Existe-t-il un véritable moyen de se connecter au VPN WatchGuard à partir de Linux?

21

WatchGuard n'a officiellement de clients que pour Windows et Mac. Mais je vois qu'il utilise openvpn en interne. Je n'ai pas pu me connecter au WG depuis Linux.

Y a-t-il quelqu'un qui réussit à faire fonctionner cela? Comment?


la source

Réponses:

28

Voici ce que j'ai fait pour que le VPN SSL WatchGuard / Firebox fonctionne sur Ubuntu 11.10:

Obtenir les fichiers nécessaires

Vous aurez besoin des fichiers suivants:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

Depuis un ordinateur Windows

Vous aurez besoin d'accéder à un ordinateur Windows sur lequel vous pouvez installer leur client.

  1. Suivez les instructions pour installer leur client.
  2. Connectez-vous pour la première fois (cela fera un certain nombre de fichiers dans le répertoire WatchGuard)
  3. Copiez les fichiers du répertoire WatchGuard
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Les plus importants sont ca.crt, client.crt, client.pem et client.ovpn (notez que client.pem peut-être autre chose se terminant par .key).
  5. Copiez ces fichiers sur votre système Ubuntu.

Depuis la boîte SSL de Firebox

Ceci provient du site Watchguard. Je n'ai pas essayé ces instructions directement mais elles semblent raisonnables.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

De leur document:

  1. Démarrez WatchGuard System Manager et connectez-vous à votre appareil Firebox ou XTM.
  2. Démarrez Firebox System Manager.
  3. Cliquez sur l'onglet Rapport d'état.
  4. Cliquez sur Support, situé dans le coin inférieur droit de la fenêtre.
  5. Cliquez sur Parcourir pour sélectionner le chemin sur votre ordinateur où vous souhaitez enregistrer le fichier de support. Cliquez sur Récupérer. Attendez que votre fichier d'assistance soit téléchargé à partir du Firebox. Cela peut prendre jusqu'à 20 à 30 secondes. Une boîte de dialogue apparaît pour vous indiquer quand le téléchargement est terminé. Par défaut, le fichier de support a un nom comme 192.168.111.1_support.tgz.
  6. Décompressez le fichier d'assistance à un emplacement sur votre ordinateur auquel vous avez facilement accès.
  7. Décompressez le fichier Fireware_XTM_support.tgz contenu dans le fichier d'origine au même emplacement.

Logiciel nécessaire sur Ubuntu

Vous devrez installer un certain nombre de packages pour vous connecter à partir d'Ubuntu (cela suppose la version de bureau, les choses sont probablement différentes pour la version du serveur).

  • openvpn (probablement déjà installé)
    • sudo apt-get install openvpn
  • gestionnaire de réseau ouvert plug-in vpn
    • sudo apt-get install network-manager-openvpn
  • Plugin Network Manager OpenVPN pour Gnome (nécessaire à partir d'Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Test à partir de la ligne de commande

Vous pouvez tester si la connexion fonctionne à partir de la ligne de commande. Vous n'êtes pas obligé de le faire, mais cela peut faciliter les choses.

Depuis le répertoire, vous avez copié les fichiers config / crt:

sudo openvpn --config client.ovpn

Configuration du gestionnaire de réseau

Le gestionnaire de réseau est l'icône dans la barre du panneau en haut (actuellement les flèches haut / bas). Vous aurez besoin d'un certain nombre de lignes du client.ovpnfichier, alors ouvrez-le dans un éditeur pour référence.

Voici un exemple client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Cliquez sur l'icône du gestionnaire de réseau
  2. Sélectionnez Connexions VPN-> Configurer VPN ...
  3. Sélectionnez Ajouter.
  4. Sélectionnez l'onglet VPN
  5. Pour le certificat utilisateur, sélectionnez le fichier client.crt (à partir de la certligne)
  6. Pour le certificat CA, sélectionnez le fichier ca.crt (dans la caligne)
  7. Pour Clé privée, sélectionnez le fichier client.pem. (à partir de la keyligne)
  8. Pour ma configuration, j'avais également besoin de définir le type sur Password with Certificates (TLS)(à partir de la auth-user-passligne).
  9. Gatewayvient de la remoteligne. Vous devez copier le nom du serveur ou l'adresse IP. Dans cet exemple "1.2.3.4"

Les autres paramètres se trouvent dans la zone Avancé (le bouton avancé en bas). Dans l'onglet Général:

  1. Use custom gateway portutilise le dernier numéro de la remoteligne. Dans cet exemple "1000"
  2. Use TCP connectionviennent de la protoligne. Dans ce cas, tcp-client.

Sous l'onglet Sécurité:

  1. Ciphervient de la cipherligne. (Dans cet exemple AES-256-CBC)
  2. «Authentification HMAC» vient de la authligne. (Dans cet exemple SHA1)

Sous l'onglet Authentification TLS:

  1. Subject Matchprovient de la ligne «tls-remote». (Dans cet exemple / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

J'ai également eu besoin de cocher "utiliser cette connexion uniquement pour les ressources sur son réseau" sous l'onglet Paramètres IPv4 sous le bouton "Routes ...".

Il y a peut-être plus à faire pour configurer les choses en fonction de la configuration du Firebox SSL, mais j'espère que cela vous aidera comme point de départ. Vous pouvez également vouloir regarder le journal sys si vous avez des problèmes (tail -fn0 / var / log / syslog)

Paul Hutchinson
la source
5
Sainte mère de .. c'est une réponse assez impressionnante pour un nouvel utilisateur. Bienvenue sur le site!
pauska
1
Cela fonctionne sur Ubuntu 13.04. Après "Étape 3- Ajouter", choisissez "Importer une configuration VPN enregistrée" dans la liste déroulante et pointez-la sur client.opvn. Cela remplit automatiquement tous les champs.
Pete SupportMonica du
2

Logiciels requis

sudo apt-get install network-manager-openvpn-gnome

ou pour le minimaliste:

sudo apt-get install openvpn

Obtenez les certificats et la configuration

Pour les appareils Watchguard XTM exécutant 11.8+

Il semble que la page https: //yourrouter.tld/sslvpn.html qui est utilisée pour récupérer le client Windows comprend désormais également un téléchargement de configuration générique ovpn enregistrant les étapes de la solution de contournement. Connectez-vous simplement et accédez à ce répertoire pour obtenir votre fichier de configuration. Félicitations pour être à égalité avec vos amis Windows et Mac.

Passez à l'étape "Créer une nouvelle connexion VPN".

Pour les appareils Watchguard XTM exécutant 11,7 ou moins

Ceux-ci peuvent être récupérés directement à partir du pare-feu (remplacez le serveur par le vôtre):

  1. Allez à https://watchguard_server and authenticate to the firewall.
  2. Aller à https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternativement (je pense que cela est moins sécurisé car le mot de passe est envoyé dans la demande) (remplacez le serveur, l'utilisateur et passez le vôtre):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Déplacez client.wgssl à l'endroit où vous souhaitez stocker la configuration et les certificats, peut-être / etc / openvpn. Cela vous bombardera, vous voudrez donc créer le dossier dans lequel il sera extrait.

Courir tar zxvf client.wgssl

Créer une nouvelle connexion VPN

Ouvrez les connexions réseau et ajoutez-en un nouveau. Pour le type, sous VPN, sélectionnez "Importer une configuration VPN enregistrée ..." Recherchez le fichier client.ovpn dans le dossier que vous avez extrait client.wgssl.

Ajouter des informations d'identification

Modifiez la connexion nouvellement créée pour inclure votre nom d'utilisateur et votre mot de passe, ou définissez le mot de passe sur "Toujours demander".

Avertissement: le mot de passe est enregistré dans un cryptage qui peut être inversé.

Ajuster le réseautage

Si vous ne voulez pas que le VPN prenne en charge tout votre trafic, juste le trafic allant vers l'emplacement distant allez dans l'onglet Paramètres IPv4 -> Routes et cochez "Utiliser cette connexion uniquement pour les ressources sur son réseau"

Pirate furieux
la source
Avertissement YMMV: Il semble que ma méthode en 2 étapes pour obtenir la configuration ne fonctionne pas aussi bien sur les anciennes versions du firmware XTM. Ma première visite au port 4100 m'a permis de m'authentifier à nouveau, mais le collage du même lien une deuxième fois après l'authentification sur le port 4100 a fonctionné.
flickerfly
Je n'ai pas encore trouvé de moyen de le faire avec Network Manager. Je crois principalement à cause de «l'authentification à distance du serveur Web TLS». J'ai utilisé la commande 'openvpn --config client.ovpn' entre-temps. Ennuyeux, mais cela fait le travail surtout si vous le configurez comme un alias bash.
flickerfly du
0

Merci les gars, je viens d'essayer une procédure décrite sur le site Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

J'ai écrit un script pour lancer la connexion et cela fonctionne très bien.

Minja
la source
Bienvenue dans Server Fault! Bien que cela puisse théoriquement répondre à la question, il serait préférable d'inclure ici les parties essentielles de la réponse et de fournir le lien de référence.
Scott Pack