Gibt es eine echte Möglichkeit, von Linux aus eine Verbindung zum WatchGuard-VPN herzustellen?

21

WatchGuard hat offiziell nur Clients für Windows und Mac. Aber ich sehe, dass es intern OpenVPN verwendet. Ich konnte von Linux aus keine Verbindung zu WG herstellen.

Gibt es jemanden, der das tatsächlich zum Laufen bringt? Wie?


quelle

Antworten:

28

Folgendes habe ich getan, damit WatchGuard / Firebox SSL VPN unter Ubuntu 11.10 funktioniert:

Holen Sie sich die benötigten Dateien

Sie benötigen folgende Dateien:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

Von einem Windows-Computer

Sie benötigen Zugriff auf einen Windows-Computer, auf dem Sie den Client installieren können.

  1. Befolgen Sie die Anweisungen zum Installieren des Clients.
  2. Zum ersten Mal anmelden (dadurch werden mehrere Dateien im WatchGuard-Verzeichnis gespeichert)
  3. Kopieren Sie die Dateien aus dem WatchGuard-Verzeichnis
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Die wichtigsten sind ca.crt, client.crt, client.pem und client.ovpn (beachten Sie, dass client.pem möglicherweise mit .key endet).
  5. Kopieren Sie diese Dateien auf Ihr Ubuntu-System.

Aus der Firebox SSL Box

Dies ist von der Watchguard-Site. Ich habe diese Anleitung nicht direkt ausprobiert, aber sie sieht vernünftig aus.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Aus ihrem Dokument:

  1. Starten Sie WatchGuard System Manager und stellen Sie eine Verbindung zu Ihrer Firebox oder Ihrem XTM-Gerät her.
  2. Starten Sie den Firebox System Manager.
  3. Klicken Sie auf die Registerkarte Statusbericht.
  4. Klicken Sie unten rechts im Fenster auf Support.
  5. Klicken Sie auf Durchsuchen, um den Pfad auf Ihrem Computer auszuwählen, in dem Sie die Unterstützungsdatei speichern möchten. Klicken Sie auf Abrufen. Warten Sie, während Ihre Support-Datei von der Firebox heruntergeladen wird. Dies kann bis zu 20-30 Sekunden dauern. Ein Dialogfeld informiert Sie, wenn der Download abgeschlossen ist. Standardmäßig hat die Unterstützungsdatei einen Namen wie 192.168.111.1_support.tgz.
  6. Entpacken Sie die Support-Datei an einen Speicherort auf Ihrem Computer, auf den Sie problemlos zugreifen können.
  7. Entpacken Sie die in der Originaldatei enthaltene Datei Fireware_XTM_support.tgz an denselben Speicherort.

Benötigte Software auf Ubuntu

Sie müssen eine Reihe von Paketen installieren, um von Ubuntu aus eine Verbindung herstellen zu können (dies setzt die Desktop-Version voraus, die Server-Version unterscheidet sich wahrscheinlich).

  • openvpn (wahrscheinlich bereits installiert)
    • sudo apt-get install openvpn
  • Netzwerk-Manager VPN-Plug-In öffnen
    • sudo apt-get install network-manager-openvpn
  • Network Manager OpenVPN Plugin für Gnome (benötigt ab Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Testen von der Kommandozeile

Sie können über die Befehlszeile testen, ob die Verbindung funktioniert. Sie müssen dies nicht tun, aber es kann die Dinge einfacher machen.

Aus dem Verzeichnis, in das Sie die config / crt-Dateien kopiert haben:

sudo openvpn --config client.ovpn

Einrichten des Netzwerkmanagers

Der Netzwerkmanager ist das Symbol in der Leiste oben (derzeit die Aufwärts- / Abwärtspfeile). Sie benötigen eine Reihe von Zeilen aus der client.ovpnDatei, also öffnen Sie sie in einem Editor als Referenz.

Dies ist ein Beispiel client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Klicken Sie auf das Netzwerkmanagersymbol
  2. Wählen Sie VPN-Verbindungen-> VPN konfigurieren ...
  3. Wählen Sie Hinzufügen.
  4. Wählen Sie die Registerkarte VPN
  5. Für Benutzerzertifikat wählen Sie die Datei client.crt (aus der certZeile)
  6. Für CA-Zertifikat wählen Sie die ca.crt-Datei (aus der caZeile)
  7. Wählen Sie als privaten Schlüssel die Datei client.pem aus. (aus der keyZeile)
  8. Für mein Setup musste ich auch den Typ auf Password with Certificates (TLS)(aus der auth-user-passZeile) setzen.
  9. Gatewaykommt aus der remoteLeitung. Sie müssen den Servernamen oder die IP-Adresse kopieren. In diesem Beispiel "1.2.3.4"

Die restlichen Einstellungen befinden sich im Bereich Erweitert (die Schaltfläche Erweitert unten). Auf der Registerkarte Allgemein:

  1. Use custom gateway portVerwendet die letzte Nummer aus der remoteZeile. In diesem Beispiel "1000"
  2. Use TCP connectionkomm von der protoLinie. In diesem Fall tcp-client.

Auf der Registerkarte Sicherheit:

  1. Cipherkommt aus der cipherLeitung. (In diesem Beispiel AES-256-CBC)
  2. "HMAC-Authentifizierung" kommt von der authLeitung. (In diesem Beispiel SHA1)

Auf der Registerkarte TLS-Authentifizierung:

  1. Subject Matchkommt aus der `tls-remote'-Zeile. (In diesem Beispiel / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Ich musste außerdem auf der Registerkarte IPv4-Einstellungen unter der Schaltfläche "Routen ..." die Option "Diese Verbindung nur für Ressourcen im Netzwerk verwenden" aktivieren.

Abhängig davon, wie die Firebox SSL eingerichtet ist, muss möglicherweise mehr eingerichtet werden, aber dies hilft hoffentlich als Ausgangspunkt. Sie können auch das Sys-Protokoll anzeigen, wenn Sie Probleme haben (tail -fn0 / var / log / syslog).

Paul Hutchinson
quelle
5
Heilige Mutter von ... das ist eine ziemlich beeindruckende Antwort für einen neuen Benutzer. Willkommen auf der Seite!
Pause
1
Dies funktioniert unter Ubuntu 13.04. Nach "Schritt 3 - Hinzufügen" wählen Sie "Importieren einer gespeicherten VPN-Konfiguration" aus der Dropdown-Liste und zeigen Sie auf client.opvn. Dadurch werden alle Felder automatisch ausgefüllt.
Pete
2

Software Anforderungen

sudo apt-get install network-manager-openvpn-gnome

oder für den Minimalisten:

sudo apt-get install openvpn

Holen Sie sich die Zertifikate & Config

Für Watchguard XTM-Geräte ab Version 11.8

Offenbar enthält die Seite https: //yourrouter.tld/sslvpn.html , auf der der Windows-Client abgerufen wird, jetzt auch einen generischen Download der OvPN-Konfiguration, mit dem die Schritte in der Problemumgehung gespeichert werden. Melden Sie sich einfach an und gehen Sie in dieses Verzeichnis, um Ihre Konfigurationsdatei zu erhalten. Herzlichen Glückwunsch, dass Sie Ihren Windows- und Mac-Freunden gewachsen sind.

Fahren Sie mit dem Schritt "Neue VPN-Verbindung erstellen" fort.

Für Watchguard XTM-Geräte mit 11.7 oder weniger

Diese können direkt von der Firewall abgerufen werden (ersetzen Sie den Server durch Ihren eigenen):

  1. Gehe zu https://watchguard_server and authenticate to the firewall.
  2. Gehe zu https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternativ (ich glaube, dies ist weniger sicher, weil das Passwort in der Anfrage gesendet wird) (ersetzen Sie Server, Benutzer und übergeben Sie es mit Ihrem eigenen):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Verschieben Sie client.wgssl an den Ort, an dem Sie die Konfiguration und die Zertifikate speichern möchten, z. B. / etc / openvpn. Dadurch werden Sie bombardiert, und Sie möchten den Ordner erstellen, in den Sie ihn extrahieren möchten.

Lauf tar zxvf client.wgssl

Erstellen Sie eine neue VPN-Verbindung

Öffnen Sie Netzwerkverbindungen und fügen Sie neue hinzu. Wählen Sie als Typ unter VPN "Eine gespeicherte VPN-Konfiguration importieren ..." aus. Suchen Sie in dem von Ihnen extrahierten Ordner client.wgssl nach der Datei client.ovpn.

Anmeldeinformationen hinzufügen

Bearbeiten Sie die neu erstellte Verbindung, um Ihren Benutzernamen und Ihr Passwort aufzunehmen, oder setzen Sie das Passwort auf "Immer fragen".

Warnung: Das Passwort wird in einer Verschlüsselung gespeichert, die rückgängig gemacht werden kann.

Passen Sie die Vernetzung an

Wenn Sie nicht möchten, dass das VPN Ihren gesamten Datenverkehr übernimmt, wechseln Sie nur zum Datenverkehr an den Remotestandort zur Registerkarte IPv4-Einstellungen -> Routen und aktivieren Sie "Diese Verbindung nur für Ressourcen im Netzwerk verwenden".

Zorniger Pirat
quelle
YMMV Warnung: Es sieht so aus, als ob meine 2-Schritt-Methode zum Abrufen der Konfiguration bei älteren Versionen der XTM-Firmware möglicherweise nicht so gut funktioniert. Bei meinem ersten Besuch auf Port 4100 wurde ich erneut authentifiziert, aber das Einfügen des gleichen Links nach der Authentifizierung auf Port 4100 funktionierte ein zweites Mal.
Flickerfly
Ich muss noch einen Weg finden, um dies mit Network Manager zu tun. Ich glaube in erster Linie an das "Remote-Zertifikat" der "TLS Web Server Authentication". In der Zwischenzeit habe ich den Befehl 'openvpn --config client.ovpn' verwendet. Ärgerlich, aber es erledigt den Job vor allem, wenn Sie es als Bash-Alias ​​einrichten.
Flickerfly
0

Vielen Dank, ich habe gerade ein auf der Watchguard-Website beschriebenes Verfahren ausprobiert ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false ).

Ich habe ein Skript geschrieben, um die Verbindung zu starten, und es funktioniert einwandfrei.

Minja
quelle
Willkommen bei Server Fault! Während dies theoretisch die Frage beantworten mag, wäre es vorzuziehen , die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
Scott Pack