web-dev-qa-db-fra.com

Y a-t-il une vraie façon de se connecter au VPN de Watchguard de Linux?

GuestGuard a officiellement des clients uniquement pour Windows et Mac. Mais je vois que cela utilise openvpn en interne. Je ne pouvais pas me connecter à WG de Linux.

Y a-t-il quelqu'un qui a en réalité ce qui fonctionne? Comment?

22
Sergey Kirienko

Voici ce que j'ai fait pour obtenir Watchguard/Firebox SSL VPN travaillant sur Ubuntu 11.10:

Obtenir les fichiers nécessaires

Vous aurez besoin des fichiers suivants:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

D'un ordinateur Windows

Vous aurez besoin d'un accès à un ordinateur de fenêtre que vous pouvez installer leur client.

  1. Suivez les instructions pour installer leur client.
  2. Connectez-vous pour la première fois (cela effectuera un certain nombre de fichiers dans le répertoire WatchGuard)
  3. Copiez les fichiers du répertoire WatchGuard
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista/7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Les importants sont ca.crt, client.crt, client.pem et client.OVPN (notez le client.pem peut-être quelque chose d'autre se terminant par .key).
  5. Copiez ces fichiers sur votre système Ubuntu.

De la boîte de Firebox SSL

Ceci est du site de WatchGuard. Je n'ai pas essayé directement ces instructions mais elles ont l'air raisonnable.

http://customers.watchguard.com/articles/article/2870?returl=/apex/knowdgehome&popup=false

De leur document:

  1. Démarrez Gestionnaire système WatchGuard et connectez-vous à votre périphérique Firebox ou XTM.
  2. Démarrer Firebox System Manager.
  3. Cliquez sur l'onglet Rapport d'état.
  4. Cliquez sur Support, situé dans le coin inférieur droit de la fenêtre.
  5. Cliquez sur Parcourir pour sélectionner le chemin de votre ordinateur sur lequel vous souhaitez enregistrer le fichier d'assistance. Cliquez sur Récupérer. Attendez que votre fichier de support soit téléchargé depuis la chambre de combustion. Cela peut prendre jusqu'à 20-30 secondes. Une boîte de dialogue semble vous indiquer quand le téléchargement est terminé. Par défaut, le fichier de support a un nom comme 192.168.111.1_support.tgz.
  6. Décompressez le fichier de support à un emplacement sur votre ordinateur que vous avez facilement accès à.
  7. Décompressez le fichier Fireware_XTM_Support.tgz contenu dans le fichier d'origine au même emplacement.

Logiciel nécessaire sur Ubuntu

Vous devrez installer un certain nombre de packages pour vous connecter à Ubuntu (cela suppose la version de bureau, les choses sont probablement différentes pour la version du serveur).

  • openVPN (probablement déjà installé)
    • Sudo apt-get install openvpn
  • network-Manager Open VPN Plug in [.____]
    • Sudo apt-get install network-manager-openvpn
  • Plugin OpenVPN OpenVPN Network Manager pour GNOME (nécessaire à partir de Ubuntu 12.04) [.____]
    • Sudo apt-get install network-manager-openvpn-gnome

Test de la ligne de commande

Vous pouvez tester si la connexion fonctionne de la ligne de commande. Vous n'êtes pas obligé de le faire, mais cela peut rendre les choses plus faciles.

Dans le répertoire, vous avez copié les fichiers Config/CRT:

Sudo openvpn --config client.ovpn

Configuration du gestionnaire de réseau

Le gestionnaire de réseau est l'icône dans la barre du panneau en haut (actuellement les flèches haut/bas). Vous aurez besoin d'un certain nombre de lignes du fichier client.ovpn__ afin de l'ouvrir dans un éditeur pour référence.

Ceci est un exemple client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Cliquez sur l'icône du gestionnaire de réseau
  2. Sélectionnez Connections VPN-> Configurer VPN ...
  3. Sélectionnez Ajouter.
  4. Sélectionnez l'onglet VPN
  5. Pour le certificat d'utilisateur, sélectionnez le fichier client.crt (à partir de la ligne cert)
  6. Pour le certificat CA Sélectionnez le fichier CA.CRT (à partir de la ligne ca)
  7. Pour la clé privée, sélectionnez le fichier client.pem. (de la ligne key)
  8. Pour ma configuration, j'ai également besoin de définir le type sur Password with Certificates (TLS) (de la ligne auth-user-pass).
  9. Gateway provient de la ligne remote. Vous devez copier le nom du serveur ou l'adresse IP. Dans cet exemple "1.2.3.4"

Le reste des paramètres se situe dans la zone avancée (le bouton avancé en bas). Dans l'onglet Général:

  1. Use custom gateway port utilise le dernier numéro de la ligne remote. Dans cet exemple "1000"
  2. Use TCP connection vient de la ligne proto. Dans ce cas, TCP-Client.

Sous l'onglet Sécurité:

  1. Cipher provient de la ligne cipher. (Dans cet exemple, AES-256-CBC)
  2. "Authentification HMAC" provient de la ligne auth. (Dans cet exemple SHA1)

Sous l'onglet Authentification TLS:

  1. Subject Match vient de la ligne `TLS-Remote '. (Dans cet exemple/O = WatchGuard_Technologies/ou = Fireware/CN = Fireware_SSLVPN_Server)

J'ai également besoin de vérifier "Utilisez cette connexion uniquement pour la ressource sur son réseau" sous l'onglet Paramètres IPv4 sous le bouton "Routes ...".

Il est peut-être plus nécessaire de configurer des choses en fonction de la configuration de la configuration de Firebox SSL, mais j'espère que cela aidera comme point de départ. De plus, vous voudrez peut-être regarder le logiciel SYS si vous avez des problèmes (queue -fn0/var/journal/syslog)

28
Paul Hutchinson

Logiciels requis

Sudo apt-get install network-manager-openvpn-gnome

ou pour le minimaliste:

Sudo apt-get install openvpn

Obtenez les certificats et config

Pour les périphériques WatchGuard XTM exécutant 11.8 +

Il apparaît que le https: //yourrouder.tld/sslvpn.html page utilisé pour ramasser le client Windows comprend maintenant une configuration générique de la configuration OVPN Télécharger la sauvegarde des étapes de la solution de contournement. Connectez-vous simplement et accédez à ce répertoire pour obtenir votre fichier de configuration. Félicitations pour être égaux avec vos copains Windows et Mac.

Passer à la section "Créer une nouvelle connexion VPN".

Pour les périphériques WatchGuard XTM exécutant 11,7 ou moins

Ceux-ci peuvent être extraits directement à partir du pare-feu (remplacez le serveur par vous-même):

  1. Aller à https://watchguard_server and authenticate to the firewall.
  2. Aller à https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternativement (je crois que cela est moins sécurisé car le mot de passe est envoyé dans la demande) (remplacez le serveur, l'utilisateur et le votre avec vous-même):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Déplacez votre client.wgssl vers l'endroit où vous souhaitez stocker la configuration et les certs, peut-être/etc/openvpn. Cela va vous bombarder, vous voudrez donc créer le dossier pour qu'il soit extraire.

Courir tar zxvf client.wgssl

Créer une nouvelle connexion VPN

Ouvrez les connexions réseau et ajoutez de nouvelles. Pour le type, sous VPN, sélectionnez "Importer une configuration VPN enregistrée ..." Parcourez le fichier client.ovpn dans le dossier que vous avez extraite client.wgssl.

Ajouter des informations d'identification

Modifiez la connexion nouvellement créée pour inclure votre nom d'utilisateur et votre mot de passe, ou définir le mot de passe sur "Toujours demander".

AVERTISSEMENT: le mot de passe est enregistré dans un cryptage pouvant être inversé.

Ajuster la mise en réseau

Si vous ne voulez pas que le VPN reprenne tout votre trafic, le trafic allant à l'emplacement distant d'aller à l'onglet Paramètres IPv4 -> Itinéraires et vérifiez "Utilisez cette connexion uniquement pour des ressources sur son réseau"

2
Irate Pirate

Suivez ces instructions - http://customers.watchguard.com/articles/article/2870?returl=/apex/nowledgehome&popup=false Testé à Ubuntu 11 et Fedora 15 avec XTM 11.x

0
user85859

Merci gars, je viens d'essayer une procédure décrite sur le site de Watchguard ( http://customers.watchguard.com/articles/article/2870?returl=/apex/nowledgehome&popup=false ).

J'ai écrit un script pour lancer la connexion et ça fonctionne très bien.

0
Minja