У WatchGuard офіційно є клієнти лише для Windows та Mac. Але я бачу, що він використовує openvpn внутрішньо. Не вдалося підключитися до WG від Linux.

Чи є хтось, хто насправді це працює? Як?

Ось що я зробив, щоб WatchGuard / Firebox SSL VPN працював над Ubuntu 11.10:

Отримання необхідних файлів

Вам знадобляться такі файли:

• ca.crt
• client.crt
• client.pem
• client.ovpn

З комп’ютера Windows

Вам знадобиться доступ до віконного комп'ютера, на який можна встановити їх клієнта.

1. Дотримуйтесь інструкцій щодо встановлення їх клієнта.
2. Увійдіть вперше (це внесе ряд файлів у каталог WatchGuard)
3. Скопіюйте файли з каталогу WatchGuard
   • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
   • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
4. Найважливішими з них є ca.crt, client.crt, client.pem і client.ovpn (зверніть увагу на client.pem, можливо, щось інше закінчується на .key).
5. Скопіюйте ці файли в систему Ubuntu.

З вікна SSL Firebox

Про це йдеться з сайту "Вартова охорона". Я не пробував прямо цих інструкцій, але вони виглядають розумно.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

З їх документа:

1. Запустіть WatchGuard System Manager та підключіться до свого пристрою Firebox або XTM.
2. Запустіть Менеджер системи Firebox.
3. Перейдіть на вкладку Звіт про стан.
4. Клацніть Підтримка, розташована в правому нижньому куті вікна.
5. Клацніть Огляд, щоб вибрати шлях на своєму комп’ютері, куди потрібно зберегти файл підтримки. Натисніть Отримати. Зачекайте, поки ваш файл підтримки завантажиться з Firebox. Це може зайняти до 20-30 секунд. З'явиться діалогове вікно, яке повідомляє вам про завершення завантаження. За замовчуванням файл підтримки має ім’я типу 192.168.111.1_support.tgz.
6. Розпакуйте файл підтримки до місця, на якому ви маєте легкий доступ.
7. Розпакуйте файл Fireware_XTM_support.tgz, що міститься в оригінальному файлі, в те саме місце.

Потрібне програмне забезпечення на Ubuntu

Вам потрібно буде встановити декілька пакетів для підключення з Ubuntu (це передбачає версію для настільних комп'ютерів, імовірно, для серверної версії все інакше).

• openvpn (Ймовірно, уже встановлено)
  • sudo apt-get install openvpn
• мережевий менеджер відкрити модуль vpn
  • sudo apt-get install network-manager-openvpn
• Плагін Network OpenVPN для Gnome (потрібен на Ubuntu 12.04)
  • sudo apt-get install network-manager-openvpn-gnome

Тестування з командного рядка

Ви можете перевірити, чи працює з'єднання з командного рядка. Вам не потрібно цього робити, але це може полегшити справи.

З каталогу ви скопіювали файли config / crt:

sudo openvpn --config client.ovpn

Налаштування мережевого менеджера

Менеджер мережі - це значок на панелі панелі у верхній частині (в даний час стрілки вгору / вниз). Вам знадобиться кілька рядків із client.ovpnфайлу, тому відкрийте його в редакторі для довідок.

Це приклад client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

1. Клацніть на піктограмі мережевого менеджера
2. Виберіть Підключення VPN-> Налаштувати VPN ...
3. Виберіть Додати.
4. Виберіть вкладку VPN
5. Для сертифіката користувача виберіть файл client.crt (з certрядка)
6. Для сертифіката CA виберіть файл ca.crt (з caрядка)
7. Для приватного ключа виберіть файл client.pem. (з keyрядка)
8. Для моєї установки мені також потрібно було встановити тип Password with Certificates (TLS)(з auth-user-passрядка).
9. Gatewayпоходить від remoteлінії. Вам потрібно скопіювати ім’я сервера або IP-адресу. У цьому прикладі "1.2.3.4"

Решта налаштувань знаходяться в області Додатково (вдосконалена кнопка внизу). На вкладці Загальні:

1. Use custom gateway portвикористовує останнє число з remoteрядка. У цьому прикладі "1000"
2. Use TCP connectionприйти з protoлінії. У цьому випадку tcp-client.

На вкладці Безпека:

1. Cipherпоходить від cipherлінії. (У цьому прикладі AES-256-CBC)
2. "Аутентифікація HMAC" походить від authрядка. (У цьому прикладі SHA1)

На вкладці Підтвердження автентичності TLS:

1. Subject Matchпоходить від рядка `tls-remote '. (У цьому прикладі / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Мені також потрібно було встановити прапорець "використовувати це з'єднання лише для ресурсу в його мережі" на вкладці Налаштування IPv4 під кнопкою "Маршрути ...".

Може знадобитися більше, щоб налаштувати речі залежно від налаштування SSL Firebox, але, сподіваємось, це допоможе як відправна точка. Крім того, ви можете переглядати журнал sys, якщо у вас є проблеми (tail -fn0 / var / log / syslog)

Вимоги до програмного забезпечення

sudo apt-get install network-manager-openvpn-gnome

або для мінімалістичного:

sudo apt-get install openvpn

Отримайте сертифікати та конфігурацію

Для пристроїв Watchguard XTM, які працюють на версії 11.8+

Здається, що сторінка https: //yourrouter.tld/sslvpn.html, яка використовується для підбору клієнта Windows, тепер також включає загальну конфігурацію ovapn для завантаження, зберігаючи кроки у вирішенні. Просто увійдіть та перейдіть до цього каталогу, щоб отримати файл конфігурації. Вітаємо вас з рівними вашими вікнами та мак-приятелями.

Переходьте до кроку "Створити нове з'єднання VPN".

Для пристроїв Guardguard XTM, що працюють 11,7 або менше

Їх можна отримати безпосередньо з брандмауера (замініть сервер власним):

1. Перейти до https://watchguard_server and authenticate to the firewall.
2. Йти до https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Крім того (я вважаю, що це менш безпечно, оскільки пароль надсилається у запиті) (замініть сервер, користувача та передайте свій власний):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Перемістіть client.wgssl туди, де ви хочете зберегти конфігурацію та certs, можливо / etc / openvpn. Це призведе до бомбардування вас, тому вам захочеться створити папку, в яку вона буде витягнута.

Біжи tar zxvf client.wgssl

Створіть нове VPN-з'єднання

Відкрийте мережеві з'єднання та додайте нові. Для типу в розділі VPN виберіть "Імпорт збереженої конфігурації VPN ...". Знайдіть файл client.ovpn у папці, яку ви вилучили client.wgssl.

Додати облікові дані

Відредагуйте новостворене з'єднання, щоб включити своє ім’я користувача та пароль або встановити пароль на "Завжди запитувати".

Попередження: пароль зберігається в шифруванні, який можна змінити.

Налаштування мереж

Якщо ви не хочете, щоб VPN забирала весь ваш трафік, просто трафік, що йде у віддалене місце, перейдіть на вкладку Налаштування IPv4 -> Маршрути і поставте галочку "Використовувати це з'єднання лише для ресурсів у його мережі".

Дотримуйтесь цих інструкцій - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Тестується в Ubuntu 11 та Fedora 15 з XTM 11.x

Дякую, хлопці, я просто спробував процедуру, описану на сайті Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

Я написав сценарій для запуску з'єднання, і він працює просто чудово.