So habe ich WatchGuard/Firebox SSL VPN unter Ubuntu 11.10 zum Laufen gebracht:

Abrufen der benötigten Dateien

Sie benötigen die folgenden Dateien:

• ca.crt
• client.crt
• client.pem
• client.ovpn

Von einem Windows-Computer

Sie benötigen Zugriff auf einen Windows-Computer, auf dem Sie den Client installieren können.

1. Befolgen Sie die Anweisungen zur Installation des Clients.
2. Melden Sie sich zum ersten Mal an (dadurch werden mehrere Dateien im WatchGuard-Verzeichnis erstellt)
3. Kopieren Sie die Dateien aus dem WatchGuard-Verzeichnis
   • Windows XP:C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
   • Windows Vista/7:C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
4. Die wichtigen sind ca.crt, client.crt, client.pem und client.ovpn (beachten Sie, dass client.pem möglicherweise eine andere Endung mit .key hat).
5. Kopieren Sie diese Dateien auf Ihr Ubuntu-System.

Aus der Firebox SSL-Box

Dies stammt von der Watchguard-Site. Ich habe diese Anweisungen nicht direkt ausprobiert, aber sie sehen vernünftig aus.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Aus ihrem Dokument:

1. Starten Sie WatchGuard System Manager und stellen Sie eine Verbindung zu Ihrem Firebox- oder XTM-Gerät her.
2. Starten Sie den Firebox System Manager.
3. Klicken Sie auf die Registerkarte „Statusbericht“.
4. Klicken Sie unten rechts im Fenster auf „Support“.
5. Klicken Sie auf „Durchsuchen“, um den Pfad auf Ihrem Computer auszuwählen, in dem Sie die Supportdatei speichern möchten. Klicken Sie auf „Abrufen“. Warten Sie, während Ihre Supportdatei von der Firebox heruntergeladen wird. Dies kann bis zu 20–30 Sekunden dauern. Ein Dialogfeld wird angezeigt, das Sie darüber informiert, wenn der Download abgeschlossen ist. Standardmäßig hat die Supportdatei einen Namen wie 192.168.111.1_support.tgz.
6. Entpacken Sie die Supportdatei an einen Ort auf Ihrem Computer, auf den Sie leicht zugreifen können.
7. Entpacken Sie die in der Originaldatei enthaltene Datei Fireware_XTM_support.tgz an denselben Speicherort.

Benötigte Software unter Ubuntu

Sie müssen eine Reihe von Paketen installieren, um eine Verbindung von Ubuntu aus herzustellen (hierbei wird die Desktop-Version vorausgesetzt, bei der Server-Version sieht es wahrscheinlich anders aus).

• OpenVPN (wahrscheinlich bereits installiert)
  • sudo apt-get install openvpn
• Netzwerkmanager - VPN-Plug-In öffnen
  • sudo apt-get install network-manager-openvpn
• Network Manager OpenVPN-Plugin für Gnome (erforderlich ab Ubuntu 12.04)
  • sudo apt-get install network-manager-openvpn-gnome

Testen über die Kommandozeile

Sie können über die Befehlszeile testen, ob die Verbindung funktioniert. Sie müssen dies nicht tun, aber es kann die Arbeit erleichtern.

Aus dem Verzeichnis, in das Sie die config/crt-Dateien kopiert haben:

sudo openvpn --config client.ovpn

Einrichten des Netzwerkmanagers

Der Netzwerkmanager ist das Symbol in der Bedienfeldleiste oben (derzeit die Auf-/Ab-Pfeile). Sie benötigen einige Zeilen aus der client.ovpnDatei, öffnen Sie sie daher zur Referenz in einem Editor.

Dies ist ein Beispiel client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

1. Klicken Sie auf das Netzwerkmanager-Symbol
2. Wählen Sie VPN-Verbindungen -> VPN konfigurieren …
3. Wählen Sie Hinzufügen.
4. Wählen Sie die Registerkarte VPN
5. Wählen Sie für das Benutzerzertifikat die Datei client.crt (aus der certZeile)
6. Wählen Sie für das CA-Zertifikat die Datei ca.crt (aus der caZeile)
7. Wählen Sie für den privaten Schlüssel die Datei client.pem aus. (aus der keyZeile)
8. Password with Certificates (TLS)Für mein Setup musste ich den Typ auch auf (aus der Zeile) einstellen auth-user-pass.
9. Gatewaykommt aus der remoteZeile. Sie müssen den Servernamen oder die IP-Adresse kopieren. In diesem Beispiel "1.2.3.4"

Die restlichen Einstellungen finden Sie im Bereich „Erweitert“ (die Schaltfläche „Erweitert“ unten). Auf der Registerkarte „Allgemein“:

1. Use custom gateway portverwendet die letzte Zahl aus der remoteZeile. In diesem Beispiel "1000"
2. Use TCP connectionkommen aus der protoZeile. In diesem Fall TCP-Client.

Unter der Registerkarte „Sicherheit“:

1. Cipherkommt aus der cipherLeitung. (In diesem Beispiel AES-256-CBC)
2. Aus der Zeile kommt 'HMAC Authentication' auth. (In diesem Beispiel SHA1)

Unter der Registerkarte TLS-Authentifizierung:

1. Subject Matchkommt aus der Zeile „tls-remote“. (In diesem Beispiel /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server)

Außerdem musste ich unter der Registerkarte „IPv4-Einstellungen“ unter der Schaltfläche „Routen …“ die Option „Diese Verbindung nur für Ressourcen in ihrem Netzwerk verwenden“ aktivieren.

Je nachdem, wie das Firebox SSL eingerichtet ist, müssen möglicherweise noch weitere Dinge eingerichtet werden, aber hoffentlich hilft dies als Ausgangspunkt. Außerdem sollten Sie bei Problemen das Syslog beobachten (tail -fn0 /var/log/syslog).

Software Anforderungen

sudo apt-get install network-manager-openvpn-gnome

oder für den Minimalisten:

sudo apt-get install openvpn

Holen Sie sich die Zertifikate und die Konfiguration

Für Watchguard XTM-Geräte mit 11.8+

Es scheint, dass diehttps://yourrouter.tld/sslvpn.htmlDie Seite, die zum Abrufen des Windows-Clients verwendet wird, enthält jetzt auch einen allgemeinen OVPN-Konfigurationsdownload, wodurch die Schritte der Problemumgehung entfallen. Melden Sie sich einfach an und gehen Sie in dieses Verzeichnis, um Ihre Konfigurationsdatei abzurufen. Herzlichen Glückwunsch, dass Sie mit Ihren Windows- und Mac-Freunden gleichauf sind.

Fahren Sie mit dem Schritt „Neue VPN-Verbindung erstellen“ fort.

Für Watchguard XTM-Geräte mit 11.7 oder weniger

Diese können direkt von der Firewall abgerufen werden (Server durch Ihren eigenen ersetzen):

1. Gehe zu https://watchguard_server and authenticate to the firewall.
2. Gehe zuhttps://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

Alternativ (ich glaube, das ist weniger sicher, weil das Passwort in der Anfrage gesendet wird) (ersetzen Sie Server, Benutzer und Pass durch Ihre eigenen):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Verschieben Sie client.wgssl dorthin, wo Sie die Konfiguration und Zertifikate speichern möchten, beispielsweise /etc/openvpn. Dies führt zu einer Tar-Bombe, daher sollten Sie den Ordner erstellen, in den es extrahiert wird.

Laufentar zxvf client.wgssl

Neue VPN-Verbindung erstellen

Öffnen Sie Netzwerkverbindungen und fügen Sie Neu hinzu. Wählen Sie unter VPN als Typ „Eine gespeicherte VPN-Konfiguration importieren …“ aus. Suchen Sie in dem Ordner, in dem Sie client.wgssl extrahiert haben, nach der Datei client.ovpn.

Anmeldeinformationen hinzufügen

Bearbeiten Sie die neu erstellte Verbindung, um Ihren Benutzernamen und Ihr Passwort einzuschließen, oder legen Sie das Passwort auf „Immer fragen“ fest.

Achtung: Das Passwort wird in einer rückgängig zu machenden Verschlüsselung gespeichert.

Anpassen der Vernetzung

Wenn Sie nicht möchten, dass das VPN Ihren gesamten Datenverkehr übernimmt, sondern nur den Datenverkehr zum Remote-Standort, gehen Sie zur Registerkarte „IPv4-Einstellungen“ -> „Routen“ und aktivieren Sie „Diese Verbindung nur für Ressourcen in ihrem Netzwerk verwenden“.

Wenn Sie Zweifel haben oder in einigen Bereichen weitere Einzelheiten wünschen, lesen Sie@Paul Hutchinsons Antwort hier.

Ich möchte die Anweisungen lediglich etwas vereinfachen und komprimieren und einige Screenshots von Ubuntu 22.04 bereitstellen, um zu zeigen, wie dies auf der neuesten Version von Ubuntu funktioniert.

Einrichten des Zugriffs auf ein WatchGuard Firebox SSL VPN unter Linux Ubuntu

Getestet auf Ubuntu 22.04.

Wie das geht, habe ich zum ersten Mal hier gelernt:https://tech.teaddict.net/2017/01/11/watchguard-vpn-mit-linux/, daher geht ein großes Dankeschön an den Autor.

1. Zunächst benötigen Sie Zugriff auf einen Windows-Computer mitWatchGuard Firebox SSLbereits installiert und funktionsfähig.

2. Gehen Sie auf Ihrem Windows-Computer mit einem funktionierenden VPN zu C:\Users\myusername\AppData\Roaming\WatchGuard\Mobile VPNund kopieren Sie die folgenden 4 Dateien auf Ihren Ubuntu-Computer:

   ca.crt
   client.crt
   client.ovpn
   client.pem
   

   Stellen Sie sicher, dass sie sich alle im selben Ordner befinden, wenn Sie sie auf Ubuntu legen.

3. Installieren Sie unter Ubuntu die Abhängigkeiten:

   sudo apt update 
   sudo apt install openvpn network-manager-openvpn
   

4. Drücken Sie dann unter Ubuntu die Taste Windows( Super), geben Sie „Einstellungen“ ein und öffnen Sie die Anwendung „Einstellungen“ --> klicken Sie im linken Bereich auf die Registerkarte „Netzwerk“ --> klicken Sie auf das „+“, um ein neues VPN hinzuzufügen --> „Aus Datei importieren …“, wie hier gezeigt:

   

5. Navigieren Sie im sich öffnenden Fenster „Zum Importieren auswählen“ zu Ihrer client.ovpnDatei, die sich neben den drei anderen Dateien oben im selben Ordner befindet, wählen Sie sie aus und klicken Sie auf die Schaltfläche „Öffnen“.

   Damit gelangen Sie zum unten gezeigten Bildschirm „VPN hinzufügen“. Ändern Sie den „Namen“ bei Bedarf von „Client“ in einen aussagekräftigeren Namen, beispielsweise „Mein benutzerdefinierter Name“. Die Gateway-Adresse ist bereits eingetragen und hat 99.99.999.999:9999beispielsweise das Format .

   Geben Sie Ihren VPN-Benutzernamen und Ihr Passwort ein, wie unten eingekreist.

   Klicken Sie anschließend auf die Schaltfläche „Hinzufügen“.

   

6. Sie sehen nun Ihr VPN als neuen Eintrag. Klicken Sie auf den Schieberegler, wie unten eingekreist, um eine Verbindung herzustellen:

   

   Da Sie Ihren VPN-Benutzernamen und Ihr Passwort bereits oben eingegeben haben, müssen Sie diese nirgendwo eingeben. Wenn SieDuo Zwei-Faktor-Authentifizierung, oder ähnliches, auf Ihrem VPN eingerichtet haben, erhalten Sie jetzt eine Push-Benachrichtigung auf Ihr Telefon zur Authentifizierung. Öffnen Sie Ihre Duo-App auf Ihrem Telefon, wenn Sie keine Push-Benachrichtigung sehen, und genehmigen Sie die Verbindung.

   Sie sind jetzt verbunden! Wenn Sie sich an einem entfernten Standort befinden oder einen Handy-Hotspot verwenden, um dies zu testen, können Sie zuhttps://whatismyipaddress.com/vor und nach der Verbindung mit dem VPN können Sie die Änderung Ihrer IP-Adresse sehen, die anzeigt, dass Sie verbunden sind.

7. Beachten Sie: Wenn beim Klicken auf den Schieberegler zum Verbinden das folgende Fenster angezeigt wird, bedeutet dies, dass Sie im vorherigen Schritt vergessen haben, Ihren Benutzernamen und Ihr Passwort einzugeben. Das ist in Ordnung, Sie können zurückgehen, um diese Informationen zu bearbeiten. Klicken Sie auf das Zahnradsymbol rechts neben „My Custom Name VPN“ --> klicken Sie auf die Registerkarte „Identität“ --> fügen Sie Ihren VPN-Benutzernamen und Ihr Passwort hinzu. Gehen Sie zurück und klicken Sie erneut auf den Schieberegler, um eine Verbindung herzustellen.

   

8. Das war’s! Sie sind verbunden. Sie sehen jetzt oben rechts auf Ihrem Computer dieses nette kleine „VPN“-Symbol. Meins befindet sich rechts neben dem WLAN-Symbol und links neben dem Lautsprechersymbol, hier:

   

9. Um die Verbindung zum VPN zu trennen, navigieren Sie zurück zu Ihren Einstellungen --> Netzwerk und klicken Sie erneut auf den Schiebeschalter, um die Verbindung zu trennen.

10. Eine schnelle Abkürzung zum VPN besteht darin, Windows( Super) zu drücken und nach „VPN“ zu suchen. Klicken Sie dann auf den angezeigten Link „Netzwerk“.

    Noch besser: Klicken Sie auf die Symbole oben rechts in Ubuntu. Dann sehen Sie direkt dort die Schaltflächen zum Verbinden bzw. Trennen des VPN!:

    

Siehe auch

1. Meine Antwort:Super User: So verwenden Sie „openconnect“ (über den openconnect-ssoWrapper) mit SAML und Duo-Zwei-Faktor-Authentifizierung über Okta Single-Sign-on (SSO)

Vielen Dank, Leute, ich habe gerade ein auf der Watchguard-Website beschriebenes Verfahren ausprobiert (http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false)

Ich habe ein Skript zum Herstellen der Verbindung geschrieben und es funktioniert einwandfrei.