WatchGuard chính thức có ứng dụng khách chỉ dành cho Windows và Mac. Nhưng tôi thấy rằng nó sử dụng openvpn trong nội bộ. Tôi không thể kết nối với WG từ Linux.

Có ai đó thực sự làm việc này? Làm sao?

Dưới đây là những gì tôi đã làm để cho SSL VPN WatchGuard / Firebox hoạt động trên Ubuntu 11.10:

Lấy các tập tin cần thiết

Bạn sẽ cần các tệp sau:

• ca.crt
• khách hàng
• client.pem
• khách hàng.ovpn

Từ máy tính Windows

Bạn sẽ cần truy cập vào một máy tính cửa sổ mà bạn có thể cài đặt ứng dụng khách của họ.

1. Thực hiện theo các hướng dẫn để cài đặt khách hàng của họ.
2. Đăng nhập lần đầu tiên (điều này sẽ tạo ra một số tệp trong thư mục WatchGuard)
3. Sao chép các tệp từ thư mục WatchGuard
   • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
   • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
4. Những cái quan trọng là ca.crt, client.crt, client.pem và client.ovpn (lưu ý client.pem có thể một cái gì đó khác kết thúc bằng .key).
5. Sao chép các tệp này vào hệ thống Ubuntu của bạn.

Từ hộp SSL Firebox

Đây là từ trang Watchguard. Tôi đã không thử các hướng dẫn này trực tiếp nhưng chúng có vẻ hợp lý.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/ledgeledgeHome&popup=false

Từ tài liệu của họ:

1. Khởi động Trình quản lý hệ thống WatchGuard và kết nối với thiết bị Firebox hoặc XTM của bạn.
2. Bắt đầu quản lý hệ thống Firebox.
3. Nhấp vào tab Báo cáo trạng thái.
4. Nhấp vào Hỗ trợ, nằm ở góc dưới bên phải của cửa sổ.
5. Bấm Duyệt để chọn đường dẫn trên máy tính của bạn nơi bạn muốn lưu tệp hỗ trợ. Nhấp vào Lấy. Đợi trong khi tệp hỗ trợ của bạn được tải xuống từ Firebox. Điều này có thể mất đến 20-30 giây. Một hộp thoại xuất hiện để cho bạn biết khi quá trình tải xuống hoàn tất. Theo mặc định, tệp hỗ trợ có tên như 192.168.111.1_support.tgz.
6. Giải nén tệp hỗ trợ đến một vị trí trên máy tính mà bạn có quyền truy cập dễ dàng.
7. Giải nén tệp Fireware_XTM_support.tgz có trong tệp gốc vào cùng một vị trí.

Phần mềm cần thiết trên Ubuntu

Bạn sẽ cần cài đặt một số gói để kết nối từ Ubuntu (điều này giả sử phiên bản dành cho máy tính để bàn, mọi thứ có thể khác với phiên bản máy chủ).

• openvpn (Có khả năng đã được cài đặt)
  • sudo apt-get install openvpn
• quản lý mạng mở vpn cắm vào
  • sudo apt-get install network-manager-openvpn
• Plugin OpenVPN của Trình quản lý mạng cho Gnome (cần thiết kể từ Ubuntu 12.04)
  • sudo apt-get install network-manager-openvpn-gnome

Kiểm tra từ dòng lệnh

Bạn có thể kiểm tra xem kết nối có hoạt động từ dòng lệnh không. Bạn không phải làm điều này nhưng nó có thể làm cho mọi thứ dễ dàng hơn.

Từ thư mục bạn đã sao chép các tập tin config / crt:

sudo openvpn --config client.ovpn

Thiết lập trình quản lý mạng

Trình quản lý mạng là biểu tượng trong thanh bảng ở trên cùng (hiện tại là mũi tên lên / xuống). Bạn sẽ cần một số dòng trong client.ovpntệp để mở nó trong trình chỉnh sửa để tham khảo.

Đây là một ví dụ client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

1. Nhấp vào biểu tượng quản lý mạng
2. Chọn Kết nối VPN-> Cấu hình VPN ...
3. Chọn Thêm.
4. Chọn tab VPN
5. Đối với Chứng chỉ người dùng, chọn tệp client.crt (từ certdòng)
6. Đối với Chứng chỉ CA, chọn tệp ca.crt (từ cadòng)
7. Đối với Khóa riêng, chọn tệp client.pem. (từ keydòng)
8. Đối với thiết lập của tôi, tôi cũng cần phải đặt loại thành Password with Certificates (TLS)(từ auth-user-passdòng).
9. Gatewayxuất phát từ remotedòng Bạn cần sao chép tên máy chủ hoặc địa chỉ IP. Trong ví dụ này "1.2.3.4"

Phần còn lại của cài đặt nằm trong khu vực Nâng cao (nút nâng cao ở phía dưới). Trong tab Chung:

1. Use custom gateway portsử dụng số cuối cùng từ remotedòng. Trong ví dụ này "1000"
2. Use TCP connectionđến từ protodòng Trong trường hợp này tcp-client.

Trong tab Bảo mật:

1. Cipherxuất phát từ cipherdòng (Trong ví dụ này AES-256-CBC)
2. 'Xác thực HMAC' xuất phát từ authdòng. (Trong ví dụ này SHA1)

Trong tab Xác thực TLS:

1. Subject Matchđến từ dòng `tls-remote '. (Trong ví dụ này / O = WatchGuard_Technologists / OU = Fireware / CN = Fireware_SSLVPN_Server)

Tôi cũng cần kiểm tra "chỉ sử dụng kết nối này cho tài nguyên trên mạng của nó" trong tab Cài đặt IPv4 trong nút "Tuyến đường ...".

Có thể cần nhiều hơn để thiết lập mọi thứ tùy thuộc vào cách thiết lập SSL Firebox nhưng hy vọng điều này sẽ giúp ích như một điểm khởi đầu. Ngoài ra, bạn có thể muốn xem nhật ký hệ thống nếu bạn gặp sự cố (tail -fn0 / var / log / syslog)

Yêu cầu phần mềm

sudo apt-get install network-manager-openvpn-gnome

hoặc cho tối giản:

sudo apt-get install openvpn

Nhận chứng chỉ & cấu hình

Đối với các thiết bị Watchguard XTM chạy 11.8+

Dường như trang https: //yourrouter.tld/sslvpn.html được sử dụng để lấy ứng dụng khách Windows giờ cũng bao gồm tải xuống cấu hình ovpn chung lưu các bước trong cách giải quyết. Chỉ cần đăng nhập và vào thư mục đó để lấy tập tin cấu hình của bạn. Chúc mừng bạn đã bình đẳng với bạn bè windows và mac của bạn.

Bỏ qua bước "Tạo kết nối VPN mới".

Đối với các thiết bị Watchguard XTM chạy 11.7 trở xuống

Chúng có thể được lấy trực tiếp từ tường lửa (thay thế máy chủ bằng máy chủ của bạn):

1. Tới https://watchguard_server and authenticate to the firewall.
2. Đi đến https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Luân phiên (tôi tin rằng điều này kém an toàn hơn vì mật khẩu được gửi trong yêu cầu) (thay thế máy chủ, người dùng và vượt qua bằng chính bạn):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Di chuyển client.wgssl đến nơi bạn muốn lưu trữ cấu hình và certs, có lẽ / etc / openvpn. Điều này sẽ đánh bom bạn, vì vậy bạn sẽ muốn tạo thư mục để giải nén.

Chạy tar zxvf client.wgssl

Tạo kết nối VPN mới

Mở kết nối mạng và thêm mới. Đối với loại, trong VPN, chọn "Nhập cấu hình VPN đã lưu ..." Duyệt tìm tệp client.ovpn trong thư mục bạn đã trích xuất client.wgssl.

Thêm thông tin đăng nhập

Chỉnh sửa kết nối mới được tạo để bao gồm tên người dùng và mật khẩu của bạn hoặc đặt mật khẩu thành "Luôn hỏi".

Cảnh báo: Mật khẩu được lưu trong mã hóa có thể đảo ngược.

Điều chỉnh mạng

Nếu bạn không muốn VPN chiếm lấy tất cả lưu lượng truy cập của mình, chỉ cần lưu lượng truy cập đến vị trí từ xa sẽ chuyển đến tab Cài đặt IPv4 -> Tuyến đường và kiểm tra "Chỉ sử dụng kết nối này cho tài nguyên trên mạng của nó"

Thực hiện theo các hướng dẫn sau - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/ledgeledgeHome&popup=false Đã thử nghiệm trong Ubuntu 11 và Fedora 15 với XTM 11.x

Cảm ơn các bạn, tôi vừa thử một quy trình được mô tả trên trang Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/ledgeledgeHome&popup=false )

Tôi đã viết một kịch bản để khởi chạy kết nối và nó hoạt động tốt.