Existe uma maneira real de conectar-se à VPN da WatchGuard a partir do Linux?

21

O WatchGuard oficialmente possui clientes apenas para Windows e Mac. Mas vejo que ele usa openvpn internamente. Não consegui me conectar ao WG no Linux.

Existe alguém que realmente faça isso funcionar? Quão?


fonte

Respostas:

28

Aqui está o que eu fiz para que o WatchGuard / Firebox SSL VPN funcionasse no Ubuntu 11.10:

Obtendo os arquivos necessários

Você precisará dos seguintes arquivos:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

De um computador Windows

Você precisará acessar um computador com janela em que possa instalar o cliente.

  1. Siga as instruções para instalar o cliente.
  2. Efetue login pela primeira vez (isso criará vários arquivos no diretório WatchGuard)
  3. Copie os arquivos do diretório WatchGuard
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Os importantes são ca.crt, client.crt, client.pem e client.ovpn (observe que client.pem talvez algo mais que termine em .key).
  5. Copie esses arquivos para o seu sistema Ubuntu.

Na caixa SSL do Firebox

Este é do site da Watchguard. Eu não tentei essas instruções diretamente, mas elas parecem razoáveis.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Do documento deles:

  1. Inicie o WatchGuard System Manager e conecte-se ao seu dispositivo Firebox ou XTM.
  2. Inicie o Firebox System Manager.
  3. Clique na guia Relatório de status.
  4. Clique em Suporte, localizado no canto inferior direito da janela.
  5. Clique em Procurar para selecionar o caminho no seu computador em que deseja salvar o arquivo de suporte. Clique em recuperar. Aguarde enquanto o arquivo de suporte é baixado do Firebox. Isso pode levar de 20 a 30 segundos. Uma caixa de diálogo aparece para avisar quando o download estiver concluído. Por padrão, o arquivo de suporte tem um nome como 192.168.111.1_support.tgz.
  6. Descompacte o arquivo de suporte em um local no seu computador ao qual você tenha acesso fácil.
  7. Descompacte o arquivo Fireware_XTM_support.tgz contido no arquivo original no mesmo local.

Software necessário no Ubuntu

Você precisará instalar vários pacotes para conectar-se a partir do Ubuntu (isso assume a versão para desktop, as coisas provavelmente são diferentes para a versão para servidor).

  • openvpn (Provavelmente já instalado)
    • sudo apt-get install openvpn
  • gerenciador de rede vpn aberto plug-in
    • sudo apt-get install network-manager-openvpn
  • Plug-in do Network Manager OpenVPN para Gnome (necessário a partir do Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Testando a partir da linha de comando

Você pode testar se a conexão está funcionando na linha de comando. Você não precisa fazer isso, mas isso pode facilitar as coisas.

No diretório em que você copiou os arquivos config / crt:

sudo openvpn --config client.ovpn

Configurando o Gerenciador de Rede

O gerenciador de rede é o ícone na barra do painel na parte superior (atualmente as setas para cima / para baixo). Você precisará de várias linhas fora do client.ovpnarquivo, portanto, abra-o em um editor para referência.

Este é um exemplo client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Clique no ícone do gerenciador de rede
  2. Selecione Conexões VPN-> Configurar VPN ...
  3. Selecione Adicionar.
  4. Selecione a guia VPN
  5. Para certificado do usuário, selecione o arquivo client.crt (na certlinha)
  6. Para certificado da CA, selecione o arquivo ca.crt (na calinha)
  7. Para Chave Privada, selecione o arquivo client.pem. (a partir da keylinha)
  8. Para minha configuração, eu também precisei definir o tipo para Password with Certificates (TLS)(a partir da auth-user-passlinha).
  9. Gatewayvem da remotelinha. Você precisa copiar o nome do servidor ou o endereço IP. Neste exemplo "1.2.3.4"

O restante das configurações está na área Avançado (o botão avançado na parte inferior). Na guia Geral:

  1. Use custom gateway portusa o último número da remotelinha. Neste exemplo "1000"
  2. Use TCP connectionvem da protolinha. Nesse caso, tcp-client.

Na guia Segurança:

  1. Ciphervem da cipherlinha. (Neste exemplo AES-256-CBC)
  2. 'Autenticação HMAC' vem da authlinha. (Neste exemplo, SHA1)

Na guia Autenticação TLS:

  1. Subject Matchvem da linha `tls-remote '. (Neste exemplo / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Eu também precisava verificar "usar esta conexão apenas para recursos em sua rede" na guia Configurações do IPv4 no botão "Rotas ...".

Talvez seja mais necessário configurar as coisas, dependendo de como o Firebox SSL está configurado, mas espero que isso ajude como ponto de partida. Além disso, você pode querer assistir ao log do sys se tiver problemas (tail -fn0 / var / log / syslog)

Paul Hutchinson
fonte
5
Santa mãe de ... essa é uma resposta bastante impressionante para um novo usuário. Bem vindo ao site!
pauska
1
Isso funciona no Ubuntu 13.04. Após o "Passo 3 - Adicionar", escolha "Importar uma configuração VPN salva" no menu suspenso e aponte-o para client.opvn. Isso preenche todos os campos automaticamente.
usar o seguinte
2

Requisitos de software

sudo apt-get install network-manager-openvpn-gnome

ou para o minimalista:

sudo apt-get install openvpn

Obter os certificados e configuração

Para dispositivos Watchguard XTM executando 11.8+

Parece que a página https: //yourrouter.tld/sslvpn.html usada para capturar o cliente Windows agora também inclui um download genérico da configuração ovpn, salvando as etapas na solução alternativa. Basta fazer login e ir para esse diretório para obter seu arquivo de configuração. Parabéns por ser igual a seus amigos Windows e Mac.

Vá para a etapa "Criar nova conexão VPN".

Para dispositivos Watchguard XTM executando 11.7 ou menos

Eles podem ser recuperados diretamente do firewall (substitua o servidor pelo seu):

  1. Vá para https://watchguard_server and authenticate to the firewall.
  2. Vamos para https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Como alternativa (acredito que isso seja menos seguro porque a senha é enviada na solicitação) (substitua servidor, usuário e passe pelo seu):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Mova client.wgssl para onde deseja armazenar a configuração e o certificado, talvez / etc / openvpn. Isso irá bombardear você, então você desejará criar a pasta para ela extrair.

Corre tar zxvf client.wgssl

Crie uma nova conexão VPN

Abra Conexões de rede e Adicionar novo. Para o tipo, em VPN, selecione "Importar uma configuração de VPN salva ..." Procure o arquivo client.ovpn na pasta que você extraiu client.wgssl.

Adicionar credenciais

Edite a conexão recém-criada para incluir seu nome de usuário e senha ou defina a senha como "Sempre perguntar".

Aviso: A senha é salva em uma criptografia que pode ser revertida.

Ajustar rede

Se você não quiser que a VPN assuma todo o seu tráfego, apenas o tráfego para o local remoto vai para a guia Configurações IPv4 -> Rotas e marque "Usar esta conexão apenas para recursos em sua rede"

Irate Pirate
fonte
Aviso do YMMV: Parece que meu método de duas etapas para obter a configuração pode não funcionar tão bem nas versões mais antigas do firmware XTM. Minha primeira visita à porta 4100 me fez autenticar novamente, mas colar o mesmo link uma segunda vez após a autenticação na porta 4100 funcionou.
flickerfly
Ainda não encontrei uma maneira de fazer isso com o Network Manager. Acredito principalmente por causa do 'remote-cert-eku "TLS Web Server Authentication"'. Enquanto isso, uso o comando 'openvpn --config client.ovpn'. Irritante, mas ele faz o trabalho, especialmente se você o configurar como um alias do bash.
Flickerfly
0

Obrigado, tentei apenas um procedimento descrito no site da Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

Eu escrevi um script para iniciar a conexão e funciona muito bem.

Minja
fonte
Bem-vindo à falha do servidor! Embora isso possa teoricamente responder à pergunta, seria preferível incluir aqui as partes essenciais da resposta e fornecer o link para referência.
Scott pacote de