WatchGuard oficjalnie ma klientów tylko dla Windows i Mac. Ale widzę, że używa openvpn wewnętrznie. Nie mogłem połączyć się z WG z Linuksa.

Czy jest ktoś, kto tak naprawdę działa? W jaki sposób?

Oto, co zrobiłem, aby WatchGuard / Firebox SSL VPN działał na Ubuntu 11.10:

Pobieranie potrzebnych plików

Potrzebne będą następujące pliki:

• ca.crt
• client.crt
• client.pem
• client.ovpn

Z komputera z systemem Windows

Będziesz potrzebował dostępu do komputera z systemem Windows, na którym możesz zainstalować jego klienta.

1. Postępuj zgodnie z instrukcjami, aby zainstalować klienta.
2. Zaloguj się po raz pierwszy (spowoduje to utworzenie szeregu plików w katalogu WatchGuard)
3. Skopiuj pliki z katalogu WatchGuard
   • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
   • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
4. Najważniejsze z nich to ca.crt, client.crt, client.pem i client.ovpn (zwróć uwagę, że client.pem może być czymś innym, kończącym się na .key).
5. Skopiuj te pliki do systemu Ubuntu.

Z pola Firebox SSL

To jest ze strony Watchguard. Nie próbowałem bezpośrednio tych instrukcji, ale wyglądają rozsądnie.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Z ich dokumentu:

1. Uruchom WatchGuard System Manager i połącz się z urządzeniem Firebox lub XTM.
2. Uruchom Firebox System Manager.
3. Kliknij kartę Raport stanu.
4. Kliknij opcję Wsparcie znajdującą się w prawym dolnym rogu okna.
5. Kliknij Przeglądaj, aby wybrać ścieżkę na komputerze, w której chcesz zapisać plik pomocy technicznej. Kliknij Pobierz. Poczekaj, aż plik wsparcia zostanie pobrany z Firebox. Może to potrwać do 20-30 sekund. Pojawi się okno dialogowe z informacją o zakończeniu pobierania. Domyślnie plik obsługi ma nazwę 192.168.111.1_support.tgz.
6. Rozpakuj plik pomocy technicznej w lokalizacji na komputerze, do której masz łatwy dostęp.
7. Rozpakuj plik Fireware_XTM_support.tgz zawarty w oryginalnym pliku w tej samej lokalizacji.

Potrzebne oprogramowanie na Ubuntu

Będziesz musiał zainstalować szereg pakietów, aby połączyć się z Ubuntu (zakłada się, że jest to wersja na komputery stacjonarne, w przypadku wersji serwerowej sytuacja prawdopodobnie wygląda inaczej).

• openvpn (prawdopodobnie już zainstalowany)
  • sudo apt-get install openvpn
• menedżer sieci otwórz wtyczkę VPN
  • sudo apt-get install network-manager-openvpn
• Wtyczka OpenVPN Network Managera dla Gnome (wymagana od Ubuntu 12.04)
  • sudo apt-get install network-manager-openvpn-gnome

Testowanie z linii poleceń

Możesz sprawdzić, czy połączenie działa z poziomu wiersza poleceń. Nie musisz tego robić, ale może to ułatwić.

Z katalogu, który skopiowałeś pliki config / crt:

sudo openvpn --config client.ovpn

Konfigurowanie menedżera sieci

Menedżer sieci to ikona na pasku panelu u góry (obecnie strzałki w górę / w dół). Będziesz potrzebował pewnej liczby wierszy z client.ovpnpliku, więc otwórz go w edytorze do wglądu.

To jest przykład client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

1. Kliknij ikonę menedżera sieci
2. Wybierz Połączenia VPN-> Konfiguruj VPN ...
3. Wybierz Dodaj.
4. Wybierz kartę VPN
5. W polu Certyfikat użytkownika wybierz plik client.crt (z certwiersza)
6. Dla certyfikatu CA wybierz plik ca.crt (z cawiersza)
7. W polu Klucz prywatny wybierz plik client.pem. (z keylinii)
8. Dla mojej konfiguracji musiałem również ustawić typ na Password with Certificates (TLS)(z auth-user-passlinii).
9. Gatewaypochodzi z remotelinii. Musisz skopiować nazwę serwera lub adres IP. W tym przykładzie „1.2.3.4”

Pozostałe ustawienia znajdują się w obszarze Zaawansowane (przycisk zaawansowania u dołu). Na karcie Ogólne:

1. Use custom gateway portużywa ostatniego numeru z remotelinii. W tym przykładzie „1000”
2. Use TCP connectionpochodzą z protolinii. W tym przypadku klient tcp.

Na karcie Zabezpieczenia:

1. Cipherpochodzi z cipherlinii. (W tym przykładzie AES-256-CBC)
2. „Uwierzytelnianie HMAC” pochodzi z authlinii. (W tym przykładzie SHA1)

Na karcie Uwierzytelnianie TLS:

1. Subject Matchpochodzi z linii `tls-remote '. (W tym przykładzie / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Musiałem także zaznaczyć opcję „używaj tego połączenia tylko do zasobów w jego sieci” na karcie Ustawienia IPv4 pod przyciskiem „Trasy ...”.

Może być więcej potrzebnych do skonfigurowania rzeczy w zależności od konfiguracji Firebox SSL, ale mam nadzieję, że pomoże to jako punkt wyjścia. Możesz także obejrzeć dziennik sys, jeśli masz problemy (tail -fn0 / var / log / syslog)

Wymagania Systemowe

sudo apt-get install network-manager-openvpn-gnome

lub dla minimalisty:

sudo apt-get install openvpn

Uzyskaj certyfikaty i konfigurację

Dla urządzeń Watchguard XTM z systemem 11.8+

Wygląda na to, że strona https: //yourrouter.tld/sslvpn.html, która jest używana do pobrania klienta Windows, zawiera teraz również ogólne pobranie konfiguracji ovpn, zapisujące kroki w obejściu. Po prostu zaloguj się i przejdź do tego katalogu, aby uzyskać plik konfiguracyjny. Gratulujemy równego traktowania swoich znajomych z Windows i Mac.

Przejdź do kroku „Utwórz nowe połączenie VPN”.

Dla urządzeń Watchguard XTM z systemem 11.7 lub mniejszym

Można je pobrać bezpośrednio z zapory ogniowej (zamień serwer na własny):

1. Idź do https://watchguard_server and authenticate to the firewall.
2. Iść do https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternatywnie (uważam, że jest to mniej bezpieczne, ponieważ hasło jest wysyłane w żądaniu) (zamień serwer, użytkownika i podaj własne):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Przenieś client.wgssl do miejsca, w którym chcesz przechowywać konfigurację i certyfikaty, np. / Etc / openvpn. Spowoduje to tarowanie cię bombą, więc będziesz chciał utworzyć folder, w którym ma zostać rozpakowany.

Biegać tar zxvf client.wgssl

Utwórz nowe połączenie VPN

Otwórz połączenia sieciowe i dodaj nowe. Aby wpisać tekst, w obszarze VPN wybierz „Importuj zapisaną konfigurację VPN ...” Wyszukaj plik client.ovpn w folderze, który rozpakowałeś client.wgssl.

Dodaj poświadczenia

Edytuj nowo utworzone połączenie, dołączając swoją nazwę użytkownika i hasło, lub ustaw hasło na „Zawsze pytaj”.

Ostrzeżenie: hasło jest zapisane w szyfrowaniu, które można odwrócić.

Dostosuj sieć

Jeśli nie chcesz, aby VPN przejmował cały Twój ruch, po prostu ruch do zdalnej lokalizacji przejdź do zakładki Ustawienia IPv4 -> Trasy i zaznacz „Używaj tego połączenia tylko do zasobów w jego sieci”

Postępuj zgodnie z tymi instrukcjami - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Testowane w Ubuntu 11 i Fedorze 15 z XTM 11.x

Dziękuję, właśnie wypróbowałem procedurę opisaną na stronie Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

Napisałem skrypt, aby uruchomić połączenie i działa dobrze.