LinuxからWatchGuard VPNに接続する実際の方法はありますか?
WatchGuardは、WindowsおよびMacのクライアントのみを公式に提供しています。しかし、内部でopenvpnを使用していることがわかります。 LinuxからWGに接続できませんでした。
実際にこれを機能させる人はいますか?どうやって?
WatchGuard/Firebox SSL VPNをUbuntu 11.10で動作させるために私がしたことは次のとおりです。
必要なファイルを取得する
次のファイルが必要になります。
- およそ
- client.crt
- client.pem
- client.ovpn
Windowsコンピューターから
クライアントをインストールできるウィンドウコンピュータにアクセスする必要があります。
- クライアントのインストール手順に従います。
- 初めてログインする(これにより、WatchGuardディレクトリに多数のファイルが作成されます)
- WatchGuardディレクトリからファイルをコピーします
- Windows XP:_
C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
_ - Windows Vista/7:_
C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
_
- Windows XP:_
- 重要なものは、ca.crt、client.crt、client.pem、およびclient.ovpnです(client.pemが.keyで終わっているものに注意してください)。
- これらのファイルをUbuntuシステムにコピーします。
Firebox SSLボックスから
これはWatchguardサイトからです。私はこれらの指示を直接試していませんが、合理的に見えます。
http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false
彼らの文書から:
- WatchGuard System Managerを起動し、FireboxまたはXTMデバイスに接続します。
- Firebox System Managerを起動します。
- [ステータスレポート]タブをクリックします。
- ウィンドウの右下隅にある[サポート]をクリックします。
- [参照]をクリックして、サポートファイルを保存するコンピューター上のパスを選択します。 「取得」をクリックします。サポートファイルがFireboxからダウンロードされるまで待ちます。これには、20〜30秒かかる場合があります。ダウンロードが完了すると、ダイアログボックスが表示されます。デフォルトでは、サポートファイルの名前は192.168.111.1_support.tgzのようになります。
- サポートファイルをコンピュータ上の簡単にアクセスできる場所に解凍します。
- 元のファイルに含まれているFireware_XTM_support.tgzファイルを同じ場所に解凍します。
Ubuntuで必要なソフトウェア
Ubuntuから接続するには、いくつかのパッケージをインストールする必要があります(これは、デスクトップバージョンを想定しているため、サーバーバージョンでは異なる可能性があります)。
- openvpn(おそらく既にインストールされています)
- _
Sudo apt-get install openvpn
_
- _
- network-manager open vpn plug in
- _
Sudo apt-get install network-manager-openvpn
_
- _
- Gnome用のNetwork Manager OpenVPNプラグイン(Ubuntu 12.04以降で必要)
- _
Sudo apt-get install network-manager-openvpn-gnome
_
- _
コマンドラインからのテスト
コマンドラインから接続が機能しているかどうかをテストできます。これを行う必要はありませんが、簡単になる場合があります。
Config/crtファイルをコピーしたディレクトリから:
_Sudo openvpn --config client.ovpn
_
ネットワークマネージャーの設定
ネットワークマネージャーは、上部のパネルバーにあるアイコンです(現在は上/下矢印)。 _client.ovpn
_ファイルには数行が必要なので、参照用にエディターで開きます。
これは_client.ovpn
_の例です:
_dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
_
- ネットワークマネージャのアイコンをクリックします
- 「VPN接続」->「VPNの構成...」を選択します。
- 追加を選択します。
- [VPN]タブを選択します
- [ユーザー証明書]でclient_crtファイルを選択します(
cert
行から) - CA証明書については、ca.crtファイルを選択します(
ca
行から) - 秘密鍵にはclient.pemファイルを選択します。 (
key
行から) - 私のセットアップでは、タイプを
Password with Certificates (TLS)
に設定する必要もありました(_auth-user-pass
_行から)。 Gateway
はremote
行から取得されます。サーバー名またはIPアドレスをコピーする必要があります。この例では「1.2.3.4」
残りの設定は[詳細]領域(下部の[詳細]ボタン)にあります。 [全般]タブ:
- _
Use custom gateway port
_は、remote
行の最後の数値を使用します。この例では「1000」 - _
Use TCP connection
_はproto
行から取得されます。この場合はtcp-clientです。
[セキュリティ]タブで:
Cipher
はcipher
行から取得されます。 (この例ではAES-256-CBC)- 「HMAC認証」は
auth
行から取得されます。 (この例ではSHA1)
[TLS認証]タブの下:
- _
Subject Match
_は `tls-remote '行から来ています。 (この例では、/ O = WatchGuard_Technologies/OU = Fireware/CN = Fireware_SSLVPN_Server)
また、[ルート...]ボタンの下の[IPv4設定]タブで[この接続をネットワーク上のリソースにのみ使用する]をオンにする必要がありました。
Firebox SSLのセットアップ方法によっては、セットアップがさらに必要になる場合がありますが、これが出発点として役立つことを願っています。また、問題がある場合は、sysログを監視することもできます(tail -fn0/var/log/syslog)。
ソフトウェア要件
Sudo apt-get install network-manager-openvpn-gnome
またはミニマリストの場合:
Sudo apt-get install openvpn
証明書と構成を取得する
11.8以降を実行しているWatchguard XTMデバイスの場合
Windowsクライアントのピックアップに使用される https://yourrouter.tld/sslvpn.html ページには、回避策の手順を保存する一般的なovpn構成のダウンロードも含まれているようです。ログインしてそのディレクトリに移動し、構成ファイルを取得します。お使いのWindowsとMacの仲間と同じであることを祝福します。
「新しいVPN接続の作成」の手順までスキップします。
11.7以下を実行しているWatchguard XTMデバイスの場合
これらはファイアウォールから直接取得できます(サーバーを独自のものに置き換えます)。
https://watchguard_server and authenticate to the firewall
にアクセスします。https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl
に移動
代わりに(パスワードはリクエストで送信されるため、これは安全性が低いと思います)(サーバー、ユーザーを置き換え、自分のもので渡す):
https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass
Client.wgsslを、構成および証明書を保管する場所(おそらく/ etc/openvpn)に移動します。これはタール爆弾になるので、解凍先のフォルダーを作成します。
tar zxvf client.wgssl
を実行します
新しいVPN接続を作成する
ネットワーク接続を開き、新規追加します。タイプについては、VPNで[保存されたVPN構成をインポート...]を選択します。client.wgsslを抽出したフォルダーでclient.ovpnファイルを参照します。
資格情報を追加する
新しく作成した接続を編集してユーザー名とパスワードを含めるか、パスワードを「常に確認」に設定します。
警告:パスワードは暗号化して保存され、元に戻すことができます。
ネットワークを調整する
VPNがすべてのトラフィックを引き継ぐことを望まない場合は、リモートの場所に向かうトラフィックだけがIPv4の[設定]タブ-> [ルート]に移動し、[この接続をネットワーク上のリソースにのみ使用する]をオンにします
次の手順に従ってください- http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Ubuntu 11およびFedora 15とXTM 11.xでテスト済み
皆さんありがとう、私はWatchguardサイトで説明されている手順を試してみました( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )
接続を開始するためのスクリプトを書いたところ、問題なく動作しました。