Devo connettermi da una VM Debian Stretch amd64 a una VPN aziendale CheckPoint.
Lo sto usando dal punto di vista del cliente e non conosco molti dettagli tecnici sul lato server. Lo sto usando con il client CheckPoint Mobile in Windows e so che accetta connessioni Web VPN con Firefox+Java alias SSL Network Extender.
Ho provato ad aprirlo in Firefox in Linux, ma non ha funzionato. Ho anche studiato le alternative alla modalità testo, vale a dire il snx client della riga di comando, tuttavia la documentazione di CheckPoint indica chiaramente gli accessi diretti da snx nella riga di comando, non sono più supportati.
Ho fatto diversi test, inclusa l'installazione di snx client linux, snxconnect e il openconnect/vpnc Client VPN senza molto successo. Sospetto anche in qualche modo che il lato CheckPoint, oltre al processo già contorto, stia ricontrollando lo user agent, almeno nel mio caso.
Cosa fare?
Risposta accettata:
Alla fine, ho deciso di autenticarmi con Firefox+Java (e poi in seguito, ho cambiato idea, vedi il relativo link in fondo ). La VM stessa non esegue Java né un'interfaccia grafica e sto eseguendo Firefox su un server X remoto sul mio notebook quando devo connettermi alla nostra rete aziendale.
La procedura è approssimativamente:
1) Installazione di firefox
2) Scaricare il snx Installazione del client Linux dopo accesso all'interfaccia client Web VPN
3) Installazione di JDK
4) Al termine dell'installazione, accesso all'URL VPN in firefox ogni volta che è necessario utilizzare la VPN.
5) Chiusura della VPN tramite firefox
Per quanto riguarda la vera e propria guida ai passaggi:
1) Dopo alcuni test, è evidente l'ultima versione di firefox versione non lo taglia eseguendo l'applet Java.
Firefox 52 e versioni successive
A partire da Firefox 52 (rilasciato a marzo 2017), il supporto dei plug-in è
limitato ad Adobe Flash e interrompe il supporto per NPAPI, con conseguenze sui plug-in
per Java, Silverlight e altri plug-in simili basati su NPAPI.
Quindi, dopo aver testato un paio di firefox versioni precedenti, ho optato per firefox 48 che verrà utilizzato solo per accedere alla VPN. Scaricato dagli archivi di Firefox.
Quindi nella tua directory di destinazione, fai:
tar -jxvf firefox-48.0.tar.bz2
Quindi fai:
cd firefox
Per impedirne l'aggiornamento a una versione più recente la prima volta che esegui su questa directory:
sudo touch updates
sudo chattr +i updates
Nota:la prima volta che lo esegui, disabiliti anche gli aggiornamenti con:
- icona del menu->Preferenze->Avanzate->Aggiornamenti
oppure:
- apertura dell'URL su:preferences#advanced
e in "Aggiornamenti Firefox" seleziona il pulsante di opzione:"Non controllare mai gli aggiornamenti"
2) Se nella VPN, per ottenere il file di installazione, fai:
wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh
In alternativa, scaricare l'applicazione dall'interfaccia Web VPN, in “Impostazioni->Modifica impostazioni applicazione nativa SSL Network Extender:Scarica installazione per Linux”
Questo ti darà un snx_install.sh file.
Devi anche selezionare:"Quando accedi, avvia SSL Network Extender:" cambialo in "automaticamente".
Esegui quindi:
chmod a+rx snx_install.sh
sudo ./snx_install.sh`
Conoscerai un /usr/bin/snx Eseguibile binario client a 32 bit. Controlla con quali librerie dinamiche mancano:
sudo ldd /usr/bin/snx
Per Debian, potresti aver bisogno di:
sudo dpkg --add-architecture i386
sudo apt-get update
Ho dovuto installare quanto segue:
sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386
Controlla di nuovo se mancano librerie dinamiche (se presenti) con:
sudo ldd /usr/bin/snx
Puoi procedere al punto seguente solo quando tutte le dipendenze sono soddisfatte, poiché l'applet Java utilizza snx dietro le quinte.
3) Dopo diverse iterazioni e scansioni web non riuscite, è stato riscontrato che è necessario installare Java 6 da Sun. Quindi ho jdk-6u45-linux-x64.bin dal sito Oracle.
Per installarlo fai come root:
mkdir /usr/java
mv jdk-6u45-linux-x64.bin /usr/java
cd /usr/java
chmod a+rx jdk-6u45-linux-x64.bin
./jdk-6u45-linux-x64.bin
Non configureremo l'intero sistema per utilizzare questa versione di Java poiché è troppo vecchia. Solo per usare Java con Firefox in seguito:
sudo mkdir -p /usr/lib/mozilla/plugins
sudo ln -s /usr/java/jdk1.6.0_45/jre/lib/amd64/libnpjp2.so libnpjp2.so
Ora l'installazione di Java è terminata.
4) Infine, per eseguire Firefox come utente normale fare:
./firefox
Se l'applet Java/SSL Network Extender non si avvia automaticamente dopo l'autenticazione, eseguire "Applicazioni native->Connetti". Si aprirà una finestra popup/Java. Attendi “Stato:connesso”.
È quindi possibile chiudere la finestra principale di FireFox.
Dopo aver stabilito la VPN, puoi controllare con ip address o ifconfig ora hai un tunsnx interfaccia:
$ ip addr show dev tunsnx
14: tunsnx: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.x.x.x peer 10.x.x.x/32 scope global tunsnx
valid_lft forever preferred_lft forever
inet6 fe80::acfe:8fce:99a4:44b7/64 scope link stable-privacy
valid_lft forever preferred_lft forever
ip route ti mostrerà anche nuovi percorsi che attraversano il tunsnx interfaccia.
Per maggiore comodità, puoi definire come home page l'URL della WebVPN.
5) Per chiudere la VPN, premi il pulsante "Disconnetti" nel popup Java o chiudi/chiudi Firefox.
Vedi correlati:ottenere Checkpoint VPN SSL Network Extender funzionante nella riga di comando