21

WatchGuard มีลูกค้าอย่างเป็นทางการสำหรับ Windows และ Mac เท่านั้น แต่ฉันเห็นว่ามันใช้ openvpn ภายใน ฉันไม่สามารถเชื่อมต่อ WG จาก Linux ได้

มีใครบางคนที่ทำงานนี้ได้จริงเหรอ? อย่างไร?

linux openvpn watchguard

28

นี่คือสิ่งที่ฉันทำเพื่อให้ WatchGuard / Firebox SSL VPN ทำงานบน Ubuntu 11.10:

รับไฟล์ที่จำเป็น

คุณจะต้องใช้ไฟล์ต่อไปนี้:

ca.crt
client.crt
client.pem
client.ovpn

จากคอมพิวเตอร์ Windows

คุณจะต้องเข้าถึงคอมพิวเตอร์ที่ใช้กับหน้าต่างที่คุณสามารถติดตั้งไคลเอนต์ได้

ทำตามคำแนะนำสำหรับการติดตั้งไคลเอนต์ของพวกเขา
เข้าสู่ระบบเป็นครั้งแรก (จะทำให้มีไฟล์จำนวนมากในไดเรกทอรี WatchGuard)
คัดลอกไฟล์จากไดเรกทอรี WatchGuard
- Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
- Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
สิ่งสำคัญคือ ca.crt, client.crt, client.pem และ client.ovpn (โปรดทราบว่า client.pem อาจเป็นอย่างอื่นที่ลงท้ายด้วย. key)
คัดลอกไฟล์เหล่านี้ไปยังระบบ Ubuntu ของคุณ

จากกล่อง Firebox SSL

นี่คือจากไซต์ Watchguard ฉันไม่ได้ลองคำแนะนำเหล่านี้โดยตรง แต่พวกเขาก็ดูสมเหตุสมผล

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

จากเอกสารของพวกเขา

เริ่ม WatchGuard System Manager และเชื่อมต่อกับอุปกรณ์ Firebox หรือ XTM ของคุณ
เริ่มตัวจัดการระบบ Firebox
คลิกที่แท็บรายงานสถานะ
คลิกการสนับสนุนอยู่ที่มุมล่างขวาของหน้าต่าง
คลิกเรียกดูเพื่อเลือกเส้นทางบนคอมพิวเตอร์ของคุณที่คุณต้องการบันทึกไฟล์สนับสนุน คลิกดึงข้อมูล รอขณะที่ไฟล์สนับสนุนของคุณถูกดาวน์โหลดจาก Firebox อาจใช้เวลาถึง 20-30 วินาที กล่องโต้ตอบจะปรากฏขึ้นเพื่อบอกคุณเมื่อการดาวน์โหลดเสร็จสมบูรณ์ โดยค่าเริ่มต้นไฟล์สนับสนุนมีชื่อเช่น 192.168.111.1_support.tgz
แตกไฟล์สนับสนุนไปยังตำแหน่งบนคอมพิวเตอร์ของคุณที่คุณสามารถเข้าถึงได้ง่าย
แตกไฟล์ Fireware_XTM_support.tgz ที่อยู่ในไฟล์ต้นฉบับไปยังตำแหน่งเดียวกัน

ซอฟต์แวร์ที่จำเป็นบน Ubuntu

คุณจะต้องติดตั้งแพคเกจจำนวนมากเพื่อเชื่อมต่อจาก Ubuntu (ซึ่งถือว่าเป็นรุ่นเดสก์ท็อปซึ่งสิ่งต่าง ๆ น่าจะแตกต่างกันไปสำหรับเวอร์ชั่นเซิร์ฟเวอร์)

openvpn (น่าจะติดตั้งแล้ว)
- sudo apt-get install openvpn
ตัวจัดการเครือข่ายเปิดปลั๊กอิน vpn
- sudo apt-get install network-manager-openvpn
ปลั๊กอิน Network Manager OpenVPN สำหรับ Gnome (จำเป็นตั้งแต่ Ubuntu 12.04)
- sudo apt-get install network-manager-openvpn-gnome

ทดสอบจากบรรทัดคำสั่ง

คุณสามารถทดสอบว่าการเชื่อมต่อใช้งานได้จากบรรทัดคำสั่งหรือไม่ คุณไม่ต้องทำสิ่งนี้ แต่อาจทำให้ง่ายขึ้น

จากไดเรกทอรีที่คุณคัดลอกไฟล์ config / crt:

sudo openvpn --config client.ovpn

การตั้งค่าตัวจัดการเครือข่าย

ตัวจัดการเครือข่ายเป็นไอคอนในแถบแผงที่ด้านบน (ปัจจุบันคือลูกศรขึ้น / ลง) คุณจะต้องมีจำนวนบรรทัดออกจากclient.ovpnไฟล์เพื่อเปิดในตัวแก้ไขสำหรับการอ้างอิง

นี่คือตัวอย่างclient.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

คลิกที่ไอคอนผู้จัดการเครือข่าย
เลือกการเชื่อมต่อ VPN-> กำหนดค่า VPN ...
เลือกเพิ่ม
เลือกแท็บ VPN
สำหรับใบรับรองผู้ใช้เลือกไฟล์ client.crt (จากcertบรรทัด)
สำหรับใบรับรอง CA ให้เลือกไฟล์ ca.crt (จากcaบรรทัด)
สำหรับไพรเวตคีย์เลือกไฟล์ client.pem (จากkeyบรรทัด)
สำหรับการตั้งค่าของฉันฉันต้องตั้งค่าประเภทเป็นPassword with Certificates (TLS)(จากauth-user-passบรรทัด)
Gatewayมาจากremoteสาย คุณต้องคัดลอกชื่อเซิร์ฟเวอร์หรือที่อยู่ IP ในตัวอย่างนี้ "1.2.3.4"

การตั้งค่าที่เหลืออยู่ในพื้นที่ขั้นสูง (ปุ่มขั้นสูงที่ด้านล่าง) ในแท็บทั่วไป:

Use custom gateway portใช้หมายเลขสุดท้ายจากremoteบรรทัด ในตัวอย่างนี้ "1,000"
Use TCP connectionมาจากprotoสาย ในกรณีนี้ tcp-client

ภายใต้แท็บความปลอดภัย:

Cipherมาจากcipherสาย (ในตัวอย่างนี้ AES-256-CBC)
'การรับรองความถูกต้อง HMAC' มาจากauthบรรทัด (ในตัวอย่างนี้ SHA1)

ใต้แท็บการรับรองความถูกต้อง TLS:

Subject Matchมาจากบรรทัด `tls-remote ' (ในตัวอย่างนี้ / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

ฉันต้องตรวจสอบ "ใช้การเชื่อมต่อนี้เฉพาะกับทรัพยากรบนเครือข่ายของตน" ภายใต้แท็บการตั้งค่า IPv4 ภายใต้ปุ่ม "เส้นทาง ... "

อาจจำเป็นต้องติดตั้งสิ่งต่าง ๆ เพิ่มเติมขึ้นอยู่กับการตั้งค่า SSL ของ Firebox แต่หวังว่าจะเป็นจุดเริ่มต้น นอกจากนี้คุณอาจต้องการดูบันทึก sys หากคุณมีปัญหา (tail -fn0 / var / log / syslog)

— พอลฮัทชินสัน
แหล่งที่มา

5

พระมารดาของ .. นั่นเป็นคำตอบที่น่าประทับใจสำหรับผู้ใช้ใหม่ ยินดีต้อนรับสู่เว็บไซต์!

— pauska

1

สิ่งนี้ใช้ได้กับ Ubuntu 13.04 หลังจาก "ขั้นตอนที่ 3 เพิ่ม" เลือก "นำเข้าการกำหนดค่า VPN ที่บันทึกไว้" จากรายการแบบเลื่อนลงและชี้ไปที่ client.opvn สิ่งนี้จะเติมในทุกฟิลด์โดยอัตโนมัติ

— Pete SupportMonica

2

ข้อกำหนดของซอฟต์แวร์

sudo apt-get install network-manager-openvpn-gnome

หรือเรียบง่าย:

sudo apt-get install openvpn

รับใบรับรอง & กำหนดค่า

สำหรับอุปกรณ์ Watchguard XTM ที่ใช้ 11.8+

ปรากฏว่าหน้าhttps: //yourrouter.tld/sslvpn.htmlที่ใช้ในการรับลูกค้า windows ตอนนี้ยังรวมถึงการดาวน์โหลดการกำหนดค่าทั่วไป ovpn บันทึกขั้นตอนในการแก้ปัญหา เพียงเข้าสู่ระบบและไปที่ไดเรกทอรีนั้นเพื่อรับไฟล์การกำหนดค่าของคุณ ขอแสดงความยินดีกับความเท่าเทียมกันระหว่าง windows และ mac ของคุณ

ข้ามไปที่ขั้นตอน "สร้างการเชื่อมต่อ VPN ใหม่"

สำหรับอุปกรณ์ Watchguard XTM ที่รัน 11.7 หรือน้อยกว่า

สามารถดึงข้อมูลเหล่านี้ได้โดยตรงจากไฟร์วอลล์ (แทนที่เซิร์ฟเวอร์ด้วยตัวคุณเอง):

https://watchguard_server and authenticate to the firewallไปที่
ไปที่ https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

อีกทางหนึ่ง (ฉันเชื่อว่านี่ปลอดภัยน้อยกว่าเพราะรหัสผ่านถูกส่งไปตามคำขอ) (แทนที่เซิร์ฟเวอร์ผู้ใช้และส่งด้วยตัวคุณเอง):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

ย้าย client.wgssl ไปยังตำแหน่งที่คุณต้องการจัดเก็บการกำหนดค่าและ certs บางที / etc / openvpn นี่จะทาให้ระเบิดคุณดังนั้นคุณจะต้องสร้างโฟลเดอร์เพื่อแยกมันออกมา

วิ่ง tar zxvf client.wgssl

สร้างการเชื่อมต่อ VPN ใหม่

เปิดการเชื่อมต่อเครือข่ายและเพิ่มใหม่ สำหรับประเภทภายใต้ VPN ให้เลือก "นำเข้าการกำหนดค่า VPN ที่บันทึกไว้ ... " เรียกดูไฟล์ client.ovpn ในโฟลเดอร์ที่คุณคลายบีบอัดไคลเอนต์ wgssl

เพิ่มข้อมูลรับรอง

แก้ไขการเชื่อมต่อที่สร้างขึ้นใหม่เพื่อรวมชื่อผู้ใช้และรหัสผ่านของคุณหรือตั้งรหัสผ่านเป็น "ถามตลอด"

คำเตือน: รหัสผ่านจะถูกบันทึกในการเข้ารหัสที่สามารถย้อนกลับได้

ปรับเครือข่าย

หากคุณไม่ต้องการให้ VPN รับการรับส่งข้อมูลทั้งหมดเพียงแค่การรับส่งข้อมูลไปยังตำแหน่งที่ตั้งระยะไกลให้ไปที่แท็บการตั้งค่า IPv4 -> เส้นทางและตรวจสอบ "ใช้การเชื่อมต่อนี้สำหรับทรัพยากรในเครือข่ายเท่านั้น"

— โจรสลัดโกรธ
แหล่งที่มา

คำเตือน YMMV: ดูเหมือนว่าวิธีการ 2 ขั้นตอนของฉันสำหรับการกำหนดค่าอาจไม่ทำงานเช่นเดียวกับเฟิร์มแวร์ XTM รุ่นเก่ากว่า การมาที่พอร์ต 4100 ครั้งแรกของฉันทำให้ฉันตรวจสอบสิทธิ์อีกครั้ง แต่การวางลิงก์เดิมเป็นครั้งที่สองหลังจากตรวจสอบสิทธิ์พอร์ต 4100 แล้ว

— flickerfly

ฉันยังไม่พบวิธีการทำเช่นนี้กับผู้จัดการเครือข่าย ฉันเชื่อว่าเป็นหลักเพราะ 'remote-cert-eku "การตรวจสอบความถูกต้องของเซิร์ฟเวอร์เว็บ TLS" " ฉันใช้คำสั่ง 'openvpn --config client.ovpn' ในเวลาเฉลี่ย น่ารำคาญ แต่มันทำให้งานเสร็จโดยเฉพาะถ้าคุณตั้งมันเป็นนามแฝงทุบตี

— flickerfly

0

ทำตามคำแนะนำเหล่านี้ - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false ทดสอบใน Ubuntu 11 และ Fedora 15 พร้อม XTM 11.x

— user85859
แหล่งที่มา

1

โปรดใส่บทสรุปของคำแนะนำแทนเพียงแค่ลิงค์ ลิงค์จะเปลี่ยนแปลงตลอดเวลาและหาก / เมื่อคำตอบนี้ไม่มีประโยชน์

— squillman

0

ขอบคุณพวกคุณฉันเพิ่งลองขั้นตอนที่อธิบายไว้ในไซต์ Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

ฉันเขียนสคริปต์เพื่อเริ่มการเชื่อมต่อและใช้งานได้ดี

— minja
แหล่งที่มา

ยินดีต้อนรับสู่ Server Fault! ในขณะที่สิ่งนี้อาจตอบคำถามในทางทฤษฎีมันก็ควรที่จะรวมส่วนที่สำคัญของคำตอบที่นี่และให้ลิงค์สำหรับการอ้างอิง

— Scott Pack

มีวิธีการเชื่อมต่อกับ VPN ของ WatchGuard จาก Linux หรือไม่?