Czy istnieje prawdziwy sposób na połączenie się z VPN WatchGuard z Linuksa?

21

WatchGuard oficjalnie ma klientów tylko dla Windows i Mac. Ale widzę, że używa openvpn wewnętrznie. Nie mogłem połączyć się z WG z Linuksa.

Czy jest ktoś, kto tak naprawdę działa? W jaki sposób?


źródło

Odpowiedzi:

28

Oto, co zrobiłem, aby WatchGuard / Firebox SSL VPN działał na Ubuntu 11.10:

Pobieranie potrzebnych plików

Potrzebne będą następujące pliki:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

Z komputera z systemem Windows

Będziesz potrzebował dostępu do komputera z systemem Windows, na którym możesz zainstalować jego klienta.

  1. Postępuj zgodnie z instrukcjami, aby zainstalować klienta.
  2. Zaloguj się po raz pierwszy (spowoduje to utworzenie szeregu plików w katalogu WatchGuard)
  3. Skopiuj pliki z katalogu WatchGuard
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Najważniejsze z nich to ca.crt, client.crt, client.pem i client.ovpn (zwróć uwagę, że client.pem może być czymś innym, kończącym się na .key).
  5. Skopiuj te pliki do systemu Ubuntu.

Z pola Firebox SSL

To jest ze strony Watchguard. Nie próbowałem bezpośrednio tych instrukcji, ale wyglądają rozsądnie.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Z ich dokumentu:

  1. Uruchom WatchGuard System Manager i połącz się z urządzeniem Firebox lub XTM.
  2. Uruchom Firebox System Manager.
  3. Kliknij kartę Raport stanu.
  4. Kliknij opcję Wsparcie znajdującą się w prawym dolnym rogu okna.
  5. Kliknij Przeglądaj, aby wybrać ścieżkę na komputerze, w której chcesz zapisać plik pomocy technicznej. Kliknij Pobierz. Poczekaj, aż plik wsparcia zostanie pobrany z Firebox. Może to potrwać do 20-30 sekund. Pojawi się okno dialogowe z informacją o zakończeniu pobierania. Domyślnie plik obsługi ma nazwę 192.168.111.1_support.tgz.
  6. Rozpakuj plik pomocy technicznej w lokalizacji na komputerze, do której masz łatwy dostęp.
  7. Rozpakuj plik Fireware_XTM_support.tgz zawarty w oryginalnym pliku w tej samej lokalizacji.

Potrzebne oprogramowanie na Ubuntu

Będziesz musiał zainstalować szereg pakietów, aby połączyć się z Ubuntu (zakłada się, że jest to wersja na komputery stacjonarne, w przypadku wersji serwerowej sytuacja prawdopodobnie wygląda inaczej).

  • openvpn (prawdopodobnie już zainstalowany)
    • sudo apt-get install openvpn
  • menedżer sieci otwórz wtyczkę VPN
    • sudo apt-get install network-manager-openvpn
  • Wtyczka OpenVPN Network Managera dla Gnome (wymagana od Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Testowanie z linii poleceń

Możesz sprawdzić, czy połączenie działa z poziomu wiersza poleceń. Nie musisz tego robić, ale może to ułatwić.

Z katalogu, który skopiowałeś pliki config / crt:

sudo openvpn --config client.ovpn

Konfigurowanie menedżera sieci

Menedżer sieci to ikona na pasku panelu u góry (obecnie strzałki w górę / w dół). Będziesz potrzebował pewnej liczby wierszy z client.ovpnpliku, więc otwórz go w edytorze do wglądu.

To jest przykład client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Kliknij ikonę menedżera sieci
  2. Wybierz Połączenia VPN-> Konfiguruj VPN ...
  3. Wybierz Dodaj.
  4. Wybierz kartę VPN
  5. W polu Certyfikat użytkownika wybierz plik client.crt (z certwiersza)
  6. Dla certyfikatu CA wybierz plik ca.crt (z cawiersza)
  7. W polu Klucz prywatny wybierz plik client.pem. (z keylinii)
  8. Dla mojej konfiguracji musiałem również ustawić typ na Password with Certificates (TLS)(z auth-user-passlinii).
  9. Gatewaypochodzi z remotelinii. Musisz skopiować nazwę serwera lub adres IP. W tym przykładzie „1.2.3.4”

Pozostałe ustawienia znajdują się w obszarze Zaawansowane (przycisk zaawansowania u dołu). Na karcie Ogólne:

  1. Use custom gateway portużywa ostatniego numeru z remotelinii. W tym przykładzie „1000”
  2. Use TCP connectionpochodzą z protolinii. W tym przypadku klient tcp.

Na karcie Zabezpieczenia:

  1. Cipherpochodzi z cipherlinii. (W tym przykładzie AES-256-CBC)
  2. „Uwierzytelnianie HMAC” pochodzi z authlinii. (W tym przykładzie SHA1)

Na karcie Uwierzytelnianie TLS:

  1. Subject Matchpochodzi z linii `tls-remote '. (W tym przykładzie / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Musiałem także zaznaczyć opcję „używaj tego połączenia tylko do zasobów w jego sieci” na karcie Ustawienia IPv4 pod przyciskiem „Trasy ...”.

Może być więcej potrzebnych do skonfigurowania rzeczy w zależności od konfiguracji Firebox SSL, ale mam nadzieję, że pomoże to jako punkt wyjścia. Możesz także obejrzeć dziennik sys, jeśli masz problemy (tail -fn0 / var / log / syslog)

Paul Hutchinson
źródło
5
Święta matko ... to całkiem imponująca odpowiedź dla nowego użytkownika. Witamy na stronie!
pauska
1
Działa to na Ubuntu 13.04. Po „kroku 3 dodawania” wybierz z menu „Importuj zapisaną konfigurację VPN” i wskaż ją na client.opvn. To automatycznie wypełnia wszystkie pola.
Pete SupportMonica
2

Wymagania Systemowe

sudo apt-get install network-manager-openvpn-gnome

lub dla minimalisty:

sudo apt-get install openvpn

Uzyskaj certyfikaty i konfigurację

Dla urządzeń Watchguard XTM z systemem 11.8+

Wygląda na to, że strona https: //yourrouter.tld/sslvpn.html, która jest używana do pobrania klienta Windows, zawiera teraz również ogólne pobranie konfiguracji ovpn, zapisujące kroki w obejściu. Po prostu zaloguj się i przejdź do tego katalogu, aby uzyskać plik konfiguracyjny. Gratulujemy równego traktowania swoich znajomych z Windows i Mac.

Przejdź do kroku „Utwórz nowe połączenie VPN”.

Dla urządzeń Watchguard XTM z systemem 11.7 lub mniejszym

Można je pobrać bezpośrednio z zapory ogniowej (zamień serwer na własny):

  1. Idź do https://watchguard_server and authenticate to the firewall.
  2. Iść do https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternatywnie (uważam, że jest to mniej bezpieczne, ponieważ hasło jest wysyłane w żądaniu) (zamień serwer, użytkownika i podaj własne):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Przenieś client.wgssl do miejsca, w którym chcesz przechowywać konfigurację i certyfikaty, np. / Etc / openvpn. Spowoduje to tarowanie cię bombą, więc będziesz chciał utworzyć folder, w którym ma zostać rozpakowany.

Biegać tar zxvf client.wgssl

Utwórz nowe połączenie VPN

Otwórz połączenia sieciowe i dodaj nowe. Aby wpisać tekst, w obszarze VPN wybierz „Importuj zapisaną konfigurację VPN ...” Wyszukaj plik client.ovpn w folderze, który rozpakowałeś client.wgssl.

Dodaj poświadczenia

Edytuj nowo utworzone połączenie, dołączając swoją nazwę użytkownika i hasło, lub ustaw hasło na „Zawsze pytaj”.

Ostrzeżenie: hasło jest zapisane w szyfrowaniu, które można odwrócić.

Dostosuj sieć

Jeśli nie chcesz, aby VPN przejmował cały Twój ruch, po prostu ruch do zdalnej lokalizacji przejdź do zakładki Ustawienia IPv4 -> Trasy i zaznacz „Używaj tego połączenia tylko do zasobów w jego sieci”

Irate Pirate
źródło
Ostrzeżenie YMMV: Wygląda na to, że moja 2-etapowa metoda uzyskania konfiguracji może nie działać tak dobrze na starszych wersjach oprogramowania układowego XTM. Moja pierwsza wizyta na porcie 4100 sprawiła, że ​​ponownie się uwierzytelniłem, ale wklejenie tego samego łącza po raz drugi po uwierzytelnieniu na porcie 4100 zadziałało.
flickerfly
Muszę jeszcze znaleźć sposób na zrobienie tego za pomocą Network Managera. Wierzę przede wszystkim ze względu na „zdalne uwierzytelnienie-eku” Uwierzytelnianie serwera TLS Web Server ”. W międzyczasie używałem polecenia „openvpn --config client.ovpn”. Irytujące, ale wykonuje zadanie, zwłaszcza jeśli skonfigurujesz je jako alias bash.
flickerfly