Frage Gibt es eine echte Möglichkeit, von Linux aus mit dem WatchGuard VPN zu verbinden?


WatchGuard hat offiziell nur Kunden für Windows und Mac. Aber ich sehe, dass es intern openvpn verwendet. Ich konnte von Linux keine Verbindung zu WG herstellen.

Gibt es jemanden, der das funktioniert? Wie?


21
2018-01-18 20:39


Ursprung




Antworten:


Hier ist, was ich getan habe, um WatchGuard / Firebox SSL VPN unter Ubuntu 11.10 zu arbeiten:

Die benötigten Dateien bekommen

Sie benötigen folgende Dateien:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

Von einem Windows-Computer

Sie benötigen Zugriff auf einen Windows-Computer, auf dem Sie den Client installieren können.

  1. Folgen Sie den Anweisungen zur Installation ihres Clients.
  2. Melden Sie sich zum ersten Mal an (dadurch werden mehrere Dateien im WatchGuard-Verzeichnis erstellt)
  3. Kopieren Sie die Dateien aus dem WatchGuard-Verzeichnis
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Die wichtigsten sind ca.crt, client.crt, client.pem und client.ovpn (beachten Sie, dass client.pem vielleicht etwas anderes ist, das in .key endet).
  5. Kopieren Sie diese Dateien auf Ihr Ubuntu-System.

Aus der Firebox SSL-Box

Dies ist von der Watchguard Seite. Ich habe diese Anweisungen nicht direkt ausprobiert, aber sie sehen vernünftig aus.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Aus ihrem Dokument:

  1. Starten Sie den WatchGuard System Manager und stellen Sie eine Verbindung zu Ihrem Firebox- oder XTM-Gerät her.
  2. Starten Sie den Firebox System Manager.
  3. Klicken Sie auf die Registerkarte Statusbericht.
  4. Klicken Sie auf Support, in der unteren rechten Ecke des Fensters.
  5. Klicken Sie auf Durchsuchen, um den Pfad auf Ihrem Computer auszuwählen, auf dem Sie die Unterstützungsdatei speichern möchten. Klicken Sie auf Abrufen. Warten Sie, bis Ihre Support-Datei von der Firebox heruntergeladen wurde. Dies kann bis zu 20-30 Sekunden dauern. In einem Dialogfeld wird angezeigt, wann der Download abgeschlossen ist. Standardmäßig hat die Unterstützungsdatei einen Namen wie 192.168.111.1_support.tgz.
  6. Entpacken Sie die Unterstützungsdatei an einen Speicherort auf Ihrem Computer, auf den Sie einfach zugreifen können.
  7. Entpacken Sie die Fireware_XTM_support.tgz-Datei, die in der ursprünglichen Datei enthalten ist, an denselben Speicherort.

Benötigte Software auf Ubuntu

Sie müssen eine Reihe von Paketen installieren, um eine Verbindung von Ubuntu herzustellen (dies setzt die Desktop-Version voraus, die Dinge sind wahrscheinlich unterschiedlich für die Server-Version).

  • openvpn (Wahrscheinlich bereits installiert)
    • sudo apt-get install openvpn
  • Netzwerk-Manager öffnen vpn einstecken
    • sudo apt-get install network-manager-openvpn
  • Network Manager OpenVPN Plugin für Gnome (benötigt ab Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Testen über die Befehlszeile

Sie können testen, ob die Verbindung von der Befehlszeile aus funktioniert. Sie müssen dies nicht tun, aber es kann die Dinge erleichtern.

Aus dem Verzeichnis, in das Sie die config / crt-Dateien kopiert haben:

sudo openvpn --config client.ovpn

Netzwerkmanager einrichten

Der Netzwerkmanager ist das Symbol in der Bedienfeldleiste oben (derzeit die Pfeile nach oben / unten). Sie benötigen eine Reihe von Linien aus der client.ovpn Datei so öffnen Sie es in einem Editor als Referenz.

Dies ist ein Beispiel client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Klicken Sie auf das Netzwerkmanager-Symbol
  2. Wählen Sie VPN-Verbindungen-> VPN konfigurieren ...
  3. Wählen Sie Hinzufügen.
  4. Wählen Sie die Registerkarte VPN
  5. Wählen Sie für Benutzerzertifikat die Datei client.crt (aus dem cert Linie)
  6. Für CA Zertifikat wählen Sie die Datei ca.crt (aus der ca Linie)
  7. Wählen Sie für den privaten Schlüssel die Datei client.pem aus. (von dem key Linie)
  8. Für meine Einrichtung musste ich auch den Typ einstellen Password with Certificates (TLS) (von dem auth-user-pass Linie).
  9. Gateway kommt von remote Linie. Sie müssen den Servernamen oder die IP-Adresse kopieren. In diesem Beispiel "1.2.3.4"

Der Rest der Einstellungen befindet sich im erweiterten Bereich (die erweiterte Schaltfläche unten). Auf der Registerkarte Allgemein:

  1. Use custom gateway port benutzt die letzte Nummer von der remote Linie. In diesem Beispiel "1000"
  2. Use TCP connection komme aus der proto Linie. In diesem Fall tcp-Client.

Unter der Registerkarte Sicherheit:

  1. Cipher kommt von cipher Linie. (In diesem Beispiel AES-256-CBC)
  2. 'HMAC Authentication' kommt von der auth Linie. (In diesem Beispiel SHA1)

Unter der Registerkarte TLS-Authentifizierung:

  1. Subject Match kommt aus der `tls-remote'-Zeile. (In diesem Beispiel / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Ich musste auch prüfen, "diese Verbindung nur für die Ressource in ihrem Netzwerk verwenden" auf der Registerkarte IPv4-Einstellungen unter der Schaltfläche "Routen ...".

Je nachdem, wie das Firebox-SSL-Setup eingerichtet wird, müssen möglicherweise weitere Einstellungen vorgenommen werden, aber dies wird hoffentlich als Ausgangspunkt dienen. Wenn Sie Probleme haben, können Sie sich auch das sys-Protokoll ansehen (tail -fn0 / var / log / syslog)


28
2018-01-02 17:46



Heilige Mutter von .. das ist eine ziemlich beeindruckende Antwort für einen neuen Benutzer. Willkommen auf der Seite! - pauska
Dies funktioniert auf Ubuntu 13.04. Nach "Schritt 3- Hinzufügen" wählen Sie "Gespeicherte VPN-Konfiguration importieren" aus dem Dropdown und zeigen Sie auf client.opvn. Dies füllt alle Felder automatisch aus. - Pete
Arbeitete wie Charme! Vielen Dank! :) - Rajdeep Singh


Software Anforderungen

sudo apt-get install network-manager-openvpn-gnome

oder für den Minimalisten:

sudo apt-get install openvpn

Holen Sie sich die Zertifikate & Config

Für Watchguard XTM-Geräte mit 11.8+

Es scheint, dass die https: //yourrouter.tld/sslvpn.html Seite, die verwendet wird, um den Windows-Client abzuholen, enthält jetzt auch einen generischen ovpn-Konfigurationsdownload, der die Schritte in der Problemumgehung speichert. Melden Sie sich einfach an und gehen Sie in dieses Verzeichnis, um Ihre Konfigurationsdatei zu erhalten. Gratulation, dass du mit deinen Windows- und Mac-Freunden gleich bist.

Springen Sie zum Schritt "Neue VPN-Verbindung erstellen".

Für Watchguard XTM-Geräte mit 11,7 oder weniger

Diese können direkt von der Firewall abgerufen werden (ersetzen Sie den Server durch Ihren eigenen):

  1. Gehe zu https://watchguard_server and authenticate to the firewall.
  2. Gehe zu https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternativ (ich glaube, das ist weniger sicher, weil das Passwort in der Anfrage gesendet wird) (ersetzen Sie Server, Benutzer und Pass mit Ihren eigenen):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Verschieben Sie client.wgsssl dorthin, wo Sie die Konfiguration speichern möchten, und / etc / openvpn. Dies wird dich tarben, also solltest du den Ordner erstellen, in den es extrahiert werden soll.

Lauf tar zxvf client.wgssl

Erstellen Sie eine neue VPN-Verbindung

Öffnen Sie Netzwerkverbindungen und fügen Sie neue hinzu. Wählen Sie für den Typ unter VPN "Gespeicherte VPN-Konfiguration importieren ...". Suchen Sie in dem Ordner, den Sie client.wgsssl extrahiert haben, nach der Datei client.ovpn.

Anmeldeinformationen hinzufügen

Bearbeiten Sie die neu erstellte Verbindung, um Ihren Nutzernamen und Ihr Passwort einzugeben, oder legen Sie das Passwort auf "Immer fragen" fest.

Warnung: Das Passwort wird in einer Verschlüsselung gespeichert, die umgekehrt werden kann.

Netzwerk anpassen

Wenn Sie nicht möchten, dass das VPN Ihren gesamten Datenverkehr übernimmt, gehen Sie nur zum Datenverkehr, der an den Remote-Standort geht, auf die Registerkarte IPv4-Einstellungen -> Routen und aktivieren Sie "Diese Verbindung nur für Ressourcen im Netzwerk verwenden".


2
2018-05-21 19:59



YMMV Warnung: Es sieht so aus, als ob meine 2-Schritt-Methode zum Abrufen der Konfiguration in älteren Versionen der XTM-Firmware möglicherweise nicht so gut funktioniert. Bei meinem ersten Besuch in Port 4100 habe ich mich erneut authentifiziert, aber nachdem ich mich an Port 4100 authentifiziert habe, habe ich denselben Link ein zweites Mal eingefügt. - flickerfly
Ich habe noch einen Weg gefunden, dies mit Network Manager zu tun. Ich glaube vor allem wegen der 'Remote-Cert-Eku' TLS-Webserver-Authentifizierung ''. Ich habe den Befehl 'openvpn --config client.ovpn' in der Zwischenzeit verwendet. Ärgerlich, aber es macht den Job fertig, besonders wenn man es als Bash-Alias ​​einrichtet. - flickerfly


Befolgen Sie diese Anweisungen - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Getestet in Ubuntu 11 und Fedora 15 mit XTM 11.x


0
2018-06-27 20:03



Bitte fügen Sie eine Zusammenfassung der Anweisungen und nicht nur einen Link bei. Links ändern sich im Laufe der Zeit und wenn / wenn dies der Fall ist, wird die Antwort nutzlos sein. - squillman


Vielen Dank, ich habe gerade eine Prozedur auf der Watchguard Seite versucht (http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false)

Ich habe ein Skript geschrieben, um die Verbindung zu starten und es funktioniert gut.


0
2017-11-17 23:16



Willkommen bei Serverfehler! Während dies theoretisch die Frage beantworten könnte, es wäre vorzuziehen um die wesentlichen Teile der Antwort hier einzubeziehen und den Link als Referenz bereitzustellen. - Scott Pack