服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 有没有一种真正的方法从Linux连接到WatchGuard的VPN?
Intereting Posts
排查木偶安装顺序 更改了SSH默认端口并禁用了rootlogin。 客户端没有保存新的端口现在不能login/连接到它 如何绑定VOIP的ADSL线路? 如何从ESXi中删除许可证? 如何获得一个124 TB Isilon文件系统廉价的灾难恢复? Ping答复没有得到LAN机器,但进入Linux路由器网关 Amazon Route 53域问题:无法inputwww,无法访问网站 如果您的虚拟化基础架构包含两个物理服务器,是否需要购买两个Datacenter许可证? Amazon CloudFront是否收取存储费用? 已解决的挂载(2):更新服务器到Debian 8之后的旧文件句柄NFS 如何在Cisco Catalyst 4948上启用串行控制台 centos 6.3增加磁盘大小on / 图像上的LVM非常慢 OpenIndiana与32Gb RAM和64Gb ZIL差写速度 Apache中的每个虚拟主机同时请求限制

有没有一种真正的方法从Linux连接到WatchGuard的VPN?

WatchGuard正式只有Windows和Mac客户端。 但是我看到它在内部使用openvpn。 我无法从Linux连接到工作组。

有人真的得到这个工作吗? 怎么样?

以下是我在WatchGuard / Firebox SSL VPN Ubuntu 11.10上所做的工作:

获取所需的文件

您将需要以下文件:

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

从Windows电脑

您将需要访问可以安装其客户端的窗口计算机。

  1. 按照说明安装他们的客户端。
  2. 首次login(这将在WatchGuard目录中创build多个文件)
  3. 复制WatchGuard目录中的文件
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. 重要的是ca.crt,client.crt,client.pem和client.ovpn(注意client.pem可能以.key结尾)。
  5. 将这些文件复制到您的Ubuntu系统。

从Firebox SSL框中

这是来自Watchguard网站。 我没有直接尝试这些说明,但看​​起来很合理。

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

从他们的文件:

  1. 启动WatchGuard System Manager并连接到Firebox或XTM设备。
  2. 启动Firebox系统pipe理器。
  3. 点击状态报告标签。
  4. 点击位于窗口右下angular的支持。
  5. 单击“浏览”以select要保存支持文件的计算机上的path。 点击检索。 等待您的支持文件从Firebox下载。 这可能需要20-30秒。 下载完成后,会出现一个对话框告诉您。 默认情况下,支持文件的名称类似于192.168.111.1_support.tgz。
  6. 将支持文件解压缩到您可以轻松访问的计算机上的某个位置。
  7. 将原始文件中包含的Fireware_XTM_support.tgz文件解压缩到相同的位置。

Ubuntu上需要的软件

你将需要安装一些软件包来从Ubuntu连接(这里假定桌面版本,对于服务器版本来说可能不同)。

  • openvpn(可能已经安装)
    • sudo apt-get install openvpn
  • networkingpipe理员打开VPN插件
    • sudo apt-get install network-manager-openvpn
  • networkingpipe理器OpenVPN Gnome插件(需要从Ubuntu 12.04开始)
    • sudo apt-get install network-manager-openvpn-gnome

从命令行进行testing

您可以从命令行testing连接是否正在工作。 你不必这样做,但它可以使事情变得更容易。

从您复制config / crt文件的目录中: 

 sudo openvpn --config client.ovpn

设置networkingpipe理员

networkingpipe理器是顶部面板栏中的图标(当前是上/下箭头)。 您将需要client.ovpn文件中的一些行,以便在编辑器中打开以供参考。

这是一个例子client.ovpn

 dev tun client proto tcp-client ca ca.crt cert client.crt key client.pem tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server" remote-cert-eku "TLS Web Server Authentication" remote 1.2.3.4 1000 persist-key persist-tun verb 3 mute 20 keepalive 10 60 cipher AES-256-CBC auth SHA1 float 1 reneg-sec 3660 nobind mute-replay-warnings auth-user-pass
  1. 点击networkingpipe理器图标
  2. selectVPN连接 – >configurationVPN …
  3. select添加。
  4. selectVPN选项卡
  5. 对于用户证书,请selectclient.crt文件(从cert行)
  6. 对于CA证书,请selectca.crt文件(从ca行开始)
  7. 对于私钥,请selectclient.pem文件。 (从key线)
  8. 对于我的设置,我还需要将types设置为Password with Certificates (TLS) (来自auth-user-pass行)。
  9. Gateway来自remote线路。 您需要复制服务器名称或IP地址。 在这个例子中“1.2.3.4”

其余设置位于高级区域(底部的高级button)。 在“常规”选项卡中:

  1. Use custom gateway port使用remote行的最后一个号码。 在这个例子中“1000”
  2. Use TCP connection来自proto线的Use TCP connection 。 在这种情况下,TCP客户端。

在安全选项卡下:

  1. Cipher来自cipher线。 (在这个例子中AES-256-CBC)
  2. 'HMAC身份validation'来自auth行。 (在这个例子中SHA1)

在TLS身份validation选项卡下:

  1. Subject Match来自`tls-remote'行。 (在这个例子中/ O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

我还需要在“路由…”button下的“IPv4设置”选项卡下检查“仅为其networking上的资源使用此连接”。

根据Firebox SSL的设置情况,可能需要更多的东西来安装,但希望这可以作为一个起点。 你也可能想要看系统日志,如果你有问题(tail -fn0 / var / log / syslog)

软件要求 

 sudo apt-get install network-manager-openvpn-gnome

或为极简主义者: 

 sudo apt-get install openvpn

获取证书和configuration

对于运行11.8以上的WatchGuard XTM设备

看来现在用来提取Windows客户端的https://yourrouter.tld/sslvpn.html页面还包括一​​个通用的ovpnconfiguration下载,在解决方法中保存了这些步骤。 只需login并进入该目录即可获取configuration文件。 恭喜你的窗户和mac朋友平等。

跳到“创build新的VPN连接”步骤。

对于运行11.7或更低版​​本的WatchGuard XTM设备

这些可以直接从防火墙检索(用自己的服务器replace):

  1. 转至https://watchguard_server and authenticate to the firewall
  2. 转到https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

或者(我相信这是不太安全的,因为密码是在请求中发送的)(replace服务器,用户和传递你自己的): 

 https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

将client.wgssl移动到您想要存储configuration和证书的位置,可能是/ etc / openvpn。 这将焦油炸弹你,所以你会想创build文件夹,以提取。

运行tar zxvf client.wgssl

创build新的VPN连接

打开networking连接并添加新的。 对于types,在VPN下,select“导入保存的VPNconfiguration…”浏览您提取client.wgssl的文件夹中的client.ovpn文件。

添加凭据

编辑新创build的连接以包含用户名和密码,或将密码设置为“总是询问”。

警告:密码保存在可以反转的encryption中。

调整networking

如果您不希望VPN接pipe所有stream量,则只有去往远程位置的stream量进入“IPv4设置”选项卡 – >“路由”,然后选中“仅将此连接用于其networking上的资源”

按照这些说明 – http://customers.watchguard.com/articles/Article/2870?returL=/apex/knowledgeHome&popup=falsetestingUbuntu 11和Fedora 15与XTM 11.x

谢谢大家,我刚刚尝试了一个在Watchguard网站上描述的程序( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

我写了一个脚本来启动连接,它工作得很好。