有没有真正的方法可以从 Linux 连接到 WatchGuard 的 VPN？

Question

WatchGuard 正式只有 Windows 和 Mac 的客户端。但我看到它在内部使用 openvpn。我无法从 Linux 连接到 WG。

有没有人真正做到这一点？如何？

Answer 1

以下是我为让 WatchGuard/Firebox SSL VPN 在 Ubuntu 11.10 上运行所做的工作：

获取所需文件

您将需要以下文件：

• ca.crt
• 客户端.crt
• 客户端文件
• 客户端.ovpn

从 Windows 计算机

您将需要访问可以安装其客户端的窗口计算机。

1. 按照安装客户端的说明进行操作。
2. 首次登录（这会在WatchGuard目录下生成多个文件）
3. 从 WatchGuard 目录复制文件
   • 视窗 XP： C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
   • 视窗 Vista/7： C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
4. 重要的是 ca.crt、client.crt、client.pem 和 client.ovpn（注意 client.pem 可能是其他以 .key 结尾的内容）。
5. 将这些文件复制到您的 Ubuntu 系统。

从 Firebox SSL 框

这是来自守望者网站。我没有直接尝试过这些说明，但它们看起来很合理。

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

从他们的文件：

1. 启动 WatchGuard System Manager 并连接到您的 Firebox 或 XTM 设备。
2. 启动 Firebox 系统管理器。
3. 单击状态报告选项卡。
4. 单击位于窗口右下角的支持。
5. 单击浏览以选择计算机上要保存支持文件的路径。单击检索。等待从 Firebox 下载您的支持文件。这最多可能需要 20-30 秒。当下载完成时，会出现一个对话框告诉您。默认情况下，支持文件的名称类似于 192.168.111.1_support.tgz。
6. 将支持文件解压缩到计算机上易于访问的位置。
7. 将原始文件中包含的 Fireware_XTM_support.tgz 文件解压缩到同一位置。

Ubuntu 上需要的软件

您将需要安装许多软件包才能从 Ubuntu 连接（这里假设是桌面版本，服务器版本的情况可能有所不同）。

• openvpn（可能已经安装）
  • sudo apt-get install openvpn
• 网络管理器打开 vpn 插件
  • sudo apt-get install network-manager-openvpn
• 用于 Gnome 的网络管理器 OpenVPN 插件（从 Ubuntu 12.04 开始需要）
  • sudo apt-get install network-manager-openvpn-gnome

从命令行测试

您可以从命令行测试连接是否正常工作。您不必这样做，但它可能会使事情变得更容易。

从您复制 config/crt 文件的目录中：

sudo openvpn --config client.ovpn

设置网络管理员

网络管理器是顶部面板栏中的图标（当前为向上/向下箭头）。您将需要文件中的许多行，client.ovpn因此请在编辑器中将其打开以供参考。

这是一个例子client.ovpn：

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

1. 单击网络管理器图标
2. 选择 VPN 连接 -> 配置 VPN...
3. 选择添加。
4. 选择 VPN 选项卡
5. 对于用户证书，选择 client.crt 文件（从cert行中）
6. 对于 CA 证书，选择 ca.crt 文件（从ca行中）
7. 对于私钥，选择 client.pem 文件。（从key线）
8. 对于我的设置，我还需要将类型设置为Password with Certificates (TLS)（从auth-user-pass行）。
9. Gateway来自remote线。您需要复制服务器名称或 IP 地址。在这个例子中“1.2.3.4”

其余设置位于高级区域（底部的高级按钮）。在常规选项卡中：

1. Use custom gateway port使用行中的最后一个数字remote。在这个例子中“1000”
2. Use TCP connection来自proto一线。在这种情况下，tcp-client。

在安全选项卡下：

1. Cipher来自cipher线。（在本例中为 AES-256-CBC）
2. 'HMAC Authentication' 来自该auth行。（在本例中为 SHA1）

在 TLS 身份验证选项卡下：

1. Subject Match来自`tls-remote' 行。（在本例中 /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server）

我还需要在“路由...”按钮下的 IPv4 设置选项卡下选中“仅将此连接用于其网络上的资源”。

根据 Firebox SSL 的设置方式，可能需要进行更多设置，但希望这将有助于作为起点。如果遇到问题，您也可能想查看系统日志（tail -fn0 /var/log/syslog）

Answer 2

请按照以下说明操作 - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false 在 Ubuntu 11 和 Fedora 15 中使用 XTM 11.x 进行测试