WatchGuard hat offiziell nur Clients für Windows und Mac. Aber ich sehe, dass es intern OpenVPN verwendet. Ich konnte von Linux aus keine Verbindung zu WG herstellen.
Gibt es jemanden, der das tatsächlich zum Laufen bringt? Wie?
WatchGuard hat offiziell nur Clients für Windows und Mac. Aber ich sehe, dass es intern OpenVPN verwendet. Ich konnte von Linux aus keine Verbindung zu WG herstellen.
Gibt es jemanden, der das tatsächlich zum Laufen bringt? Wie?
Antworten:
Folgendes habe ich getan, damit WatchGuard / Firebox SSL VPN unter Ubuntu 11.10 funktioniert:
Sie benötigen folgende Dateien:
Sie benötigen Zugriff auf einen Windows-Computer, auf dem Sie den Client installieren können.
C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
Dies ist von der Watchguard-Site. Ich habe diese Anleitung nicht direkt ausprobiert, aber sie sieht vernünftig aus.
http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false
Aus ihrem Dokument:
Sie müssen eine Reihe von Paketen installieren, um von Ubuntu aus eine Verbindung herstellen zu können (dies setzt die Desktop-Version voraus, die Server-Version unterscheidet sich wahrscheinlich).
sudo apt-get install openvpn
sudo apt-get install network-manager-openvpn
sudo apt-get install network-manager-openvpn-gnome
Sie können über die Befehlszeile testen, ob die Verbindung funktioniert. Sie müssen dies nicht tun, aber es kann die Dinge einfacher machen.
Aus dem Verzeichnis, in das Sie die config / crt-Dateien kopiert haben:
sudo openvpn --config client.ovpn
Der Netzwerkmanager ist das Symbol in der Leiste oben (derzeit die Aufwärts- / Abwärtspfeile). Sie benötigen eine Reihe von Zeilen aus der client.ovpn
Datei, also öffnen Sie sie in einem Editor als Referenz.
Dies ist ein Beispiel client.ovpn
:
dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
cert
Zeile)ca
Zeile)key
Zeile)Password with Certificates (TLS)
(aus der auth-user-pass
Zeile) setzen.Gateway
kommt aus der remote
Leitung. Sie müssen den Servernamen oder die IP-Adresse kopieren. In diesem Beispiel "1.2.3.4"Die restlichen Einstellungen befinden sich im Bereich Erweitert (die Schaltfläche Erweitert unten). Auf der Registerkarte Allgemein:
Use custom gateway port
Verwendet die letzte Nummer aus der remote
Zeile. In diesem Beispiel "1000"Use TCP connection
komm von der proto
Linie. In diesem Fall tcp-client.Auf der Registerkarte Sicherheit:
Cipher
kommt aus der cipher
Leitung. (In diesem Beispiel AES-256-CBC)auth
Leitung. (In diesem Beispiel SHA1)Auf der Registerkarte TLS-Authentifizierung:
Subject Match
kommt aus der `tls-remote'-Zeile. (In diesem Beispiel / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)Ich musste außerdem auf der Registerkarte IPv4-Einstellungen unter der Schaltfläche "Routen ..." die Option "Diese Verbindung nur für Ressourcen im Netzwerk verwenden" aktivieren.
Abhängig davon, wie die Firebox SSL eingerichtet ist, muss möglicherweise mehr eingerichtet werden, aber dies hilft hoffentlich als Ausgangspunkt. Sie können auch das Sys-Protokoll anzeigen, wenn Sie Probleme haben (tail -fn0 / var / log / syslog).
sudo apt-get install network-manager-openvpn-gnome
oder für den Minimalisten:
sudo apt-get install openvpn
Für Watchguard XTM-Geräte ab Version 11.8
Offenbar enthält die Seite https: //yourrouter.tld/sslvpn.html , auf der der Windows-Client abgerufen wird, jetzt auch einen generischen Download der OvPN-Konfiguration, mit dem die Schritte in der Problemumgehung gespeichert werden. Melden Sie sich einfach an und gehen Sie in dieses Verzeichnis, um Ihre Konfigurationsdatei zu erhalten. Herzlichen Glückwunsch, dass Sie Ihren Windows- und Mac-Freunden gewachsen sind.
Fahren Sie mit dem Schritt "Neue VPN-Verbindung erstellen" fort.
Für Watchguard XTM-Geräte mit 11.7 oder weniger
Diese können direkt von der Firewall abgerufen werden (ersetzen Sie den Server durch Ihren eigenen):
https://watchguard_server and authenticate to the firewall
.https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl
Alternativ (ich glaube, dies ist weniger sicher, weil das Passwort in der Anfrage gesendet wird) (ersetzen Sie Server, Benutzer und übergeben Sie es mit Ihrem eigenen):
https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass
Verschieben Sie client.wgssl an den Ort, an dem Sie die Konfiguration und die Zertifikate speichern möchten, z. B. / etc / openvpn. Dadurch werden Sie bombardiert, und Sie möchten den Ordner erstellen, in den Sie ihn extrahieren möchten.
Lauf tar zxvf client.wgssl
Öffnen Sie Netzwerkverbindungen und fügen Sie neue hinzu. Wählen Sie als Typ unter VPN "Eine gespeicherte VPN-Konfiguration importieren ..." aus. Suchen Sie in dem von Ihnen extrahierten Ordner client.wgssl nach der Datei client.ovpn.
Bearbeiten Sie die neu erstellte Verbindung, um Ihren Benutzernamen und Ihr Passwort aufzunehmen, oder setzen Sie das Passwort auf "Immer fragen".
Warnung: Das Passwort wird in einer Verschlüsselung gespeichert, die rückgängig gemacht werden kann.
Wenn Sie nicht möchten, dass das VPN Ihren gesamten Datenverkehr übernimmt, wechseln Sie nur zum Datenverkehr an den Remotestandort zur Registerkarte IPv4-Einstellungen -> Routen und aktivieren Sie "Diese Verbindung nur für Ressourcen im Netzwerk verwenden".
Befolgen Sie diese Anweisungen - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Getestet in Ubuntu 11 und Fedora 15 mit XTM 11.x.
Vielen Dank, ich habe gerade ein auf der Watchguard-Website beschriebenes Verfahren ausprobiert ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false ).
Ich habe ein Skript geschrieben, um die Verbindung zu starten, und es funktioniert einwandfrei.