¿Hay alguna forma real de conectarse a la VPN de WatchGuard desde Linux?

21

WatchGuard oficialmente tiene clientes solo para Windows y Mac. Pero veo que usa openvpn internamente. No pude conectarme a WG desde Linux.

¿Hay alguien que realmente haga funcionar esto? ¿Cómo?


fuente

Respuestas:

28

Esto es lo que hice para que WatchGuard / Firebox SSL VPN funcionara en Ubuntu 11.10:

Obteniendo los archivos necesarios

Necesitará los siguientes archivos:

  • ca.crt
  • cliente.crt
  • cliente.pem
  • cliente.ovpn

Desde una computadora con Windows

Necesitará acceso a una computadora con ventana en la que pueda instalar su cliente.

  1. Siga las instrucciones para instalar su cliente.
  2. Inicie sesión por primera vez (esto creará una serie de archivos en el directorio WatchGuard)
  3. Copie los archivos del directorio WatchGuard
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. Los importantes son ca.crt, client.crt, client.pem y client.ovpn (tenga en cuenta que client.pem tal vez sea otra cosa que termine en .key).
  5. Copie estos archivos a su sistema Ubuntu.

Desde el cuadro SSL de Firebox

Esto es del sitio de Watchguard. No he probado estas instrucciones directamente pero parecen razonables.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

De su documento:

  1. Inicie WatchGuard System Manager y conéctese a su dispositivo Firebox o XTM.
  2. Inicie el Administrador del sistema de Firebox.
  3. Haga clic en la pestaña Informe de estado.
  4. Haga clic en Soporte, ubicado en la esquina inferior derecha de la ventana.
  5. Haga clic en Examinar para seleccionar la ruta en su computadora donde desea guardar el archivo de soporte. Haz clic en Recuperar. Espere mientras se descarga su archivo de soporte de Firebox. Esto puede tomar hasta 20-30 segundos. Aparece un cuadro de diálogo para indicarle cuándo se completa la descarga. Por defecto, el archivo de soporte tiene un nombre como 192.168.111.1_support.tgz.
  6. Descomprima el archivo de soporte en una ubicación de su computadora a la que tenga fácil acceso.
  7. Descomprima el archivo Fireware_XTM_support.tgz contenido en el archivo original en la misma ubicación.

Software necesario en Ubuntu

Necesitará instalar varios paquetes para conectarse desde Ubuntu (esto supone la versión de escritorio, es probable que las cosas sean diferentes para la versión del servidor).

  • openvpn (Probablemente ya instalado)
    • sudo apt-get install openvpn
  • red-manager abierto vpn plug in
    • sudo apt-get install network-manager-openvpn
  • Complemento de Network Manager OpenVPN para Gnome (necesario a partir de Ubuntu 12.04)
    • sudo apt-get install network-manager-openvpn-gnome

Prueba desde la línea de comando

Puede probar si la conexión funciona desde la línea de comando. No tiene que hacer esto, pero puede facilitar las cosas.

Desde el directorio que copió los archivos config / crt:

sudo openvpn --config client.ovpn

Configurar administrador de red

El administrador de red es el icono en la barra del panel en la parte superior (actualmente las flechas arriba / abajo). Necesitará varias líneas fuera del client.ovpnarchivo, así que ábralo en un editor como referencia.

Este es un ejemplo client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. Haga clic en el ícono de administrador de red
  2. Seleccione Conexiones VPN-> Configurar VPN ...
  3. Selecciona Agregar.
  4. Seleccione la pestaña VPN
  5. Para el Certificado de usuario, seleccione el archivo client.crt (de la certlínea)
  6. Para el certificado de CA, seleccione el archivo ca.crt (de la calínea)
  7. Para la clave privada, seleccione el archivo client.pem. (desde la keylínea)
  8. Para mi configuración, también necesitaba establecer el tipo en Password with Certificates (TLS)(desde la auth-user-passlínea).
  9. Gatewayviene de la remotelinea. Debe copiar el nombre del servidor o la dirección IP. En este ejemplo "1.2.3.4"

El resto de la configuración está en el área Avanzado (el botón avanzado en la parte inferior). En la pestaña General:

  1. Use custom gateway portusa el último número de la remotelínea. En este ejemplo "1000"
  2. Use TCP connectionVen de la protolínea. En este caso tcp-client.

Debajo de la pestaña Seguridad:

  1. Cipherviene de la cipherlinea. (En este ejemplo, AES-256-CBC)
  2. 'Autenticación HMAC' viene de la authlínea. (En este ejemplo SHA1)

Debajo de la pestaña Autenticación TLS:

  1. Subject Matchproviene de la línea 'tls-remote'. (En este ejemplo / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

También necesitaba marcar "usar esta conexión solo para recursos en su red" en la pestaña Configuración de IPv4 debajo del botón "Rutas ...".

Tal vez se necesite más para configurar las cosas dependiendo de cómo se configure Firebox SSL, pero con suerte esto ayudará como punto de partida. También es posible que desee ver el registro del sistema si tiene problemas (tail -fn0 / var / log / syslog)

Paul Hutchinson
fuente
55
Santa madre de ... esa es una respuesta bastante impresionante para un nuevo usuario. Bienvenido al sitio!
Pauska
1
Esto funciona en Ubuntu 13.04. Después del "Paso 3- Agregar", elija "Importar una configuración VPN guardada" del menú desplegable y apúntelo a client.opvn. Esto llena todos los campos automáticamente.
Pete SupportMonica
2

Requisitos de Software

sudo apt-get install network-manager-openvpn-gnome

o para el minimalista:

sudo apt-get install openvpn

Obtenga los certificados y la configuración

Para dispositivos Watchguard XTM con 11.8+

Parece que la página https: //yourrouter.tld/sslvpn.html que se utiliza para recoger el cliente de Windows ahora también incluye una descarga de configuración genérica de ovpn que guarda los pasos de la solución. Simplemente inicie sesión y vaya a ese directorio para obtener su archivo de configuración. Felicitaciones por ser igual a tus amigos de Windows y Mac.

Salte al paso "Crear nueva conexión VPN".

Para dispositivos Watchguard XTM con 11.7 o menos

Estos se pueden recuperar directamente desde el firewall (reemplace el servidor con el suyo):

  1. Ir a https://watchguard_server and authenticate to the firewall.
  2. Ir https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternativamente (creo que esto es menos seguro porque la contraseña se envía en la solicitud) (reemplace el servidor, usuario y pase con el suyo):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Mueva client.wgssl al lugar donde desea almacenar la configuración y los certificados, tal vez / etc / openvpn. Esto lo bombardeará, por lo que querrá crear la carpeta para extraerlo.

correr tar zxvf client.wgssl

Crear nueva conexión VPN

Abra las conexiones de red y agregue nuevo. Para el tipo, en VPN, seleccione "Importar una configuración VPN guardada ..." Busque el archivo client.ovpn en la carpeta que extrajo client.wgssl.

Agregar credenciales

Edite la conexión recién creada para incluir su nombre de usuario y contraseña, o establezca la contraseña en "Preguntar siempre".

Advertencia: la contraseña se guarda en un cifrado que se puede revertir.

Ajustar redes

Si no desea que la VPN se haga cargo de todo su tráfico, solo el tráfico que va a la ubicación remota vaya a la pestaña Configuración de IPv4 -> Rutas y marque "Usar esta conexión solo para recursos en su red"

Pirata furioso
fuente
Advertencia de YMMV: Parece que mi método de 2 pasos para obtener la configuración puede no funcionar tan bien en versiones anteriores del firmware XTM. Mi primera visita al puerto 4100 me hizo autenticar nuevamente, pero pegar el mismo enlace por segunda vez después de que la autenticación en el puerto 4100 funcionó.
flickerfly
Todavía tengo que encontrar una manera de hacer esto con Network Manager. Creo principalmente debido a la "autenticación de servidor web TLS" remote-cert-eku "". He estado usando el comando 'openvpn --config client.ovpn' mientras tanto. Molesto, pero hace el trabajo especialmente si lo configura como un alias bash.
flickerfly