===== vpnc =====

vpn ipsec cisco

==== Instalacion ====

1. Instalar

  sudo aptitude update; sudo aptitude install vpnc
  
2. Configurar

<code>
sudo vim /etc/vpnc/default.conf
</code>

Ejemplo:

<code>
IPSec ID myusername
IPSec gateway 8.8.8.8
IPSec secret mysecret
Xauth username myusername
Xauth password mysecret
</code>

3. Arrancar

  sudo vpnc

==== Evitar que sobreescriba /etc/resolv.conf ====

https://serverfault.com/a/900825

**PROBLEMA**: al arrancar vpnc se sobreescribe el archivo /etc/resolv.conf. Ejemplo:

<code>
#@VPNC_GENERATED@ -- this file is generated by vpnc
# and will be overwritten by vpnc
# as long as the above mark is intact
nameserver 10.168.102.11
nameserver 10.168.102.12
</code>

Lo que rompe configuraciones que se puedan tener en dnsmasq.

**SOLUCIÓN**:

  * Evitar que vpnc sobreescriba /etc/resolv.conf
  * Crear una configuración de dnsmasq que use el servidor DNS que añadía VPNC para resolver el dominio que nos interesa

1. Crear:

  sudo vim /etc/vpnc/no_resolverupdate.sh

Con el siguiente contenido:

<code>
#!/bin/sh
#
#
export INTERNAL_IP4_DNS=

. /usr/share/vpnc-scripts/vpnc-script
</code>

2. Dar permisos de ejecución

  sudo chmod +x /etc/vpnc/no_resolverupdate.sh

3. Añadir una linea al archivo de configuración de VPNC:

<code>
sudo su
echo 'Script /etc/vpnc/no_resolverupdate.sh' >> /etc/vpnc/examplecom.conf
</code>

4. Y ahora trasladamos la configuración que escribía vpnc a dnsmasq. Creamos:

  sudo vim /etc/dnsmasq.d/example.com 

Con el siguiente contenido:

  server=/example.com/10.168.102.11

5. Reiniciar dnsmasq:

  sudo service dnsmasq restart
  
6. Probar:

  sudo vpnc example
  
Resultado esperado:

  * Se pueden resolver nombres del tipo "example.com"
  * Se pueden seguir resolviendo otros nombres definidos en otras entradas de dnsmasq, ya que el archivo "/etc/resolv.conf" sigue conteniendo "nameserver 127.0.0.1"



==== Errores ====

<code>
vpnc: peer selected (single) DES as "encryption" method.
This algorithm is considered too weak today
If your vpn concentrator admin still insists on using DES
use the "--enable-1des" option.
</code>

Solucion: anyadir la siguiente linea a la configuracion:

<code>
Enable Single DES
</code>

I you get this error