skript starten wenn vpn einwahl

[Daclain]

Hallo,

nachdem ich nun vergeblich im Internet gesucht habe wende ich mich Hilfesuchend an euch in der Hoffnung das Ihr eine Lösung für mich habt.

das soll mal sein:

von ausserhalb soll sich eine person mit einem DSL anschluss über IPSEC in ein netzwerk einwählen können. die identifizierung und authentifizierung auf dem VPN server läuft über zertifikate ab und nachdem die identitä bestätigt wude soll der benutzer von dem server automatisch an einen rechner innerhalb des netzwerkes weitergeleitet werden. auf diesem "endrechner" soll nun automatisch ein skript gestartet werden, ohne von dem rechner der ausserhalb steht aktiviert zu werden.

ich verwende:

suse 9.3

iptables (als firewall)

ipsec (vpn)

eine eigene zertifizierungsstelle

das problem:

wie kann ich ein skript automatisch starten wenn eine bestimmte VPN verbindung bei meinem server eingeht?

in der ipsec.conf gibt es zwar die verschiedenen connetions in denen parameter stehen, aber ein skript bzw. ein programm kann ich dort nicht starten. genau so kann ich mit iptables so weit ich weiss nur sagen das sie protokolliert werden sollen, aber auch dort nicht sagen das ein programm gestartet werden soll wenn etwas z.b. über den port 50 eingeht.

jetzt stellt sich die frage, wie aktiviere ich mein skript automatisch bei aktivierung der verbindung?

[dr.disk]

OpenS/WAN kann Skripte starten wenn eine Verbindung aufgeht/geschlossen wird. Dazu wird das Argument (left|right)updown=... in der Konfig gesetzt.

Die Informationen welche Verbindung wie betroffen ist werden Umgebungsvariablen abgelegt auf die das Skript dann zugreifen kann.

Falls Bedarf besteht kann ich weitere Dokus suchen oder ein Beipspielskript aus unserer Firma posten.

[Daclain]

leftupdown=/home/....

so meinst du das dann in etwa wenn ich das recht verstanden habe?

weisst du vielleicht auch welche parameter dabei übergeben werden wenn ich mit x.509 zertifikaten arbeite?

[dr.disk]

Meines Wissens nach keine, steht alles in Umgebungsvariablen.

Baue halt einfach mal ein Skript welches sämtliche Umgebungsvariablen in eine Datei schreibt. Ansonsten könnte ich noch die Doku raussuchen - hab die halt nur daheim stehen, müßte hier im Internet suchen...

[Daclain]

wäre cool wenn du mir mal sagen könntest wo du die doku her hast.

das mit den parametern usw werd mich mir gleich mal angucken, nach der mittagspause, schnell nen skript schreiben was die parameterübergabe überwacht und fertig.

aber danke dir auf jeden fall schonmal für die hilfe!

[dr.disk]

So, hab die Manpage gefunden. Seh Dir mal ipsec_whack an und dort den Abschnitt 'The updown command'. Etwas weiter unten im Text sind alle Umgebungsvariablen erklärt.

[Daclain]

hast mich echt weiter geholfen, danke nochmal

hab sogar noch rausgefunden das man mit $PLUTO_CONNECTION die gewählte connection ausgeben kann, falls man wie ich mehrere hat *G*

nur falls es mal wen interessiert der vor nem ähnlichen problem steht...

[dr.disk]

Aber gern doch.

Ich hatte damals folgendes Problem: da es seit Kernel 2.6 kein ipsec#-Device mehr gibt ist die Firewallkonfiguration etwas komplexer geworden. Das ganze löste ich durch solche updown-Skripte die für mich die Firewall je nach Zustand des VPNs anpassen.