Potřebuji se připojit z virtuálního počítače Debian Stretch amd64 k firemní VPN CheckPoint.
Používám to z pohledu zákazníka a neznám mnoho technických podrobností o straně serveru. Používám jej s klientem CheckPoint Mobile ve Windows a vím, že akceptuje webová připojení VPN s Firefox+Java aka SSL Network Extender.
Zkoušel jsem to otevřít ve Firefoxu v Linuxu, ale nefungovalo to. Zkoumal jsem také alternativy textového režimu, konkrétně snx klient příkazového řádku, nicméně literatura CheckPoint jasně uvádí přímé přihlášení z snx v příkazovém řádku již nejsou podporovány.
Provedl jsem několik testů, včetně instalace snx linuxový klient, snxconnect a openconnect/vpnc VPN klient bez velkého úspěchu. Poněkud mám také podezření, že strana CheckPoint, kromě již spletitého procesu, dvakrát kontroluje uživatelského agenta, alespoň v mém případě.
Co dělat?
Přijatá odpověď:
Nakonec jsem se rozhodl spokojit se s ověřováním pomocí Firefox+Java (a později jsem si to rozmyslel, viz související odkaz dole ). Samotný VM nespouští Javu ani grafické rozhraní a když se potřebuji připojit k naší podnikové síti, spouštím Firefox na vzdáleném X serveru na svém notebooku.
Postup je zhruba:
1) Instalace firefox
2) Stažení snx Instalace klienta Linux po přihlášení do webového klientského rozhraní VPN
3) Instalace JDK
4) Po instalaci všeho přístup k URL VPN v firefox pokaždé, když potřebujete použít VPN.
5) Zavření VPN přes firefox
Pokud jde o průvodce skutečnými kroky:
1) Po několika testech je evidentní nejnovější firefox verze ji nespustí při běhu apletu Java.
Firefox 52 a vyšší
Počínaje Firefoxem 52 (vydaným v březnu 2017) je podpora zásuvných modulů
omezena na Adobe Flash a ruší podporu pro NPAPI, což má dopad na zásuvné moduly
pro Javu, Silverlight a další podobné zásuvné moduly založené na NPAPI.
Takže po testování pár firefox starší verze, spokojil jsem se s firefox 48 který bude použit pouze pro přihlášení do VPN. Staženo z archivů firefox.
Takže ve vašem cílovém adresáři proveďte:
tar -jxvf firefox-48.0.tar.bz2
Pak proveďte:
cd firefox
Chcete-li zabránit aktualizaci na novější verzi při prvním spuštění v tomto adresáři:
sudo touch updates
sudo chattr +i updates
Poznámka:Při prvním spuštění také zakážete aktualizace buď pomocí:
- ikona nabídky->Předvolby->Pokročilé->Aktualizace
nebo:
- otevření adresy URL about:preferences#advanced
a v „Firefox Updates“ vyberte přepínač:„Nikdy nehledat aktualizace“
2) Pokud jste v síti VPN, instalační soubor získáte takto:
wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh
Případně si stáhněte aplikaci z webového rozhraní VPN v části „Nastavení->Upravit nastavení nativní aplikace SSL Network Extender:Stáhnout instalaci pro Linux“
Získáte tak snx_install.sh soubor.
Musíte také vybrat:„Při přihlášení spustit SSL Network Extender:“ změnit na „automaticky“.
Poté spusťte:
chmod a+rx snx_install.sh
sudo ./snx_install.sh`
Budete znát /usr/bin/snx 32bitový klientský binární spustitelný soubor. Zkontrolujte, které dynamické knihovny chybí pomocí:
sudo ldd /usr/bin/snx
Pro Debian možná budete potřebovat:
sudo dpkg --add-architecture i386
sudo apt-get update
Musel jsem nainstalovat následující:
sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386
Znovu zkontrolujte, zda nechybí nějaké dynamické knihovny (pokud existují), pomocí:
sudo ldd /usr/bin/snx
K následujícímu bodu můžete přejít pouze v případě, že jsou splněny všechny závislosti, protože aplet Java používá snx v zákulisí.
3) Po několika neúspěšných iteracích a procházení webu jsem zjistil, že je potřeba nainstalovat Java 6 od Sunu. Takže máte jdk-6u45-linux-x64.bin ze stránek Oracle.
Chcete-li jej nainstalovat, proveďte jako root:
mkdir /usr/java
mv jdk-6u45-linux-x64.bin /usr/java
cd /usr/java
chmod a+rx jdk-6u45-linux-x64.bin
./jdk-6u45-linux-x64.bin
Nebudeme konfigurovat celý systém pro použití této verze Java, protože je příliš stará. Stačí později použít Javu s Firefoxem:
sudo mkdir -p /usr/lib/mozilla/plugins
sudo ln -s /usr/java/jdk1.6.0_45/jre/lib/amd64/libnpjp2.so libnpjp2.so
Nyní je instalace Java dokončena.
4) Nakonec spustíte firefox jako běžný uživatel udělat:
./firefox
Pokud se Java Applet/SSL Network Extender po ověření nespustí, proveďte „Nativní aplikace->Připojit“. Otevře se vyskakovací/Java okno. Počkejte na „Stav:připojeno“.
Poté můžete zavřít hlavní okno FireFox.
Po vytvoření VPN můžete zkontrolovat pomocí ip address nebo ifconfig nyní máte tunsnx rozhraní:
$ ip addr show dev tunsnx
14: tunsnx: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.x.x.x peer 10.x.x.x/32 scope global tunsnx
valid_lft forever preferred_lft forever
inet6 fe80::acfe:8fce:99a4:44b7/64 scope link stable-privacy
valid_lft forever preferred_lft forever
ip route vám také ukáže nové trasy procházející tunsnx rozhraní.
Pro větší pohodlí můžete jako svou domovskou stránku definovat adresu URL WebVPN.
5) Chcete-li zavřít VPN, stiskněte buď tlačítko „Odpojit“ ve vyskakovacím okně Java, nebo zavřete/zabijte Firefox.
Viz související:spuštění Checkpoint VPN SSL Network Extender v příkazovém řádku