Necesito conectarme desde una máquina virtual Debian Stretch amd64 a una VPN corporativa de CheckPoint.
Lo estoy usando desde el punto de vista del cliente y no conozco muchos detalles técnicos sobre el lado del servidor. Lo uso con el cliente CheckPoint Mobile en Windows y sé que acepta conexiones Web VPN con Firefox+Java, también conocido como SSL Network Extender.
Intenté abrirlo en Firefox en Linux, pero no funcionó. También investigué alternativas de modo de texto, a saber, el snx cliente de línea de comandos, sin embargo, la literatura de CheckPoint establece claramente los inicios de sesión directos desde snx en la línea de comando, ya no son compatibles.
Hice varias pruebas, incluida la instalación del snx cliente Linux, snxconnect y el openconnect/vpnc Cliente VPN sin mucho éxito. También sospecho que el lado de CheckPoint, además del proceso ya enrevesado, está verificando dos veces el agente de usuario, al menos en mi caso.
¿Qué hacer?
Respuesta aceptada:
En última instancia, decidí conformarme con la autenticación con Firefox+Java (y luego, cambié de opinión, vea el enlace relacionado en la parte inferior ). La VM en sí no ejecuta Java ni una interfaz gráfica, y estoy ejecutando Firefox en un servidor X remoto en mi computadora portátil cuando necesito conectarme a nuestra red corporativa.
El procedimiento es más o menos:
1) Instalando firefox
2) Descargando el snx Instalación del cliente Linux después iniciar sesión en la interfaz del cliente Web VPN
3) Instalar JDK
4) Después de instalar todo, acceder a la URL de VPN en firefox cada vez que necesite usar la VPN.
5) Cerrar la VPN a través de firefox
En cuanto a la guía de pasos real:
1) Después de algunas pruebas, es evidente el último firefox la versión no lo corta al ejecutar el applet de Java.
Firefox 52 y superior
A partir de Firefox 52 (lanzado en marzo de 2017), la compatibilidad con complementos está
limitada a Adobe Flash y elimina la compatibilidad con NPAPI, lo que afecta a los complementos
para Java, Silverlight y otros complementos similares basados en NPAPI.
Después de probar un par de firefox versiones anteriores, me conformé con firefox 48 eso solo se usará para iniciar sesión en la VPN. Lo descargué de los archivos de Firefox.
Entonces, en su directorio de destino, haga:
tar -jxvf firefox-48.0.tar.bz2
Luego haz:
cd firefox
Para evitar que se actualice a una versión más reciente la primera vez que ejecute este directorio:
sudo touch updates
sudo chattr +i updates
Nota:la primera vez que lo ejecuta, también deshabilita las actualizaciones con:
- icono de menú->Preferencias->Avanzado->Actualizaciones
o:
- abriendo la URL sobre:preferencias#avanzadas
y en "Actualizaciones de Firefox", seleccione el botón de radio:"Nunca buscar actualizaciones"
2) Si está en la VPN, para obtener el archivo de instalación, haga:
wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh
Alternativamente, descargue la aplicación desde la interfaz de Web VPN, en "Configuración->Editar la configuración de la aplicación nativa SSL Network Extender:Descargar instalación para Linux"
Eso te dará un snx_install.sh archivo.
También debe seleccionar:"Al iniciar sesión, inicie SSL Network Extender:" cámbielo a "automáticamente".
Ejecuta entonces:
chmod a+rx snx_install.sh
sudo ./snx_install.sh`
Tendrás que conocer un /usr/bin/snx Ejecutable binario de cliente de 32 bits. Compruebe qué bibliotecas dinámicas faltan con:
sudo ldd /usr/bin/snx
Para Debian, es posible que necesite:
sudo dpkg --add-architecture i386
sudo apt-get update
Tuve que instalar lo siguiente:
sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386
Verifique nuevamente si falta alguna biblioteca dinámica (si corresponde) con:
sudo ldd /usr/bin/snx
Solo puede continuar con el siguiente punto cuando todas las dependencias estén satisfechas, ya que el applet de Java usa snx detrás de escena.
3) Después de varias iteraciones fallidas y rastreo web, se descubrió que era necesario instalar Java 6 de Sun. Así que obtuve jdk-6u45-linux-x64.bin del sitio de Oracle.
Para instalarlo hazlo como root:
mkdir /usr/java
mv jdk-6u45-linux-x64.bin /usr/java
cd /usr/java
chmod a+rx jdk-6u45-linux-x64.bin
./jdk-6u45-linux-x64.bin
No configuraremos todo el sistema para usar esta versión de Java ya que es demasiado antigua. Solo para usar Java con Firefox más adelante:
sudo mkdir -p /usr/lib/mozilla/plugins
sudo ln -s /usr/java/jdk1.6.0_45/jre/lib/amd64/libnpjp2.so libnpjp2.so
Ahora la instalación de Java ha terminado.
4) Finalmente, para ejecutar firefox como usuario normal hacer:
./firefox
Si Java Applet/SSL Network Extender no se inicia después de la autenticación, haga "Native Applications->Connect". Se abrirá una ventana emergente/Java. Espere "Estado:conectado".
A continuación, puede cerrar la ventana principal de FireFox.
Después de establecer la VPN, puede verificar con ip address o ifconfig ahora tienes un tunsnx interfaz:
$ ip addr show dev tunsnx
14: tunsnx: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.x.x.x peer 10.x.x.x/32 scope global tunsnx
valid_lft forever preferred_lft forever
inet6 fe80::acfe:8fce:99a4:44b7/64 scope link stable-privacy
valid_lft forever preferred_lft forever
ip route le mostrará también nuevas rutas que pasan por el tunsnx interfaz.
Para mayor comodidad, puede definir como su página de inicio la URL de WebVPN.
5) Para cerrar la VPN, presione el botón "Desconectar" en la ventana emergente de Java o cierre/elimine Firefox.
Ver relacionado:hacer que Checkpoint VPN SSL Network Extender funcione en la línea de comandos