web-dev-qa-db-ja.com

LinuxからWatchGuard VPNに接続する実際の方法はありますか?

WatchGuardは、WindowsおよびMacのクライアントのみを公式に提供しています。しかし、内部でopenvpnを使用していることがわかります。 LinuxからWGに接続できませんでした。

実際にこれを機能させる人はいますか?どうやって?

linuxopenvpnwatchguard
22
Sergey Kirienko

WatchGuard/Firebox SSL VPNをUbuntu 11.10で動作させるために私がしたことは次のとおりです。

必要なファイルを取得する

次のファイルが必要になります。

  • およそ
  • client.crt
  • client.pem
  • client.ovpn

Windowsコンピューターから

クライアントをインストールできるウィンドウコンピュータにアクセスする必要があります。

  1. クライアントのインストール手順に従います。
  2. 初めてログインする(これにより、WatchGuardディレクトリに多数のファイルが作成されます)
  3. WatchGuardディレクトリからファイルをコピーします
    • Windows XP:_C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\_
    • Windows Vista/7:_C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\_
  4. 重要なものは、ca.crt、client.crt、client.pem、およびclient.ovpnです(client.pemが.keyで終わっているものに注意してください)。
  5. これらのファイルをUbuntuシステムにコピーします。

Firebox SSLボックスから

これはWatchguardサイトからです。私はこれらの指示を直接試していませんが、合理的に見えます。

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

彼らの文書から:

  1. WatchGuard System Managerを起動し、FireboxまたはXTMデバイスに接続します。
  2. Firebox System Managerを起動します。
  3. [ステータスレポート]タブをクリックします。
  4. ウィンドウの右下隅にある[サポート]をクリックします。
  5. [参照]をクリックして、サポートファイルを保存するコンピューター上のパスを選択します。 「取得」をクリックします。サポートファイルがFireboxからダウンロードされるまで待ちます。これには、20〜30秒かかる場合があります。ダウンロードが完了すると、ダイアログボックスが表示されます。デフォルトでは、サポートファイルの名前は192.168.111.1_support.tgzのようになります。
  6. サポートファイルをコンピュータ上の簡単にアクセスできる場所に解凍します。
  7. 元のファイルに含まれているFireware_XTM_support.tgzファイルを同じ場所に解凍します。

Ubuntuで必要なソフトウェア

Ubuntuから接続するには、いくつかのパッケージをインストールする必要があります(これは、デスクトップバージョンを想定しているため、サーバーバージョンでは異なる可能性があります)。

  • openvpn(おそらく既にインストールされています)
    • _Sudo apt-get install openvpn_
  • network-manager open vpn plug in
    • _Sudo apt-get install network-manager-openvpn_
  • Gnome用のNetwork Manager OpenVPNプラグイン(Ubuntu 12.04以降で必要)
    • _Sudo apt-get install network-manager-openvpn-gnome_

コマンドラインからのテスト

コマンドラインから接続が機能しているかどうかをテストできます。これを行う必要はありませんが、簡単になる場合があります。

Config/crtファイルをコピーしたディレクトリから:

_Sudo openvpn --config client.ovpn
_

ネットワークマネージャーの設定

ネットワークマネージャーは、上部のパネルバーにあるアイコンです(現在は上/下矢印)。 _client.ovpn_ファイルには数行が必要なので、参照用にエディターで開きます。

これは_client.ovpn_の例です:

_dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
_
  1. ネットワークマネージャのアイコンをクリックします
  2. 「VPN接続」->「VPNの構成...」を選択します。
  3. 追加を選択します。
  4. [VPN]タブを選択します
  5. [ユーザー証明書]でclient_crtファイルを選択します(cert行から)
  6. CA証明書については、ca.crtファイルを選択します(ca行から)
  7. 秘密鍵にはclient.pemファイルを選択します。 (key行から)
  8. 私のセットアップでは、タイプをPassword with Certificates (TLS)に設定する必要もありました(_auth-user-pass_行から)。
  9. Gatewayremote行から取得されます。サーバー名またはIPアドレスをコピーする必要があります。この例では「1.2.3.4」

残りの設定は[詳細]領域(下部の[詳細]ボタン)にあります。 [全般]タブ:

  1. _Use custom gateway port_は、remote行の最後の数値を使用します。この例では「1000」
  2. _Use TCP connection_はproto行から取得されます。この場合はtcp-clientです。

[セキュリティ]タブで:

  1. Ciphercipher行から取得されます。 (この例ではAES-256-CBC)
  2. 「HMAC認証」はauth行から取得されます。 (この例ではSHA1)

[TLS認証]タブの下:

  1. _Subject Match_は `tls-remote '行から来ています。 (この例では、/ O = WatchGuard_Technologies/OU = Fireware/CN = Fireware_SSLVPN_Server)

また、[ルート...]ボタンの下の[IPv4設定]タブで[この接続をネットワーク上のリソースにのみ使用する]をオンにする必要がありました。

Firebox SSLのセットアップ方法によっては、セットアップがさらに必要になる場合がありますが、これが出発点として役立つことを願っています。また、問題がある場合は、sysログを監視することもできます(tail -fn0/var/log/syslog)。

28
Paul Hutchinson

ソフトウェア要件

Sudo apt-get install network-manager-openvpn-gnome

またはミニマリストの場合:

Sudo apt-get install openvpn

証明書と構成を取得する

11.8以降を実行しているWatchguard XTMデバイスの場合

Windowsクライアントのピックアップに使用される https://yourrouter.tld/sslvpn.html ページには、回避策の手順を保存する一般的なovpn構成のダウンロードも含まれているようです。ログインしてそのディレクトリに移動し、構成ファイルを取得します。お使いのWindowsとMacの仲間と同じであることを祝福します。

「新しいVPN接続の作成」の手順までスキップします。

11.7以下を実行しているWatchguard XTMデバイスの場合

これらはファイアウォールから直接取得できます(サーバーを独自のものに置き換えます)。

  1. https://watchguard_server and authenticate to the firewallにアクセスします。
  2. https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgsslに移動

代わりに(パスワードはリクエストで送信されるため、これは安全性が低いと思います)(サーバー、ユーザーを置き換え、自分のもので渡す):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Client.wgsslを、構成および証明書を保管する場所(おそらく/ etc/openvpn)に移動します。これはタール爆弾になるので、解凍先のフォルダーを作成します。

tar zxvf client.wgsslを実行します

新しいVPN接続を作成する

ネットワーク接続を開き、新規追加します。タイプについては、VPNで[保存されたVPN構成をインポート...]を選択します。client.wgsslを抽出したフォルダーでclient.ovpnファイルを参照します。

資格情報を追加する

新しく作成した接続を編集してユーザー名とパスワードを含めるか、パスワードを「常に確認」に設定します。

警告:パスワードは暗号化して保存され、元に戻すことができます。

ネットワークを調整する

VPNがすべてのトラフィックを引き継ぐことを望まない場合は、リモートの場所に向かうトラフィックだけがIPv4の[設定]タブ-> [ルート]に移動し、[この接続をネットワーク上のリソースにのみ使用する]をオンにします

2
Irate Pirate

次の手順に従ってください- http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Ubuntu 11およびFedora 15とXTM 11.xでテスト済み

0
user85859

皆さんありがとう、私はWatchguardサイトで説明されている手順を試してみました( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

接続を開始するためのスクリプトを書いたところ、問題なく動作しました。

0
Minja