Linux에서 WatchGuard의 VPN에 연결하는 실제 방법이 있습니까?

21

WatchGuard에는 공식적으로 Windows 및 Mac 전용 클라이언트가 있습니다. 그러나 내부에서 openvpn을 사용한다는 것을 알았습니다. Linux에서 WG에 연결할 수 없습니다.

실제로이 작업을 수행하는 사람이 있습니까? 방법?

linux  openvpn  watchguard 

답변:

28

Ubuntu 11.10에서 WatchGuard / Firebox SSL VPN을 사용하기 위해 수행 한 작업은 다음과 같습니다.

필요한 파일 얻기

다음 파일이 필요합니다.

  • ca.crt
  • client.crt
  • client.pem
  • client.ovpn

Windows 컴퓨터에서

클라이언트를 설치할 수있는 윈도우 컴퓨터에 액세스해야합니다.

  1. 클라이언트 설치 지침을 따르십시오.
  2. 처음 로그인 (WatchGuard 디렉토리에 여러 파일이 생성됨)
  3. WatchGuard 디렉토리에서 파일 복사
    • 윈도우 XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista / 7 : C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. 중요한 것은 ca.crt, client.crt, client.pem 및 client.ovpn입니다 (client.pem은 .key로 끝나는 다른 항목에 유의하십시오).
  5. 이 파일들을 우분투 시스템으로 복사하십시오.

Firebox SSL 상자에서

이것은 Watchguard 사이트에서 가져온 것입니다. 이 지침을 직접 시도하지 않았지만 합리적으로 보입니다.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

그들의 문서에서 :

  1. WatchGuard System Manager를 시작하고 Firebox 또는 XTM 장치에 연결하십시오.
  2. Firebox System Manager를 시작하십시오.
  3. 상태 보고서 탭을 클릭하십시오.
  4. 창의 오른쪽 하단에있는 지원을 클릭하십시오.
  5. 찾아보기를 클릭하여 지원 파일을 저장할 컴퓨터의 경로를 선택하십시오. 검색을 클릭하십시오. 지원 파일이 Firebox에서 다운로드되는 동안 기다리십시오. 최대 20-30 초가 소요될 수 있습니다. 다운로드가 완료되면 대화 상자가 나타납니다. 기본적으로 지원 파일의 이름은 192.168.111.1_support.tgz와 같습니다.
  6. 컴퓨터에서 쉽게 액세스 할 수있는 위치에 지원 파일의 압축을 푸십시오.
  7. 원본 파일에 포함 된 Fireware_XTM_support.tgz 파일을 같은 위치에 압축 해제하십시오.

우분투에 필요한 소프트웨어

Ubuntu에서 연결하려면 여러 패키지를 설치해야합니다 (데스크톱 버전을 가정하고 서버 버전과 다를 수 있음).

  • openvpn (이미 설치되어 있음)
    • sudo apt-get install openvpn
  • 네트워크 관리자 개방형 VPN 플러그인
    • sudo apt-get install network-manager-openvpn
  • Gnome 용 Network Manager OpenVPN 플러그인 (Ubuntu 12.04부터 필요)
    • sudo apt-get install network-manager-openvpn-gnome

명령 줄에서 테스트

명령 행에서 연결이 작동 중인지 테스트 할 수 있습니다. 이 작업을 수행 할 필요는 없지만 작업이 더 쉬워 질 수 있습니다.

config / crt 파일을 복사 한 디렉토리에서 다음을 수행하십시오.

sudo openvpn --config client.ovpn

네트워크 관리자 설정

네트워크 관리자는 상단의 패널 표시 줄에있는 아이콘입니다 (현재 위 / 아래 화살표). client.ovpn파일 에서 여러 줄이 필요 하므로 참조를 위해 편집기에서 파일을여십시오.

이것은 예입니다 client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. 네트워크 관리자 아이콘을 클릭하십시오
  2. VPN Connections-> Configure VPN ...을 선택하십시오.
  3. 추가를 선택하십시오.
  4. VPN 탭을 선택하십시오
  5. 사용자 인증서의 경우 client.crt 파일을 선택하십시오 ( cert줄에서).
  6. CA 인증서의 경우 ca.crt 파일을 선택하십시오 ( ca행에서).
  7. 개인 키의 경우 client.pem 파일을 선택하십시오. ( key라인에서)
  8. 내 설정을 위해 유형을 Password with Certificates (TLS)( auth-user-pass라인에서) 으로 설정해야했습니다 .
  9. Gatewayremote라인 에서 온다 . 서버 이름 또는 IP 주소를 복사해야합니다. 이 예에서 "1.2.3.4"

나머지 설정은 고급 영역 (하단의 고급 버튼)에 있습니다. 일반 탭에서 :

  1. Use custom gateway portremote줄 의 마지막 숫자를 사용합니다 . 이 예에서 "1000"
  2. Use TCP connectionproto줄 에서 나오십시오 . 이 경우 tcp-client입니다.

보안 탭에서 :

  1. Ciphercipher라인 에서 온다 . (이 예에서는 AES-256-CBC)
  2. 'HMAC 인증'은 auth회선 에서 나옵니다 . (이 예에서는 SHA1)

TLS 인증 탭에서 다음을 수행하십시오.

  1. Subject Match`tls-remote '라인에서 나옵니다. (이 예에서 / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

또한 "라우트 ..."버튼 아래의 IPv4 설정 탭에서 "네트워크의 리소스에만이 연결 사용"을 확인해야했습니다.

Firebox SSL 설정 방법에 따라 설정해야 할 수도 있지만 시작점으로 도움이되기를 바랍니다. 또한 문제가있는 경우 시스템 로그를보고 싶을 수도 있습니다 (tail -fn0 / var / log / syslog)

폴 허친슨
소스
5
이런 성모님. 그것은 새로운 사용자에게 매우 인상적인 답변입니다. 사이트에 오신 것을 환영합니다!
pauska
1
이것은 우분투 13.04에서 작동합니다. "3 단계 추가"후에 드롭 다운에서 "저장된 VPN 구성 가져 오기"를 선택하고 client.opvn을 가리 킵니다. 모든 필드가 자동으로 채워집니다.
피트 지원 모니카
2

소프트웨어 요구 사항

sudo apt-get install network-manager-openvpn-gnome

또는 미니멀리스트를 위해 :

sudo apt-get install openvpn

인증서 및 구성 가져 오기

11.8 이상을 실행하는 Watchguard XTM 장치

그것은 나타납니다 그 HTTPS : //yourrouter.tld/sslvpn.html 윈도우 클라이언트가 이제 해결의 단계를 저장하는 일반적인 OVPN 구성 다운로드를 포함 픽업에 사용되는 페이지입니다. 로그인하고 해당 디렉토리로 이동하여 구성 파일을 가져 오십시오. Windows 및 Mac 친구와 동등한 자리를 축하합니다.

"새 VPN 연결 만들기"단계로 건너 뜁니다.

11.7 이하를 실행하는 Watchguard XTM 장치의 경우

방화벽에서 직접 검색 할 수 있습니다 (서버를 자신의 것으로 교체).

  1. 로 이동하십시오 https://watchguard_server and authenticate to the firewall.
  2. 로 이동 https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

대안으로 (요청에 암호가 전송되어 보안이 덜 안전하다고 생각합니다) (서버, 사용자를 교체하고 자신의 암호로 전달하십시오) :

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

client.wgssl을 설정 및 인증서를 저장하려는 위치 (예 : / etc / openvpn)로 이동하십시오. 이렇게하면 폭탄이 터져 압축을 풀 폴더를 만들게됩니다.

운영 tar zxvf client.wgssl

새로운 VPN 연결 생성

네트워크 연결을 열고 새로 추가하십시오. 유형으로 VPN에서 "저장된 VPN 구성 가져 오기 ..."를 선택하십시오. client.wgssl을 추출한 폴더에서 client.ovpn 파일을 찾으십시오.

자격 증명 추가

새로 만든 연결을 편집하여 사용자 이름과 비밀번호를 포함 시키거나 비밀번호를 "항상 묻기"로 설정하십시오.

경고 : 비밀번호는 되돌릴 수있는 암호화로 저장됩니다.

네트워킹 조정

VPN이 모든 트래픽을 인계하지 못하게하려면 원격 위치로가는 트래픽 만 IPv4 설정 탭-> 경로로 이동하여 "네트워크의 리소스에만이 연결 사용"을 선택하십시오.

해적 해적
소스
YMMV 경고 : 구 버전의 XTM 펌웨어에서는 구성을 얻는 2 단계 방법이 제대로 작동하지 않는 것 같습니다. 포트 4100을 처음 방문하면 다시 인증을 받았지만 포트 4100에서 인증 한 후 동일한 링크를 다시 붙여 넣는 것이 효과가있었습니다.
flickerfly
아직 Network Manager를 사용하여이를 수행 할 방법을 찾지 못했습니다. 나는 주로 '원격 인증서 eku "TLS 웹 서버 인증"때문에 믿습니다. 그동안 'openvpn --config client.ovpn'명령을 사용했습니다. 성가신 일이지만 특히 bash 별칭으로 설정하면 작업이 완료됩니다.
flickerfly
0

감사합니다. 방금 Watchguard 사이트에 설명 된 절차를 시도했습니다 ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

연결을 시작하는 스크립트를 작성했으며 정상적으로 작동합니다.

민자
소스
서버 결함에 오신 것을 환영합니다! 이 이론적으로 질문에 대답 할 수 있습니다 동안, 바람직 할 것이다 여기에 대한 대답의 본질적인 부분을 포함하고 참조 할 수 있도록 링크를 제공합니다.
Scott Pack
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.