GNU/Linux >> LINUX-Kenntnisse >  >> Debian

Debian – Checkpoint Vpn SSL Network Extender in der Befehlszeile zum Laufen bringen?

Das offizielle Checkpoint-Befehlszeilentool von CheckPoint zum Einrichten eines SSL Network Extender VPN funktioniert nicht mehr über die Linux-Befehlszeile. Es wird auch nicht mehr aktiv von CheckPoint unterstützt.

Es gibt jedoch ein vielversprechendes Projekt, das versucht, das Java-Applet zur Authentifizierung zu replizieren, das mit dem snx kommuniziert Befehlszeilenprogramm namens snxconnect .

Ich habe versucht, snxconnect zu setzen Text-Dienstprogramm, um in Debian Buster zu arbeiten, dabei:

sudo pip install snxvpn

und

export PYTHONHTTPSVERIFY=0
snxconnect -H checkpoint.hostname -U USER

Es starb jedoch meistens entweder mit einem HTTP-Fehler von:

HTTP/1.1 301 Moved Permanently:

oder:

Got HTTP response: HTTP/1.1 302 Found

oder:

Unexpected response, try again.

Was tun?

PS. Der offizielle VPN-Client von EndPoint Security funktioniert sowohl auf einem Mac High Sierra als auch auf Windows 10 Pro gut.

Akzeptierte Antwort:

SNX-Build 800007075 von 2012, wird verwendet, um das CheckPoint-VPN von der Linux-Befehlszeile aus zu unterstützen. Also habe ich es getestet und siehe da, es funktioniert immer noch mit den neuesten Distributionen und Kernel(s) 4.x/5.x.

Letztendlich gilt also meine andere Antwort in diesem Thread, wenn Sie SNX Build 800007075 oder nicht bekommen können wenn diese spezifische Version von SNX nicht mehr mit den aktuellen Linux-Versionen funktioniert (das könnte in naher Zukunft passieren) oder wenn Sie OTP-Unterstützung benötigen.

Derzeit installiert die Lösung dann diese spezifische letzte Version von SNX, die noch unterstützt das Ausführen des VPN über die Befehlszeile.

  1. Zur Installation von snx build 800007075, erhalten von:
wget https://starkers.keybase.pub/snx_install_linux30.sh?dl=1 -O snx_install.sh

Für Debian und Debian-basierte 64-Bit-Systeme wie Ubuntu und Linux Mint müssen Sie möglicherweise die 32-Bit-Architektur hinzufügen:

sudo dpkg --add-architecture i386
sudo apt-get update

Ich musste die folgenden 32-Bit-Pakete installieren:

sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386

Führen Sie dann snx aus Installationsskript:

chmod a+rx snx_install.sh
sudo ./snx_install.sh`

Sie haben jetzt einen /usr/bin/snx Ausführbare 32-Bit-Client-Binärdatei. Überprüfen Sie mit:

, ob dynamische Bibliotheken fehlen 
sudo ldd /usr/bin/snx

Sie können nur mit den folgenden Punkten fortfahren, wenn alle Abhängigkeiten erfüllt sind.

Möglicherweise müssen Sie zuerst snx -s CheckpointURLFQDN -u USER manuell ausführen , vor dem Scripting einer automatischen Verwendung, für die VPN-Signatur unter /etc/snx/USER.db gespeichert werden .

  1. Bevor Sie es verwenden, erstellen Sie eine ~/.snxrc file, using your regular user (not root) mit folgendem Inhalt:

    server IP_address_of_your_VPN
username YOUR_USER
reauth yes

  2. Geben Sie zum Verbinden snx ein

    $ snx
    Linux SNX von Check Point
    build 800007075
    Bitte geben Sie Ihr Passwort ein:

    SNX – verbunden.

    Sitzungsparameter:

    Büromodus-IP:10.x.x.x
    DNS-Server:10.x.x.x
    Sekundärer DNS-Server:10.x.x.x
    DNS-Suffix:xxx.xx, xxx.xx
    Timeout:24 Stunden

Verwandte:Die Nachrichten-App funktioniert nicht mehr?

Wenn Sie die Sicherheitsrisiken bei der Hartcodierung eines VPN-Passworts in einem Skript verstehen, können Sie es auch verwenden als:

echo 'Password' | snx

  1. Zum Schließen/Trennen des VPN, während Sie snx stoppen/beenden können , der bessere und offizielle Weg ist die Ausgabe des Befehls:

    $snx -d
    SNX – Verbindung trennen…
    erledigt.

siehe auch Konfigurationsprobleme des Linux Checkpoint SNX-Tools für einige Klarstellungen darüber, welches snx zu verwendende Version.

  1. Wenn ich die Anmeldung automatisiere und eine neue Signatur akzeptiere (und die Auswirkungen auf die Sicherheit verstehe), habe ich einen expect geschrieben Skript, das ich das Skript snx_login.exp genannt habe; nicht sehr sicher, aber Sie können Ihr Login automatisieren, indem Sie es mit dem Passwort als Argument aufrufen:

    #!/usr/bin/expect
    erzeugt /usr/bin/snx

    Passwort setzen [lindex $argv 0]

    Erwarten Sie „?Kennwort:
    senden – “$passwordr”

    rechne {
    „o:“ {
    sende „yr“
    exp_continue
    }
    eof
    }

PS. Vorsicht snx OTP allein nicht unterstützt, müssen Sie snxconnect verwenden Skript in der anderen Antwort vorhanden, wenn Sie es verwenden.

PPS @gibies machte mich darauf aufmerksam, dass das Passwortfeld bei Verwendung eines Etokens das Passwort plus das angehängte Etoken und kein festes Passwort enthält.


Debian

  1. Arbeiten mit Datenströmen auf der Linux-Befehlszeile

  2. „Getting to Done“ in der Linux-Befehlszeile

  3. Arbeiten mit Pipes auf der Linux-Befehlszeile

  4. So zeigen Sie die Netzwerk-Routing-Tabelle in Debian 10 an

  5. Überprüfen von SSL-Ablaufdaten über die Befehlszeile

Beherrschung des Tree-Befehls auf Debian

So starten Sie Debian über die Befehlszeile neu

Aktualisieren Sie Debian 9 Stretch auf Debian 10 Buster über die Befehlszeile

Debian – VPN-Ssl-Netzwerk-Extender in Firefox?

Arbeiten mit Docker-Images über die Befehlszeile

Arbeiten mit Docker-Containern über die Befehlszeile