Назад | Перейти на главную страницу

Есть ли реальный способ подключиться к WatchGuard VPN из Linux?

У WatchGuard официально клиенты только для Windows и Mac. Но я вижу, что он внутренне использует openvpn. Не удалось подключиться к WG из Linux.

Есть ли кто-нибудь, у кого это действительно работает? Как?

Вот что я сделал, чтобы WatchGuard / Firebox SSL VPN работал на Ubuntu 11.10:

Получение необходимых файлов

Вам потребуются следующие файлы:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

С компьютера под управлением Windows

Вам понадобится доступ к оконному компьютеру, на который вы сможете установить их клиент.

  1. Следуйте инструкциям по установке своего клиента.
  2. Войдите в систему в первый раз (это приведет к появлению ряда файлов в каталоге WatchGuard)
  3. Скопируйте файлы из каталога WatchGuard
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Важными из них являются ca.crt, client.crt, client.pem и client.ovpn (обратите внимание на client.pem, возможно, что-то еще, заканчивающееся на .key).
  5. Скопируйте эти файлы в свою систему Ubuntu.

Из окна SSL Firebox

Это с сайта Watchguard. Я не пробовал эти инструкции напрямую, но они выглядят разумно.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Из их документа:

  1. Запустите WatchGuard System Manager и подключитесь к устройству Firebox или XTM.
  2. Запустите диспетчер системы Firebox.
  3. Щелкните вкладку Отчет о состоянии.
  4. Нажмите «Поддержка» в правом нижнем углу окна.
  5. Щелкните Обзор, чтобы выбрать путь на вашем компьютере, где вы хотите сохранить файл поддержки. Щелкните Получить. Подождите, пока ваш файл поддержки загрузится из Firebox. Это может занять до 20-30 секунд. Когда загрузка будет завершена, появится диалоговое окно. По умолчанию файл поддержки имеет имя 192.168.111.1_support.tgz.
  6. Разархивируйте файл поддержки в место на вашем компьютере, к которому у вас будет легкий доступ.
  7. Разархивируйте файл Fireware_XTM_support.tgz, содержащийся в исходном файле, в то же место.

Необходимое программное обеспечение на Ubuntu

Вам нужно будет установить несколько пакетов для подключения из Ubuntu (это предполагает настольную версию, скорее всего, для серверной версии все будет иначе).

  • openvpn (вероятно, уже установлен)
    • sudo apt-get install openvpn
  • сетевой менеджер открыть плагин vpn
    • sudo apt-get install network-manager-openvpn
  • Плагин Network Manager OpenVPN для Gnome (необходим начиная с Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Тестирование из командной строки

Проверить, работает ли соединение, можно из командной строки. Вам не обязательно этого делать, но это может упростить задачу.

Из каталога, в который вы скопировали файлы config / crt:

sudo openvpn --config client.ovpn

Настройка сетевого менеджера

Сетевой менеджер - это значок на панели вверху (в настоящее время стрелки вверх / вниз). Вам понадобится ряд строк из client.ovpn файл, поэтому откройте его в редакторе для справки.

Это пример client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Щелкните значок диспетчера сети
  2. Выберите VPN-подключения-> Настроить VPN ...
  3. Выберите Добавить.
  4. Выберите вкладку VPN
  5. В качестве сертификата пользователя выберите файл client.crt (из cert линия)
  6. Для сертификата CA выберите файл ca.crt (из ca линия)
  7. В качестве закрытого ключа выберите файл client.pem. (из key линия)
  8. Для моей настройки мне также нужно было установить тип на Password with Certificates (TLS) (из auth-user-pass линия).
  9. Gateway исходит из remote линия. Вам необходимо скопировать имя сервера или IP-адрес. В этом примере «1.2.3.4»

Остальные настройки находятся в области Advanced (расширенная кнопка внизу). На вкладке Общие:

  1. Use custom gateway port использует последнее число из remote линия. В этом примере «1000»
  2. Use TCP connection пришли из proto линия. В этом случае tcp-client.

На вкладке «Безопасность»:

  1. Cipher исходит из cipher линия. (В этом примере AES-256-CBC)
  2. «Аутентификация HMAC» происходит от auth линия. (В этом примере SHA1)

На вкладке TLS Authentication:

  1. Subject Match происходит из строки `tls-remote '. (В этом примере / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Мне также нужно было проверить «использовать это соединение только для ресурса в своей сети» на вкладке «Настройки IPv4» под кнопкой «Маршруты ...».

Возможно, потребуется больше настроек в зависимости от того, как настроен Firebox SSL, но, надеюсь, это поможет в качестве отправной точки. Также вы можете посмотреть системный журнал, если у вас возникли проблемы (tail -fn0 / var / log / syslog)

Программные требования

sudo apt-get install network-manager-openvpn-gnome

или для минималистов:

sudo apt-get install openvpn

Получите сертификаты и конфигурацию

Для устройств Watchguard XTM с версией 11.8+

Похоже, что https: //yourrouter.tld/sslvpn.html Страница, которая используется для загрузки клиента Windows, теперь также включает в себя загрузку общей конфигурации ovpn, сохраняющую шаги обходного пути. Просто войдите в систему и перейдите в этот каталог, чтобы получить файл конфигурации. Поздравляем вас с друзьями по Windows и Mac.

Перейдите к шагу «Создать новое VPN-соединение».

Для устройств Watchguard XTM с версией 11.7 или менее

Их можно получить прямо из брандмауэра (замените сервер своим):

  1. Перейти к https://watchguard_server and authenticate to the firewall.
  2. Перейти к https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

В качестве альтернативы (я считаю, что это менее безопасно, потому что пароль отправляется в запросе) (замените сервер, пользователя и перейдите на свой собственный):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Переместите client.wgssl туда, где вы хотите сохранить конфигурацию и сертификаты, например, в / etc / openvpn. Это взорвет вас таром, поэтому вам нужно создать папку для его извлечения.

Бегать tar zxvf client.wgssl

Создать новое VPN-соединение

Откройте сетевые подключения и добавьте новый. В качестве типа в разделе VPN выберите «Импортировать сохраненную конфигурацию VPN ...» Найдите файл client.ovpn в папке, которую вы извлекли из client.wgssl.

Добавить учетные данные

Отредактируйте вновь созданное соединение, включив в него ваше имя пользователя и пароль, или установите пароль «Всегда спрашивать».

Предупреждение: пароль сохраняется в зашифрованном виде, который можно отменить.

Настроить сеть

Если вы не хотите, чтобы VPN захватил весь ваш трафик, просто перейдите на вкладку «Настройки IPv4» -> «Маршруты» и установите флажок «Использовать это соединение только для ресурсов в своей сети».

Следуйте этим инструкциям - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Протестировано в Ubuntu 11 и Fedora 15 с XTM 11.x

Спасибо, ребята, я только что попробовал процедуру, описанную на сайте Watchguard (http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false)

Я написал сценарий для запуска соединения, и он работает нормально.