LinuxからWatchGuardのVPNに接続する実際の方法はありますか?

21

WatchGuardには公式にWindowsとMac専用のクライアントがあります。しかし、内部でopenvpnを使用していることがわかります。LinuxからWGに接続できませんでした。

実際にこれを機能させる人はいますか?どうやって?

linux  openvpn  watchguard 

回答:

28

以下は、Ubuntu 11.10でWatchGuard / Firebox SSL VPNを機能させるために行ったことです。

必要なファイルを取得する

次のファイルが必要になります。

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

Windowsコンピューターから

クライアントをインストールできるウィンドウコンピューターにアクセスする必要があります。

  1. クライアントのインストール手順に従います。
  2. 初めてログインします(これにより、WatchGuardディレクトリに多数のファイルが作成されます)
  3. WatchGuardディレクトリからファイルをコピーします
    • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. 重要なのは、ca.crt、client.crt、client.pem、client.ovpnです(client.pemは、.keyで終わるものに注意してください)。
  5. これらのファイルをUbuntuシステムにコピーします。

Firebox SSLボックスから

これはWatchguardサイトからです。私はこれらの指示を直接試していないが、合理的に見える。

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

彼らの文書から:

  1. WatchGuard System Managerを起動して、FireboxまたはXTMデバイスに接続します。
  2. Firebox System Managerを起動します。
  3. [ステータスレポート]タブをクリックします。
  4. ウィンドウの右下隅にある[サポート]をクリックします。
  5. [参照]をクリックして、サポートファイルを保存するコンピューター上のパスを選択します。取得をクリックします。Fireboxからサポートファイルがダウンロードされるまで待ちます。これには20〜30秒かかります。ダウンロードが完了すると、ダイアログボックスが表示されます。デフォルトでは、サポートファイルの名前は192.168.111.1_support.tgzのようになります。
  6. サポートファイルを、簡単にアクセスできるコンピューター上の場所に解凍します。
  7. 元のファイルに含まれているFireware_XTM_support.tgzファイルを同じ場所に解凍します。

Ubuntuに必要なソフトウェア

Ubuntuから接続するには、いくつかのパッケージをインストールする必要があります(これはデスクトップバージョンを想定しているため、サーバーバージョンによって状況は異なる可能性があります)。

  • openvpn(すでにインストールされている可能性が高い)
    • sudo apt-get install openvpn
  • ネットワークマネージャーオープンVPNプラグイン
    • sudo apt-get install network-manager-openvpn
  • Gnome用Network Manager OpenVPNプラグイン(Ubuntu 12.04以降で必要)
    • sudo apt-get install network-manager-openvpn-gnome

コマンドラインからテストする

コマンドラインから接続が機能しているかどうかをテストできます。これをする必要はありませんが、物事が簡単になるかもしれません。

config / crtファイルをコピーしたディレクトリから:

sudo openvpn --config client.ovpn

ネットワークマネージャーのセットアップ

ネットワークマネージャーは、上部のパネルバーにあるアイコンです(現在は上/下矢印)。client.ovpnファイルから複数の行が必要になるため、参照用にエディターで開きます。

これは例client.ovpnです:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. ネットワークマネージャーのアイコンをクリックします
  2. [VPN接続]-> [VPNの構成...]を選択します。
  3. 追加を選択します。
  4. [VPN]タブを選択します
  5. ユーザー証明書の場合、client.crtファイルを選択します(cert行から)
  6. CA証明書の場合、ca.crtファイルを選択します(ca行から)
  7. 秘密鍵の場合、client.pemファイルを選択します。(key行から)
  8. 私のセットアップでは、タイプをPassword with Certificates (TLS)auth-user-pass行から)に設定する必要もありました。
  9. Gatewayremoteラインから来ます。サーバー名またはIPアドレスをコピーする必要があります。この例では「1.2.3.4」

残りの設定は[詳細設定]領域(下部の[詳細設定]ボタン)にあります。[全般]タブで:

  1. Use custom gateway portremote行の最後の番号を使用します。この例では「1000」
  2. Use TCP connectionproto行から来ます。この場合、tcp-client。

[セキュリティ]タブで:

  1. Ciphercipherラインから来ます。(この例では、AES-256-CBC)
  2. 「HMAC認証」はauthラインから来ます。(この例ではSHA1)

[TLS認証]タブの下:

  1. Subject Match「tls-remote」行から来ます。(この例では/ O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

また、[ルート...]ボタンの下の[IPv4設定]タブで[ネットワーク上のリソースにのみこの接続を使用する]をチェックする必要がありました。

Firebox SSLのセットアップ方法に応じて、さらにセットアップする必要があるかもしれませんが、これが出発点として役立つことを願っています。また、問題がある場合は、sysログを確認することもできます(tail -fn0 / var / log / syslog)

ポール・ハッチンソン
ソース
5
聖なる母。それは、新しいユーザーにとって非常に印象的な答えです。サイトへようこそ!
パウスカ
1
これはUbuntu 13.04で機能します。[ステップ3-追加]の後、ドロップダウンから[保存されたVPN設定をインポート]を選択し、client.opvnをポイントします。これにより、すべてのフィールドが自動的に入力されます。
ピートサポートモニカ
2

ソフトウェア要件

sudo apt-get install network-manager-openvpn-gnome

またはミニマリストの場合:

sudo apt-get install openvpn

証明書を取得して構成する

11.8+を実行しているWatchguard XTMデバイスの場合

と思われる//yourrouter.tld/sslvpn.html:httpsの Windowsクライアントのピックアップに使用されているページは、今も、回避策の手順を保存する汎用的なovpn設定のダウンロードを含んでいます。ログインしてそのディレクトリに移動し、構成ファイルを取得するだけです。お使いのウィンドウやMacの仲間と平等であることをお祝いします。

「新規VPN接続の作成」ステップまでスキップします。

11.7以下を実行しているWatchguard XTMデバイスの場合

これらは、ファイアウォールから直接取得できます(サーバーを独自のものに置き換えます)。

  1. に進みhttps://watchguard_server and authenticate to the firewallます。
  2. に行く https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

代わりに(リクエストでパスワードが送信されるため、これは安全性が低いと思います)(サーバー、ユーザーを置き換え、自分のもので渡します):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

client.wgsslを、構成と証明書を保存する場所(おそらく/ etc / openvpn)に移動します。これはtar bombするので、そこに展開するためのフォルダーを作成したいと思うでしょう。

走る tar zxvf client.wgssl

新しいVPN接続を作成する

ネットワーク接続を開き、新規追加します。タイプについては、[VPN]で[保存されたVPN構成をインポート...]を選択します。client.wgsslを抽出したフォルダーでclient.ovpnファイルを参照します。

認証情報を追加する

新しく作成した接続を編集して、ユーザー名とパスワードを含めるか、パスワードを「常に確認」に設定します。

警告:パスワードは、元に戻すことができる暗号化で保存されます。

ネットワークを調整する

VPNがすべてのトラフィックを引き継ぐことを望まない場合は、リモートロケーションに向かうトラフィックのみが[IPv4設定]タブ-> [ルート]に移動し、[ネットワーク上のリソースにのみこの接続を使用する]をオンにします

激怒海賊
ソース
YMMV警告:古いバージョンのXTMファームウェアでは、構成を取得するための2段階の方法がうまく機能しないようです。ポート4100に最初にアクセスしたときに再度認証されましたが、ポート4100での認証後に2回目の同じリンクの貼り付けが機能しました。
フリッカーフライ
Network Managerでこれを行う方法をまだ見つけていません。私は主に「リモート証明書eku「TLS Webサーバー認証」」が原因だと考えています。その間、コマンド 'openvpn --config client.ovpn'を使用しています。面倒ですが、特にbashエイリアスとして設定すると、仕事が完了します。
フリッカーフライ
0

ありがとうございます、Watchguardサイト(http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false)で説明されている手順を試しました。

接続を開始するスクリプトを作成しましたが、正常に機能します。

ミンジャ
ソース
サーバー障害へようこそ!これは理論的には質問に回答するかもしれませんが、回答の重要な部分をここに含め、参照用のリンクを提供することが望ましいでしょう
スコットパック
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.