitt råd: ha full koll på vad ni behöver, sen kan vi börja dissikera lösningar!

[frippe]

Jo vi har kommit en bit vidare.

Att en användare automatisk loggas in är inga problem, det är ju en inbyggd funktion i Ubuntu. Jag har några sekunders tidsfördröjning så att man kan ta sig in i datorn som en annan användare, typ administratör, om nödvändigt.

Modemet med 3G ansluter nu automatiskt. Jag fick inaktivera pinkoden på SIM-kortet för att det ska fungera utan krångel, men det är helt OK. Troligtvis blir de datorer som tas i drift utrustade med ett inbyggt modem.

Vpnc ansluter mot min ASA 5505 utan problem, MEN! Vi ska ansluta mot en ASA 5510 med högre patchnivå när OTP-tjänsten är igång, och när jag försöker använda vpnc mot 5510:an fungerar det inte. Fredagens sökande på internet visar att det lutar mot ett känt fel i vpnc.
Så jag tittar just nu på alternativ för att ersätta vpnc. Kanske Ciscos egna klient?

Men om jag kör mot vår 5505 fungerar det och rdp-sessionen öppnas i ett fullfönster mot vår terminalserver via den krypterade tunneln.
Och skriptet som startar rdp ligger och vaktar tills fönstrets stängs och skjuter då ner hela datorn med init 0.

Mitt nuvarande test grundas på Ubuntu, men kan lika gärna vara en annan distro. Jag använder det grafiska gränssnittet rakt av för att jag är bekväm men vi har lite funderingar på att starta upp tjänsterna i CLI och sedan starta en enkel X för rdp-sessionen. Detta för att användaren ska kunna logga in med användaruppgifter och svara otp frågan innan några fönster dyker upp och stör. Men vi får se vad testerna leder till nästa vecka.

[micke_nordin]

Vpnc ansluter mot min ASA 5505 utan problem, MEN! Vi ska ansluta mot en ASA 5510 med högre patchnivå när OTP-tjänsten är igång, och när jag försöker använda vpnc mot 5510:an fungerar det inte. Fredagens sökande på internet visar att det lutar mot ett känt fel i vpnc.
Så jag tittar just nu på alternativ för att ersätta vpnc. Kanske Ciscos egna klient?

Jag använder Ciscos egna klient under Ubuntu mot en 5520 i jobbet och det funkar riktigt bra, jag rekommenderar att ni kollar på det i alla fall.

/Micke

[frippe]

En lite uppdatering.
Idag rullade OTP-tjänsten igång och jag har lyckats ansluta mot den med vpnc, user + password + one time password (4 siffror via sms).
Så än så länge består lösningen helt av öppen källkod

Nu handlar det bara om att knyta ihop lösningen, så jag kanske blir sittande på jobbet över julhelgen

[frippe]

Jo, så att, det liksom funkar.

Visserligen behövs bash-skriptet putsas lite så det blir lite mer användarvänligt och tydligt, men lösningen rullar.

Mitt stora problem är nu att Telias mobila bredband liksom dör framåt fyra på eftermiddagen och kommer igång igen efter cirka en halv timma. Mycket mystiskt och irriterande. Det har pågått nu under min testvecka

[frippe]

Ok, 11 maskiner i drift. Då ringer en chef från en annan del av verksamheten. Han har hört talas om lösningen och vill ha 2 maskiner i drift för sin personal om några veckor.
Med andra ord blev det en lyckat lösning, ryktet går i hela verksamheten.

[andol]

Gött mos!

Någon kod/inställningar/skript du kan beskriva såpass generellt att det skulle kunna vara potentiellt användbart även hos andra?

[frippe]

Jag ska höra med chefen hur mycket jag får avslöja

Det är inga superhemligheter, men det är alltid bra att kolla om det är ok först. Sedan skriver jag gärna en projektbeskrivning.