L'outil de ligne de commande officiel Checkpoint out de CheckPoint, pour la configuration d'un VPN SSL Network Extender, ne fonctionne plus à partir de la ligne de commande Linux. Il n'est également plus activement pris en charge par CheckPoint.

Cependant, il existe un projet prometteur, qui tente de répliquer l'applet Java pour l'authentification, qui parle avec le snx utilitaire de ligne de commande, appelé snxconnect .

J'essayais de mettre snxconnect utilitaire de texte pour fonctionner dans Debian Buster, en faisant :

sudo pip install snxvpn

et

export PYTHONHTTPSVERIFY=0
snxconnect -H checkpoint.hostname -U USER 

Cependant, il mourait principalement soit avec une erreur HTTP de :

HTTP/1.1 301 Moved Permanently:

ou :

Got HTTP response: HTTP/1.1 302 Found

ou :

Unexpected response, try again.

Que faire ?

PS. Le client officiel EndPoint Security VPN fonctionne bien sur Mac High Sierra et Windows 10 Pro.

Réponse acceptée :

SNX build 800007075 à partir de 2012, utilisé pour prendre en charge le VPN CheckPoint à partir de la ligne de commande Linux. Je l'ai donc testé, et voilà, il fonctionne toujours avec les dernières distributions et noyau(x) 4.x/5.x.

Donc, finalement, mon autre réponse dans ce fil est vraie, si vous ne pouvez pas vous procurer SNX build 800007075 ou si cette version spécifique de SNX cesse de fonctionner avec les versions Linux actuelles (cela pourrait arriver dans un avenir proche) ou si vous avez besoin d'assistance OTP.

Actuellement, la solution installe alors cette dernière version spécifique de SNX qui encore prend en charge le VPN à partir de la ligne de commande.

1. Pour installer snx build 800007075, obtenez-le depuis :

wget https://starkers.keybase.pub/snx_install_linux30.sh?dl=1 -O snx_install.sh

Pour les systèmes Debian et 64 bits basés sur Debian comme Ubuntu et Linux Mint, vous devrez peut-être ajouter l'architecture 32 bits :

sudo dpkg --add-architecture i386
sudo apt-get update    

J'ai dû installer les packages 32 bits suivants :

sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386

Exécutez ensuite le snx script d'installation :

chmod a+rx snx_install.sh
sudo ./snx_install.sh`

Vous aurez maintenant un /usr/bin/snx Exécutable binaire client 32 bits. Vérifiez s'il manque des bibliothèques dynamiques avec :

sudo ldd /usr/bin/snx

Vous ne pouvez passer aux points suivants que lorsque toutes les dépendances sont satisfaites.

Vous devrez peut-être d'abord exécuter manuellement snx -s CheckpointURLFQDN -u USER , avant de scripter toute utilisation automatique, pour que la signature VPN soit enregistrée dans /etc/snx/USER.db .

2. Avant de l'utiliser, vous créez un fichier ~/.snxrc file, using your regular user (not root) avec le contenu suivant :

   server IP_address_of_your_VPN
   username YOUR_USER
   reauth yes
   

3. Pour vous connecter, tapez snx

   $ snx
   Linux SNX de Check Point
   build 800007075
   Veuillez saisir votre mot de passe :

   SNX – connecté.

   Paramètres de session :

   IP mode bureau :10.x.x.x
   Serveur DNS :10.x.x.x
   Serveur DNS secondaire :10.x.x.x
   Suffixe DNS :xxx.xx, xxx.xx
   Délai :24 heures

En relation :L'application Messages a cessé de fonctionner ?

Si vous comprenez les risques de sécurité liés au codage en dur d'un mot de passe VPN dans un script, vous pouvez également l'utiliser comme :

echo 'Password' | snx

4. Pour fermer/déconnecter le VPN, alors que vous pouvez arrêter/tuer snx , la meilleure façon officielle est d'émettre la commande :

   $snx -d
   SNX – Déconnexion…
   terminé.

voir également les problèmes de configuration de l'outil Linux Checkpoint SNX pour des éclaircissements sur le snx version à utiliser.

5. Si vous automatisez la connexion et acceptez une nouvelle signature (et comprenez les implications en matière de sécurité), j'ai écrit un expect script, que j'ai appelé le script snx_login.exp; pas très sécurisé, vous pouvez cependant automatiser votre login en l'appelant avec le mot de passe en argument :

   #!/usr/bin/expect
   spawn /usr/bin/snx

   définir le mot de passe [lindex $argv 0]

   attendez-vous à "?mot de passe : ”
   envoyer — “$passwordr”

   attendre {
   "o :" {
   envoyer "yr"
   exp_continue
   }
   eof
   }

PS. Attention snx ne prend pas en charge OTP seul, vous devrez utiliser le snxconnect script présent sur l'autre réponse si vous l'utilisez.

PPS @gibies a attiré mon attention sur le fait qu'en utilisant un etoken, le champ du mot de passe obtient le mot de passe plus l'etoken ajouté et non un mot de passe fixe.