So verbinden Sie Ihren Ubuntu mit meinem Arbeitsplatz, GlobalProtect VPN, mithilfe von Win 7 VM

19

Ich möchte eine Verbindung zu meinem Arbeitsplatz PaloAlto GlobalProtect VPN herstellen. Das Problem: Es gibt keinen Linux-Client (oder ich kann Linux verwenden, aber es erfordert die Zusammenarbeit der IT-Gruppe ...)

vpn ozma
quelle

Antworten:

24

Ich habe kürzlich den fantastischen Open-Source-VPN-Client OpenConnect erweitert , um das PAN GlobalProtect-VPN sowohl im SSL-VPN- als auch im IPsec / ESP-Modus zu unterstützen.

Dies ist noch in Arbeit , aber ich habe es bereits für echte Arbeit verwendet und es funktioniert sehr gut für mich. Es wäre großartig, wenn andere Leute es testen würden, und ich freue mich über Ihr Feedback!

Erstellen Sie den globalprotectZweig aus diesem Repository: https://github.com/dlenski/openconnect

... und führen Sie es dann wie --certificatefolgt aus , um es zu testen (Sie können den Teil weglassen, wenn Ihr VPN kein Client-Zertifikat verwendet):

$ ./openconnect --protocol=gp [--certificate=my_cert_with_pk.pem] \
              server.company.com --dump -vvv
Please enter your username and password.
Username: 
Password:

Derzeit werden nur Benutzername, Kennwort und optional die Clientzertifikatsauthentifizierung unterstützt, da dies das einzige Beispiel ist, das ich habe. Ich würde mich über Feedback freuen, wenn andere Authentifizierungsmethoden zur Verfügung stehen.

PS: Für mein VPN ist der VPN-Tunnelserver der gleiche wie der VPN-Portal-Server, Ihr VPN kann sich jedoch unterscheiden. Versuchen Sie, mit OpenConnect sowohl die "Portal-Adresse" als auch die "GlobalProtect Gateway-IP" zu verwenden, die im Windows-Client angezeigt werden:

[ GlobalProtect Windows-Client]

Dan
quelle
1
Das ist einfach perfekt! Die einzige Lösung, die für mich funktioniert hat, ohne den Administratoren zusätzliche Konfigurationsfragen zu stellen! Ich hoffe, es kommt zur offiziellen Veröffentlichung
Eugene Sh.
Genial! Sie sind die zweite Person, die es erfolgreich einsetzt :). Bitte melde alle Probleme im Github-Tracker, damit ich die offizielle Mailingliste nicht zu sehr ärgere, bis sie in die Veröffentlichung eingeht.
Dan
Übrigens, ich mag VPNs nicht so gerne, also vergib mir meine Frage. Wenn ich über einen GP-Client eine Verbindung herstelle, verwende ich ein bestimmtes Gateway (vpn.company.com), das es mir dann irgendwie ermöglicht, eine Verbindung zu einem anderen Ort (vpn1.company.com, vpn2.company.com usw.) herzustellen. . Mit OpenConnect kann ich mich explizit entweder mit vpn.company.com oder mit einem der anderen vpnx verbinden. Gibt es eine Möglichkeit, den spezifischen Standort zu wählen, wenn eine Verbindung zum Hauptgateway hergestellt wird?
Eugene Sh.
Ich bin nicht sicher, was Sie fragen. OpenConnect sollte mit jedem Gateway-Server funktionieren ... oder? Der offizielle Client kann "gesperrt" werden, um Sie zu einem bestimmten Gateway zu leiten, aber openconnect kümmert sich nicht um das Profil, mit dem Sie zu einem bestimmten Server geleitet werden.
Dan
1
Cool, danke. Jetzt muss es für Fedora gepackt sein und ein NetworkManager-Plugin haben (na ja, nur Spaß. Es funktioniert jetzt ziemlich gut) :)
Eugene Sh.
0

Meine Arbeitskonfiguration Linux-Host ifconfig :

vboxnet0  Link encap:Ethernet  HWaddr 0a:ee:27:00:09:00  
        inet addr:192.168.137.100  Bcast:192.168.137.255  Mask:255.255.255.0
        inet6 addr: fe80::800:27ff:fe00:0/64 Scope:Link
        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:1340 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:429784 (429.7 KB)

wlan0     Link encap:Ethernet  HWaddr 82:49:34:1a:a6:e9  
          inet addr:10.157.48.55  Bcast:10.157.48.255  Mask:255.255.255.0
          inet6 addr: fe80::8219:34ff:fe15:a6e9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10935 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9571 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:6235519 (6.2 MB)  TX bytes:2625822 (2.6 MB)

Linux-Hostroute:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.157.48.1     0.0.0.0         UG    400    0        0 wlan0
10.0.0.0        192.168.137.1   255.0.0.0       UG    0      0        0 vboxnet0
link-local      *               255.255.0.0     U     1000   0        0 wlan0
192.168.137.0   *               255.255.255.0   U     100    0        0 vboxnet0

~ $ netstat -nr

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.157.48.1     0.0.0.0         UG        0 0          0 wlan0
10.0.0.0        192.168.137.1   255.0.0.0       UG        0 0          0 vboxnet0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 wlan0
192.168.137.0   0.0.0.0         255.255.255.0   U         0 0          0 vboxnet0

Windows igconfig:

Ethernet adapter VPN:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a0fd:e08a:6a52:87db%12
   IPv4 Address. . . . . . . . . . . : 10.7.8.23
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :

Ethernet adapter vboxnet0:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a4bb:6e53:572:5682%13
   IPv4 Address. . . . . . . . . . . : 192.168.137.1
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::90de:f93f:b73d:871f%11
   IPv4 Address. . . . . . . . . . . : 10.0.2.15
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.2.2
ozma
quelle
0

Ich verbringe einige Stunden in diesem Projekt und es funktioniert wirklich:

https://github.com/dlenski/openconnect

Ich verstehe nicht, dass es heute eine Android-Anwendung für Global Project gibt und es keine Lösung für Ubuntu oder andere Linux-Benutzer gibt.

Daher muss ich viele Pakete installieren, um diese Schritte auszuführen:

./autogen.sh
./configure

gib nicht auf! Freundliche Grüße

LeoJava
quelle
Ist es möglich, dass Sie dies weiter ausbauen und erklären können, wie es in einer virtuellen Windows-Maschine funktioniert, die auf einem Ubuntu-Computer gehostet wird?
ThatGuy
-1

(Unter der Annahme, dass das VPN-Subnetz "10.0.0.0/255.0.0.0" ist, können Sie es an Ihre Bedürfnisse anpassen.)

  1. Installieren Sie Win 7 VM.
  2. Installieren und konfigurieren Sie den VPN-Zugang in der Win-VM und teilen Sie die Internetverbindung des virtuellen VPN-Adapters
  3. Gehen Sie in virtualbox zu: Datei -> Einstellungen -> Netzwerk -> Nur-Host-Netzwerke -> fügen Sie ein Netzwerk hinzu und ändern Sie es so, dass es die folgende IP-Adresse 192.168.137.100 hat * siehe Fehlerbehebung 1
  4. Erstellen Sie eine Sicherungskopie von /etc/resolve.conf
  5. (Ich bin jetzt mit Ubuntu 15.10) DNS manuell in Ihrer Verbindungskonfiguration auf 192.168.137.1 und einige andere DNS, die nicht in der VM und nicht im VPN ist (z. B. Ihre Router-IP, ISP DNS IP usw.). (der alte trick war nicht perfekt: ersetze "nameserver whatever" durch "nameserver 192.168.137.1") du kannst "nslookup google.com" und die dns ip in der antwort sehen
  6. add route - "route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.137.1"

Fehlerbehebung: 1. Überprüfen Sie in der Win-VM die IP des Hosts und vergewissern Sie sich, dass sich vboxnet0 im selben Subnetz befindet. Versuchen Sie, die IP des vbox-net-adapters, die sich auf dem Win-Computer befindet, zu pingen

ozma
quelle