Oficiální nástroj příkazového řádku Checkpoint out od CheckPoint pro nastavení SSL Network Extender VPN již nefunguje z příkazového řádku Linuxu. Také již není aktivně podporován CheckPointem.

Existuje však slibný projekt, který se pokouší replikovat Java applet pro ověřování, který mluví s snx nástroj příkazového řádku s názvem snxconnect .

Zkoušel jsem vložit snxconnect textový nástroj pro práci v Debian Buster, dělá:

sudo pip install snxvpn

a

export PYTHONHTTPSVERIFY=0
snxconnect -H checkpoint.hostname -U USER 

Většinou však umíral buď s chybou HTTP:

HTTP/1.1 301 Moved Permanently:

nebo:

Got HTTP response: HTTP/1.1 302 Found

nebo:

Unexpected response, try again.

Co s tím dělat?

PS. Oficiální klient EndPoint Security VPN funguje dobře na Macu High Sierra i Windows 10 Pro.

Přijatá odpověď:

SNX build 800007075 z roku 2012, který se používá k podpoře CheckPoint VPN z příkazového řádku Linuxu. Tak jsem to otestoval a ejhle, stále funguje s nejnovějšími distribucemi a jádry 4.x/5.x.

Takže nakonec platí moje další odpověď v tomto vlákně, pokud nemůžete sehnat SNX build 800007075 nebo pokud tato konkrétní verze SNX přestane fungovat se současnými verzemi Linuxu (může se to stát v blízké budoucnosti) nebo pokud potřebujete podporu jednorázového hesla.

V současnosti je řešením instalace této konkrétní poslední verze SNX, která stále podporuje provádění VPN z příkazového řádku.

1. Instalace snx sestavení 800007075, získejte jej z:

wget https://starkers.keybase.pub/snx_install_linux30.sh?dl=1 -O snx_install.sh

Pro Debian a 64bitové systémy založené na Debianu, jako je Ubuntu a Linux Mint, možná budete muset přidat 32bitovou architekturu:

sudo dpkg --add-architecture i386
sudo apt-get update    

Musel jsem nainstalovat následující 32bitové balíčky:

sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386

Poté spusťte snx instalační skript:

chmod a+rx snx_install.sh
sudo ./snx_install.sh`

Nyní budete mít /usr/bin/snx 32bitový klientský binární spustitelný soubor. Zkontrolujte, zda nechybí nějaké dynamické knihovny pomocí:

sudo ldd /usr/bin/snx

K následujícím bodům můžete přejít pouze tehdy, když jsou splněny všechny závislosti.

Možná budete muset nejprve ručně spustit snx -s CheckpointURLFQDN -u USER , před skriptováním jakéhokoli automatického použití, pro podpis VPN uložit na /etc/snx/USER.db .

2. Před jeho použitím vytvořte ~/.snxrc file, using your regular user (not root) s následujícím obsahem:

   server IP_address_of_your_VPN
   username YOUR_USER
   reauth yes
   

3. Pro připojení zadejte snx

   $ snx
   Linux SNX společnosti Check Point
   sestavení 800007075
   Zadejte své heslo:

   SNX – připojeno.

   Parametry relace:

   IP Office Mode:10.x.x.x
   Server DNS:10.x.x.x
   Sekundární server DNS:10.x.x.x
   Přípona DNS:xxx.xx, xxx.xx
   Časový limit:24 hodin

Související:Aplikace Zprávy přestala fungovat?

Pokud rozumíte bezpečnostním rizikům pevného kódování hesla VPN ve skriptu, můžete jej také použít jako:

echo 'Password' | snx

4. Pro uzavření/odpojení VPN, přičemž můžete zastavit/zabít snx , lepší a oficiální způsob je vydání příkazu:

   $snx -d
   SNX – Odpojování…
   hotovo.

viz také Problémy s konfigurací nástroje Linux Checkpoint SNX, kde najdete vysvětlení, které snx verzi k použití.

5. Pokud automatizujem přihlášení a přijímám nový podpis (a rozumím bezpečnostním důsledkům), napsal jsem expect skript, který jsem nazval skript snx_login.exp; není příliš bezpečné, ale můžete své přihlášení zautomatizovat a zavolat jej s heslem jako argumentem:

   #!/usr/bin/expect
   spawn /usr/bin/snx

   nastavit heslo [lindex $argv 0]

   očekávejte „?assword: ”
   odeslat — “$passwordr”

   očekávat {
   „o:“ {
   odeslat „yr“
   exp_continue
   }
   eof
   }

PS. Dejte si pozor na snx nepodporuje samotné OTP, budete muset použít snxconnect skript přítomný na druhé odpovědi, pokud jej používáte.

PPS @gibies mě upozornil, že při použití etokenu pole hesla získá heslo plus připojený etoken, nikoli pevné heslo.