ubuntuusers.de

Check Point SSL Network Extender

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Mit dem Check Point SSL Network Extender ist es möglich, eine VPN-Verbindung zur FireWall-1/VPN-1 aufzubauen. Diese Firewall ist eine kommerzielle Software des israelischen Herstellers Check Point 🇬🇧.

Voraussetzungen

Für den SSL Network Extender werden zusätzliche Pakete benötigt:

  • libx11-6:i386

  • libstdc++5:i386

  • libpam0g:i386

Paketliste zum Kopieren:

sudo apt-get install libx11-6:i386 libstdc++5:i386 libpam0g:i386 

Oder mit apturl installieren, Link: apt://libx11-6:i386,libstdc++5:i386,libpam0g:i386

Ja nach Ubuntu-Version kann es notwendig sein vorher

dpkg --add-architecture i386 

auszuführen.

Installation

Der SSL Network Extender kann von der Check Point Webseite 🇬🇧 ⮷ heruntergeladen werden, sofern man über einen gültigen Account verfügt. Für Ubuntu wird die Version "SNX NGX R66 HFA 1 for Linux" benötigt. Alternativ kann man den SSL Network Extender auch direkt vom VPN Gateway herunterladen.

https://<Adresse_des_VPN_Gateways>/SNX/INSTALL/snx_install.sh

Zur Installation des SSL Network Extenders muss die Installationsdatei Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh bzw. snx_install.sh ausführbar[2] gemacht werden. Danach kann der Check Point SSL Network Extender installiert werden:

sudo sh ./Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh 

bzw.

sudo sh ./snx_install.sh 

Hinweis!

Fremdsoftware kann das System gefährden.

Nach erfolgreicher Installation wird "Installation successfull" ausgegeben.

Erfolgreiche Installation

Die Eingabe von

snx 

führt zu

failed to open file: /home/user01/.snxrc
Valid attributes are:
   - server          SNX server to connet to
   - sslport         The SNX SSL port (if not default)
   - username        the user name
   - certificate     certificate file to use
   - calist          directory containing CA files
   - reauth          enable automatic reauthentication. Valid values { yes, no }
   - debug           enable debug output. Valid values { yes, 1-5 }
   - cipher          encryption algorithm to use. Valid values { RC4 / 3DES }
   - proxy_name      proxy hostname 
   - proxy_port      proxy port
   - proxy_user      username for proxy authentication

Unvollständige Installation

Die Erfolgsmeldung kommt allerdings auch dann, wenn die vorgenannten Pakete gar nicht installiert wurden. Diese Vorbedingung wird vom Installationsprogramm nicht geprüft und im Fehlerfall nicht gemeldet. Daher als ersten Test in einem Terminal den Befehl snx eingeben. Es erscheint die irreführende Meldung:

bash: /usr/bin/snx: Datei oder Verzeichnis nicht gefunden

/usr/bin/snx ist sehr wohl vorhanden: Pakete nachinstallieren und fertig.

Verbindungsaufbau

Verwendungsmöglichkeiten wie gewohnt mit der Option --help ermitteln:

snx --help 

ergibt

Check Point's Linux SNX
build 800004013
usage: snx -s <server> {-u <user>|-c <certfile>} [-l <ca dir>] [-p <port>] [-r] [-g] [-e <cipher>]
                                run SNX using given arguments
       snx -f <cf>              run the snx using configuration file
       snx                      run the snx using the ~/.snxrc

       snx -d                   disconnect a running SNX daemon

        -s <server>           connect to server <server>
        -u <user>             use the username <user>
        -c <certfile>         use the certificate file <certfile>
        -l <ca dir>           get trusted ca's from <ca dir>
        -p <port>             connect using port <port>
        -g                    enable debugging
        -e <cipher>           SSL cipher to use: RC4 or 3DES

Mit folgendem Befehl dann die Verbindung zum Server aufbauen, dabei auf Groß-/Kleinschreibung beim Benutzernamen achten:

snx -s [SERVER] -u [BENUTZERNAME] 

Konnte die Verbindung erfolgreich aufgebaut werden, erhält man folgende Verbindungsübersicht:

SNX - connected.

Session parameters:
===================
Office Mode IP      : 192.168.0.10
DNS Server          : 192.168.0.2
Secondary DNS Server: 192.168.0.3
Timeout             : 8 hours 

Danach ist der Zugriff in das andere Netzwerk möglich.

Beim ersten Verbindungsaufbau muss man einmalig den Zielserver bestätigen, hierzu sollte man natürlich dessen Daten kennen.

Check Point's Linux SNX
build 800004013
Please enter your password:
SNX authentication:
Please confirm the connection to gateway: <gateway-info>
Root CA fingerprint: <fingerprint-data>
Do you accept? [y]es/[N]o:

Ablage der Verbindungs-Daten

Damit man nicht immer IP/Benutzername oder Zertifikat angeben muss, können diese Daten im Homeverzeichnis in der Datei ~/.snxrc abgelegt werden. Beispiel:

server IP-ADRESSE
# username BENUTZERNAME
certificate /home/BENUTZERNAME/ZERTIFIKAT.p12

Hinweis:

Kommentarzeilen immer mit # einleiten. Daneben ist snx z.B. entweder mit Benutzername oder Zertifikat betreibbar, nicht aber mit beidem.

Verbindungsabbau

Die Verbindung kann mit folgendem Befehl wieder abgebaut werden.

snx -d 

Diese Revision wurde am 6. Mai 2021 16:32 von frustschieber erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: ungetestet, VPN, Internet, Server, Netzwerk, Sicherheit, unfreie Software