Voraussetzungen¶

Für den SSL Network Extender werden zusätzliche Pakete benötigt:

• libx11-6:i386

• libstdc++5:i386

• libpam0g:i386

Befehl zum Installieren der Pakete:

sudo apt-get install libx11-6:i386 libstdc++5:i386 libpam0g:i386 

Oder mit apturl installieren, Link: apt://libx11-6:i386,libstdc++5:i386,libpam0g:i386

Ja nach Ubuntu-Version kann es notwendig sein vorher

dpkg --add-architecture i386 

auszuführen.

Installation¶

Der SSL Network Extender kann von der Check Point Webseite 🇬🇧 ⮷ heruntergeladen werden, sofern man über einen gültigen Account verfügt. Für Ubuntu wird die Version "SNX NGX R66 HFA 1 for Linux" benötigt. Alternativ kann man den SSL Network Extender auch direkt vom VPN Gateway herunterladen.

https://<Adresse_des_VPN_Gateways>/SNX/INSTALL/snx_install.sh

Zur Installation des SSL Network Extenders muss die Installationsdatei Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh bzw. snx_install.sh ausführbar^[2] gemacht werden. Danach kann der Check Point SSL Network Extender installiert werden:

sudo sh ./Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh 

bzw.

sudo sh ./snx_install.sh 

Nach erfolgreicher Installation wird "Installation successfull" ausgegeben.

snx 

failed to open file: /home/user01/.snxrc
Valid attributes are:
   - server          SNX server to connet to
   - sslport         The SNX SSL port (if not default)
   - username        the user name
   - certificate     certificate file to use
   - calist          directory containing CA files
   - reauth          enable automatic reauthentication. Valid values { yes, no }
   - debug           enable debug output. Valid values { yes, 1-5 }
   - cipher          encryption algorithm to use. Valid values { RC4 / 3DES }
   - proxy_name      proxy hostname 
   - proxy_port      proxy port
   - proxy_user      username for proxy authentication

bash: /usr/bin/snx: Datei oder Verzeichnis nicht gefunden

Verbindungsaufbau¶

Verwendungsmöglichkeiten wie gewohnt mit der Option --help ermitteln:

snx --help 

ergibt

Check Point's Linux SNX
build 800004013
usage: snx -s <server> {-u <user>|-c <certfile>} [-l <ca dir>] [-p <port>] [-r] [-g] [-e <cipher>]
                                run SNX using given arguments
       snx -f <cf>              run the snx using configuration file
       snx                      run the snx using the ~/.snxrc

       snx -d                   disconnect a running SNX daemon

        -s <server>           connect to server <server>
        -u <user>             use the username <user>
        -c <certfile>         use the certificate file <certfile>
        -l <ca dir>           get trusted ca's from <ca dir>
        -p <port>             connect using port <port>
        -g                    enable debugging
        -e <cipher>           SSL cipher to use: RC4 or 3DES

Mit folgendem Befehl dann die Verbindung zum Server aufbauen, dabei auf Groß-/Kleinschreibung beim Benutzernamen achten:

snx -s [SERVER] -u [BENUTZERNAME] 

Konnte die Verbindung erfolgreich aufgebaut werden, erhält man folgende Verbindungsübersicht:

SNX - connected.

Session parameters:
===================
Office Mode IP      : 192.168.0.10
DNS Server          : 192.168.0.2
Secondary DNS Server: 192.168.0.3
Timeout             : 8 hours 

Danach ist der Zugriff in das andere Netzwerk möglich.

Beim ersten Verbindungsaufbau muss man einmalig den Zielserver bestätigen, hierzu sollte man natürlich dessen Daten kennen.

Check Point's Linux SNX
build 800004013
Please enter your password:
SNX authentication:
Please confirm the connection to gateway: <gateway-info>
Root CA fingerprint: <fingerprint-data>
Do you accept? [y]es/[N]o:

server IP-ADRESSE
# username BENUTZERNAME
certificate /home/BENUTZERNAME/ZERTIFIKAT.p12

Verbindungsabbau¶

Die Verbindung kann mit folgendem Befehl wieder abgebaut werden.

snx -d 

Links¶

• Check Point FireWall-1/VPN-1 - Wikipedia

• VPN Artikelübersicht