必要なファイルを取得する

tag-icon tag-icon linux openvpn watchguard
必要なファイルを取得する

WatchGuard には公式には Windows と Mac 用のクライアントしかありません。しかし、内部的には openvpn を使用しているようです。Linux から WG に接続できませんでした。

これを実際に機能させる人はいますか? どうやって?

答え1

WatchGuard/Firebox SSL VPN を Ubuntu 11.10 で動作させるために行ったことは次のとおりです。

必要なファイルを取得する

次のファイルが必要になります:

  • ca.crt
  • クライアント.crt
  • クライアント.pem
  • クライアント.ovpn

Windowsコンピュータから

クライアントをインストールできる Windows コンピュータにアクセスする必要があります。

  1. クライアントのインストール手順に従います。
  2. 初めてログインします(これにより、WatchGuard ディレクトリにいくつかのファイルが作成されます)
  3. WatchGuardディレクトリからファイルをコピーします
    • Windows XPの場合:C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
    • Windows Vista/7:C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
  4. 重要なのは、ca.crt、client.crt、client.pem、client.ovpn です (client.pem は .key で終わる他の何かである可能性があることに注意してください)。
  5. これらのファイルを Ubuntu システムにコピーします。

Firebox SSLボックスから

これは Watchguard のサイトからのものです。これらの手順を直接試したわけではありませんが、妥当なようです。

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

彼らの文書から:

  1. WatchGuard System Manager を起動し、Firebox または XTM デバイスに接続します。
  2. Firebox システム マネージャーを起動します。
  3. [ステータス レポート] タブをクリックします。
  4. ウィンドウの右下にある「サポート」をクリックします。
  5. [参照] をクリックして、サポート ファイルを保存するコンピュータ上のパスを選択します。[取得] をクリックします。サポート ファイルが Firebox からダウンロードされるまでお待ちください。ダウンロードには最大 20 ~ 30 秒かかる場合があります。ダウンロードが完了すると、ダイアログ ボックスが表示されます。デフォルトでは、サポート ファイルの名前は 192.168.111.1_support.tgz のようになります。
  6. サポート ファイルを、コンピューター上の簡単にアクセスできる場所に解凍します。
  7. 元のファイルに含まれる Fireware_XTM_support.tgz ファイルを同じ場所に解凍します。

Ubuntuに必要なソフトウェア

Ubuntu から接続するには、いくつかのパッケージをインストールする必要があります (これはデスクトップ バージョンを想定しており、サーバー バージョンの場合は異なる可能性があります)。

  • openvpn (すでにインストールされている可能性が高い)
    • sudo apt-get install openvpn
  • ネットワーク マネージャー オープン VPN プラグイン
    • sudo apt-get install network-manager-openvpn
  • Gnome 用の Network Manager OpenVPN プラグイン (Ubuntu 12.04 以降で必要)
    • sudo apt-get install network-manager-openvpn-gnome

コマンドラインからのテスト

コマンドラインから接続が機能しているかどうかをテストできます。これを行う必要はありませんが、これを行うと作業が簡単になります。

config/crt ファイルをコピーしたディレクトリから:

sudo openvpn --config client.ovpn

ネットワークマネージャーの設定

ネットワーク マネージャーは、上部のパネル バーにあるアイコンです (現在は上/下矢印)。ファイルからいくつかの行が必要になるのでclient.ovpn、参照用にエディターで開いてください。

これは例ですclient.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
  1. ネットワークマネージャーアイコンをクリックします
  2. VPN 接続を選択 -> VPN を構成...
  3. [追加]を選択します。
  4. VPNタブを選択します
  5. ユーザー証明書の場合は、client.crtファイルを選択します(cert行から)
  6. CA証明書の場合は、ca.crtファイルを選択します(ca行から)
  7. 秘密鍵の場合は、client.pem ファイルを選択します。(key行から)
  8. 私の設定では、タイプをPassword with Certificates (TLS)(行からauth-user-pass) に設定する必要もありました。
  9. Gateway行から取得しますremote。サーバー名またはIPアドレスをコピーする必要があります。この例では「1.2.3.4」

残りの設定は、[詳細設定] 領域 (下部にある [詳細設定] ボタン) にあります。[全般] タブで、次の操作を行います。

  1. Use custom gateway port行の最後の数字を使用しますremote。この例では「1000」です。
  2. Use TCP connection行から取得されますproto。この場合は tcp-client です。

セキュリティタブで次の操作を行います。

  1. Cipher行から取得されますcipher。(この例では AES-256-CBC)
  2. 「HMAC 認証」は行から取得されますauth。(この例では SHA1)

TLS 認証タブで次の操作を行います。

  1. Subject Match`tls-remote' 行から取得されます。(この例では /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server)

また、「ルート...」ボタンの下にある「IPv4 設定」タブで「この接続をそのネットワーク上のリソースにのみ使用する」をチェックする必要がありました。

Firebox SSL の設定方法によっては、さらに設定が必要な場合もありますが、これが出発点として役立つことを願っています。また、問題がある場合は、sys ログを確認することをお勧めします (tail -fn0 /var/log/syslog)

答え2

ソフトウェア要件

sudo apt-get install network-manager-openvpn-gnome

またはミニマリスト向け:

sudo apt-get install openvpn

証明書と設定を取得する

11.8以降を実行しているWatchguard XTMデバイスの場合

どうやら、https://yourrouter.tld/sslvpn.html 翻訳:Windows クライアントを取得するために使用されるページには、回避策の手順を省いた汎用 OVP 構成ダウンロードも含まれるようになりました。ログインしてそのディレクトリに移動するだけで、構成ファイルを取得できます。Windows および Mac の仲間と同等になったことを祝福します。

「新しい VPN 接続の作成」手順までスキップします。

11.7以下を実行しているWatchguard XTMデバイスの場合

これらはファイアウォールから直接取得できます (サーバーを独自のものに置き換えてください)。

  1. に移動しますhttps://watchguard_server and authenticate to the firewall
  2. へ移動https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

あるいは、(パスワードがリクエストで送信されるため、安全性が低いと思われます)(サーバー、ユーザー、およびパスを独自のものに置き換えます):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

client.wgssl を、設定と証明書を保存する場所 (おそらく /etc/openvpn) に移動します。これにより tar 爆弾が実行される可能性があるため、抽出先のフォルダーを作成する必要があります。

走るtar zxvf client.wgssl

新しいVPN接続を作成する

ネットワーク接続を開き、新規追加します。VPN の種類については、「保存した VPN 構成をインポート...」を選択します。client.wgssl を抽出したフォルダー内の client.ovpn ファイルを参照します。

資格情報を追加する

新しく作成された接続を編集してユーザー名とパスワードを含めるか、パスワードを「常に確認する」に設定します。

警告: パスワードは、解読可能な暗号化で保存されます。

ネットワークを調整する

VPN がすべてのトラフィックを引き継ぐのではなく、リモート ロケーションへのトラフィックのみを引き継ぐようにしたい場合は、[IPv4 設定] タブ -> [ルート] に移動し、[この接続をネットワーク上のリソースにのみ使用する] をオンにします。

答え3

疑問がある場合、または特定の分野についてさらに詳しく知りたい場合は、@Paul Hutchinson の回答はこちら

手順を少し簡略化して要約し、Ubuntu 22.04 のスクリーンショットをいくつか提供して、最新バージョンの Ubuntu でこれを行う方法を示したいと思います。

Linux Ubuntu で WatchGuard Firebox SSL VPN へのアクセスを設定する

Ubuntu 22.04 でテスト済み。

私は最初にここからこれを行う方法を学びました:https://tech.teaddict.net/2017/01/11/watchguard-vpn-linux/ よりなので、その著者に心から感謝します。

  1. まず、Windowsコンピュータにアクセスする必要があります。ウォッチガード ファイアボックス SSLすでにインストールされ動作しています。

  2. VPN が動作している Windows コンピューターで に移動しC:\Users\myusername\AppData\Roaming\WatchGuard\Mobile VPN、次の 4 つのファイルを Ubuntu コンピューターにコピーします。

    ca.crt
client.crt
client.ovpn
client.pem

    これらを Ubuntu に配置するときは、すべて同じフォルダーにあることを確認してください。

  3. Ubuntu では、依存関係をインストールします。

    sudo apt update 
sudo apt install openvpn network-manager-openvpn

  4. 次に、Ubuntu でWindows( Super) キーを押して「設定」と入力し、設定アプリケーションを開きます --> 左側のペインで「ネットワーク」タブをクリックします --> 「+」をクリックして新しい VPN を追加します --> 「ファイルからインポート...」をクリックします (次を参照)。

    ここに画像の説明を入力してください

  5. 開いた「インポートするファイルを選択」ウィンドウで、client.ovpn同じフォルダー内にある上記の他の 3 つのファイルの横にあるファイルに移動し、それを選択して、「開く」ボタンをクリックします。

    これにより、以下に示す「VPN の追加」画面が表示されます。必要に応じて、「名前」を「クライアント」から「カスタム名」などのよりわかりやすい名前に変更します。ゲートウェイ アドレスはすでに入力されており、99.99.999.999:9999たとえば という形式になっています。

    下の丸で囲んだように、VPN ユーザー名とパスワードを入力します。

    完了したら「追加」ボタンをクリックします。

    ここに画像の説明を入力してください

  6. VPN が新しいエントリとして表示されます。以下の丸で囲まれたスライダー ボタンをクリックして接続します。

    ここに画像の説明を入力してください

    すでにVPNのユーザー名とパスワードを入力しているので、入力する必要はありません。Duo 2要素認証、または同様の機能を VPN に設定すると、認証を求めるプッシュ通知が携帯電話に届きます。プッシュ通知が表示されない場合は、携帯電話で Duo アプリを開いて、接続を承認してください。

    これで接続完了です。遠隔地にいる場合や、携帯電話のホットスポットを使用してテストする場合は、https://whatismyipaddress.com/VPN に接続する前と接続した後に IP アドレスが変更され、接続されていることが確認されます。

  7. スライダー ボタンをクリックして接続したときに、以下のウィンドウがポップアップ表示された場合は、前の手順でユーザー名とパスワードを入力し忘れたことを意味します。問題ありません。戻ってこの情報を編集できます。[My Custom Name VPN] の右側にある歯車アイコンをクリックし、[Identity] タブをクリックして、VPN ユーザー名とパスワードを追加します。戻ってスライダー ボタンをもう一度クリックし、接続します。

    ここに画像の説明を入力してください

  8. これで完了です。接続されました。コンピューターの右上に、この小さな「VPN」アイコンが表示されます。私の場合は、Wi-Fi アイコンの右側、スピーカー アイコンの左側にあります。

    ここに画像の説明を入力してください

  9. VPN から切断するには、「設定」->「ネットワーク」に戻り、スライダー スイッチをもう一度クリックして切断します。

  10. VPN にアクセスするための簡単なショートカットは、Windows( Super) を押して「vpn」を検索することです。次に、ポップアップ表示される「ネットワーク」リンクをクリックします。

    さらに良いことに、Ubuntu の右上にあるアイコンをクリックすると、VPN の接続または切断ボタンがそこに表示されます。

    ここに画像の説明を入力してください

参照

  1. 私の答え:openconnect-ssoスーパーユーザー: Okta シングルサインオン (SSO) を介した SAML および Duo 2 要素認証で「openconnect」(ラッパー経由) を使用する方法

答え4

皆さんありがとうございます。Watchguardのサイトに記載されている手順を試してみました(http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

接続を開始するためのスクリプトを作成しましたが、問題なく動作しました。

関連情報