Je dois me connecter depuis une machine virtuelle Debian Stretch amd64 à un VPN d'entreprise CheckPoint.
Je l'utilise du point de vue du client et je ne connais pas beaucoup de détails techniques sur le côté serveur. Je l'utilise avec le client CheckPoint Mobile sous Windows, et je sais qu'il accepte les connexions Web VPN avec Firefox+Java alias SSL Network Extender.
J'ai essayé de l'ouvrir dans Firefox sous Linux, mais cela n'a pas fonctionné. J'ai également étudié les alternatives en mode texte, à savoir le snx client en ligne de commande, cependant la littérature CheckPoint indique clairement les connexions directes depuis snx dans la ligne de commande, ne sont plus pris en charge.
J'ai fait plusieurs tests, y compris l'installation du snx client Linux, snxconnect et le openconnect/vpnc Client VPN sans grand succès. Je soupçonne également quelque peu que le côté CheckPoint, en plus du processus déjà compliqué, vérifie à nouveau l'agent utilisateur, du moins dans mon cas.
Que faire ?
Réponse acceptée :
Finalement, j'ai décidé de me contenter de l'authentification avec Firefox+Java (puis plus tard, j'ai changé d'avis, voir le lien correspondant en bas ). La machine virtuelle elle-même n'exécute ni Java ni une interface graphique, et j'exécute Firefox sur un serveur X distant sur mon ordinateur portable lorsque j'ai besoin de me connecter à notre réseau d'entreprise.
La procédure est à peu près :
1) Installation de firefox
2) Téléchargement du snx Installation du client Linux après se connecter à l'interface client Web VPN
3) Installer JDK
4) Une fois tout installé, accéder à l'URL VPN dans firefox chaque fois que vous devez utiliser le VPN.
5) Fermer le VPN via firefox
En ce qui concerne le guide des étapes réelles :
1) Après quelques tests, il est évident que le dernier firefox version ne le coupe pas en exécutant l'applet Java.
Firefox 52 et supérieur
À partir de Firefox 52 (publié en mars 2017), la prise en charge des plug-ins est
limitée à Adobe Flash et supprime la prise en charge de NPAPI, ce qui a un impact sur les plug-ins
pour Java, Silverlight et d'autres plug-ins similaires basés sur NPAPI.
Donc, après avoir testé quelques firefox anciennes versions, je me suis contenté de firefox 48 qui sera juste utilisé pour se connecter au VPN. Téléchargé depuis les archives firefox.
Donc dans votre répertoire cible, faites :
tar -jxvf firefox-48.0.tar.bz2
Faites ensuite :
cd firefox
Pour l'empêcher de se mettre à jour vers une version plus récente la première fois que vous l'exécutez sur ce répertoire :
sudo touch updates
sudo chattr +i updates
Remarque :la première fois que vous l'exécutez, vous désactivez également les mises à jour soit avec :
- icône de menu->Préférences->Avancé->Mises à jour
ou :
- ouverture de l'URL about:preferences#advanced
et dans "Firefox Updates" sélectionnez le bouton radio :"Ne jamais vérifier les mises à jour"
2) Si dans le VPN, pour obtenir le fichier d'installation, faites :
wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh
Vous pouvez également télécharger l'application depuis l'interface Web VPN, dans "Paramètres->Modifier les paramètres de l'application native SSL Network Extender :Télécharger l'installation pour Linux"
Cela vous donnera un snx_install.sh fichier.
Vous devez également sélectionner :"Lorsque vous vous connectez, lancez SSL Network Extender :", remplacez-le par "automatiquement".
Exécutez alors :
chmod a+rx snx_install.sh
sudo ./snx_install.sh`
Vous aurez connu un /usr/bin/snx Exécutable binaire client 32 bits. Vérifiez quelles bibliothèques dynamiques manquent avec :
sudo ldd /usr/bin/snx
Pour Debian, vous aurez peut-être besoin de :
sudo dpkg --add-architecture i386
sudo apt-get update
J'ai dû installer les éléments suivants :
sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386
Vérifiez à nouveau s'il manque des bibliothèques dynamiques (le cas échéant) avec :
sudo ldd /usr/bin/snx
Vous ne pouvez passer au point suivant que lorsque toutes les dépendances sont satisfaites, car l'applet Java utilise snx dans les coulisses.
3) Après plusieurs itérations et explorations Web infructueuses, il a été constaté qu'il était nécessaire d'installer Java 6 à partir de Sun. J'ai donc jdk-6u45-linux-x64.bin depuis le site Oracle.
Pour l'installer, faites en tant que root :
mkdir /usr/java
mv jdk-6u45-linux-x64.bin /usr/java
cd /usr/java
chmod a+rx jdk-6u45-linux-x64.bin
./jdk-6u45-linux-x64.bin
Nous ne configurerons pas l'ensemble du système pour utiliser cette version de Java car elle est trop ancienne. Juste pour utiliser Java avec Firefox plus tard :
sudo mkdir -p /usr/lib/mozilla/plugins
sudo ln -s /usr/java/jdk1.6.0_45/jre/lib/amd64/libnpjp2.so libnpjp2.so
L'installation de Java est maintenant terminée.
4) Enfin, pour exécuter firefox en tant qu'utilisateur normal faire :
./firefox
Si l'applet Java/SSL Network Extender ne se lance pas après l'authentification, faites « Native Applications->Connect ». Il ouvrira une fenêtre popup/Java. Attendez "Statut :connecté".
Vous pouvez ensuite fermer la fenêtre principale de FireFox.
Une fois le VPN établi, vous pouvez vérifier avec ip address ou ifconfig vous avez maintenant un tunsnx interface :
$ ip addr show dev tunsnx
14: tunsnx: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.x.x.x peer 10.x.x.x/32 scope global tunsnx
valid_lft forever preferred_lft forever
inet6 fe80::acfe:8fce:99a4:44b7/64 scope link stable-privacy
valid_lft forever preferred_lft forever
ip route vous montrera également de nouveaux itinéraires passant par le tunsnx interface.
Pour plus de commodité, vous pouvez définir comme page d'accueil l'URL du WebVPN.
5) Pour fermer le VPN, vous appuyez soit sur le bouton "Déconnecter" dans la fenêtre contextuelle Java, soit fermez/tuez Firefox.
Voir connexe :faire fonctionner Checkpoint VPN SSL Network Extender dans la ligne de commande