L'outil de ligne de commande officiel Checkpoint out de CheckPoint, pour la configuration d'un VPN SSL Network Extender, ne fonctionne plus à partir de la ligne de commande Linux. Il n'est également plus activement pris en charge par CheckPoint.
Cependant, il existe un projet prometteur, qui tente de répliquer l'applet Java pour l'authentification, qui parle avec le snx
utilitaire de ligne de commande, appelé snxconnect
.
J'essayais de mettre snxconnect
utilitaire de texte pour fonctionner dans Debian Buster, en faisant :
sudo pip install snxvpn
et
export PYTHONHTTPSVERIFY=0
snxconnect -H checkpoint.hostname -U USER
Cependant, il mourait principalement soit avec une erreur HTTP de :
HTTP/1.1 301 Moved Permanently:
ou :
Got HTTP response: HTTP/1.1 302 Found
ou :
Unexpected response, try again.
Que faire ?
PS. Le client officiel EndPoint Security VPN fonctionne bien sur Mac High Sierra et Windows 10 Pro.
Réponse acceptée :
SNX build 800007075 à partir de 2012, utilisé pour prendre en charge le VPN CheckPoint à partir de la ligne de commande Linux. Je l'ai donc testé, et voilà, il fonctionne toujours avec les dernières distributions et noyau(x) 4.x/5.x.
Donc, finalement, mon autre réponse dans ce fil est vraie, si vous ne pouvez pas vous procurer SNX build 800007075 ou si cette version spécifique de SNX cesse de fonctionner avec les versions Linux actuelles (cela pourrait arriver dans un avenir proche) ou si vous avez besoin d'assistance OTP.
Actuellement, la solution installe alors cette dernière version spécifique de SNX qui encore prend en charge le VPN à partir de la ligne de commande.
- Pour installer
snx
build 800007075, obtenez-le depuis :
wget https://starkers.keybase.pub/snx_install_linux30.sh?dl=1 -O snx_install.sh
Pour les systèmes Debian et 64 bits basés sur Debian comme Ubuntu et Linux Mint, vous devrez peut-être ajouter l'architecture 32 bits :
sudo dpkg --add-architecture i386
sudo apt-get update
J'ai dû installer les packages 32 bits suivants :
sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386
Exécutez ensuite le snx
script d'installation :
chmod a+rx snx_install.sh
sudo ./snx_install.sh`
Vous aurez maintenant un /usr/bin/snx
Exécutable binaire client 32 bits. Vérifiez s'il manque des bibliothèques dynamiques avec :
sudo ldd /usr/bin/snx
Vous ne pouvez passer aux points suivants que lorsque toutes les dépendances sont satisfaites.
Vous devrez peut-être d'abord exécuter manuellement snx -s CheckpointURLFQDN -u USER
, avant de scripter toute utilisation automatique, pour que la signature VPN soit enregistrée dans /etc/snx/USER.db
.
-
Avant de l'utiliser, vous créez un fichier
~/.snxrc file, using your regular user (not root)
avec le contenu suivant :server IP_address_of_your_VPN username YOUR_USER reauth yes
-
Pour vous connecter, tapez
snx
$ snx
Linux SNX de Check Point
build 800007075
Veuillez saisir votre mot de passe :SNX – connecté.
Paramètres de session :
IP mode bureau :10.x.x.x
Serveur DNS :10.x.x.x
Serveur DNS secondaire :10.x.x.x
Suffixe DNS :xxx.xx, xxx.xx
Délai :24 heures
Si vous comprenez les risques de sécurité liés au codage en dur d'un mot de passe VPN dans un script, vous pouvez également l'utiliser comme :
echo 'Password' | snx
-
Pour fermer/déconnecter le VPN, alors que vous pouvez arrêter/tuer
snx
, la meilleure façon officielle est d'émettre la commande :$snx -d
SNX – Déconnexion…
terminé.
voir également les problèmes de configuration de l'outil Linux Checkpoint SNX pour des éclaircissements sur le snx
version à utiliser.
-
Si vous automatisez la connexion et acceptez une nouvelle signature (et comprenez les implications en matière de sécurité), j'ai écrit un
expect
script, que j'ai appelé le scriptsnx_login.exp
; pas très sécurisé, vous pouvez cependant automatiser votre login en l'appelant avec le mot de passe en argument :#!/usr/bin/expect
spawn /usr/bin/snxdéfinir le mot de passe [lindex $argv 0]
attendez-vous à "?mot de passe : ”
envoyer — “$passwordr”attendre {
"o :" {
envoyer "yr"
exp_continue
}
eof
}
PS. Attention snx
ne prend pas en charge OTP seul, vous devrez utiliser le snxconnect
script présent sur l'autre réponse si vous l'utilisez.
PPS @gibies a attiré mon attention sur le fait qu'en utilisant un etoken, le champ du mot de passe obtient le mot de passe plus l'etoken ajouté et non un mot de passe fixe.