SNX build 800007075 de 2012, usado para dar suporte ao CheckPoint VPN a partir da linha de comando do Linux. Então eu testei, e vejam só, ele ainda funciona com as últimas distribuições e kernel(s) 4.x/5.x.

Então, em última análise, minha outra resposta neste tópico é verdadeira, se você não conseguir obter o SNX build 800007075 ou se essa versão específica do SNX parar de funcionar com as versões atuais do Linux (pode acontecer em um futuro próximo) ou se você precisar de suporte OTP .

Atualmente, a solução é instalar esta última versão específica do SNX que ainda suporta fazer a VPN a partir da linha de comando.

1. Para instalar a snxcompilação 800007075, obtenha-a em:

wget https://starkers.keybase.pub/snx_install_linux30.sh?dl=1 -O snx_install.sh

Para sistemas de 64 bits baseados em Debian e Debian, como Ubuntu e Linux Mint, pode ser necessário adicionar a arquitetura de 32 bits:

sudo dpkg --add-architecture i386
sudo apt-get update    

Eu tive que instalar os seguintes pacotes de 32 bits:

sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386

Execute então o snxscript de instalação:

chmod a+rx snx_install.sh
sudo ./snx_install.sh`

Você terá agora um /usr/bin/snxexecutável binário do cliente de 32 bits. Verifique se alguma biblioteca dinâmica está faltando com:

sudo ldd /usr/bin/snx

Você só pode prosseguir para os seguintes pontos quando todas as dependências estiverem satisfeitas.

Talvez seja necessário executar manualmente primeiro snx -s CheckpointURLFQDN -u USER, antes de criar scripts de qualquer uso automático, para que a assinatura VPN seja salva em /etc/snx/USER.db.

2. Antes de usá-lo, você cria um ~/.snxrc file, using your regular user (not root) com o seguinte conteúdo:

   server IP_address_of_your_VPN
   username YOUR_USER
   reauth yes
   

3. Para conectar, digitesnx

   $ snx Check Point Linux SNX build 800007075 Digite sua senha:

   SNX - conectado.

   Parâmetros da sessão:

   IP do modo de escritório: 10.xxx Servidor DNS: 10.xxx Servidor DNS secundário: 10.xxx Sufixo DNS: xxx.xx, xxx.xx Tempo limite: 24 horas

Se você entender os riscos de segurança de codificar uma senha de VPN em um script, também poderá usá-la como:

echo 'Password' | snx

4. Para fechar/desconectar a VPN, embora você possa parar/matar snx, a maneira melhor e oficial é emitir o comando:

    $snx -d
    SNX - Disconnecting...
     done.

veja também problemas de configuração da ferramenta Linux Checkpoint SNX para alguns esclarecimentos sobre qual snxversão usar.

5. Se automatizando o login e aceitando uma nova assinatura (e entendendo as implicações de segurança), escrevi um expectscript, que chamei de script snx_login.exp; não muito seguro, porém você pode automatizar seu login, chamando-o com a senha como argumento:

   #!/usr/bin/expect spawn /usr/bin/snx

   definir senha [lindex $argv 0]

   expect " ?assword: " send -- "$senha\r"

   expect { "o:" { enviar "y\r" exp_continue } eof }

PS. Cuidado snxnão suporta OTP sozinho, você terá que usar o snxconnectscript presente na outra resposta se estiver usando.

O PPS @gibies me chamou a atenção que, usando um etoken, o campo de senha obtém a senha mais o etoken anexado e não uma senha fixa.

Ao trabalhar para instalar a interface oficial do Firefox SSL VPN Extender na questão VPN SSL Network Extender no Firefox , descobri e resolvi mais algumas peças do quebra-cabeça desta questão.

Aparentemente, embora o uso da linha de comando snxdo ponto de verificação tenha sido descontinuado, o cliente baseado na Web, conforme descrito no post vinculado, ainda funciona. No entanto, existe um cliente de linha de comando python, que tenta replicar a interface Web+Java em cima do snxcliente, e este post é sobre como configurá-lo para funcionar.

Em primeiro lugar, o snxvpinstalado de python pipnão funciona. Existe uma versão atualizada com patch em https://github.com/agnis-mateuss/snxvpn , que possui alguns patches úteis, incluindo uma opção para ignorar certificados não assinados e/ou expirados e, mais interessante, ser compatível com python2 e python3.

Além disso, todos os URLs snxconnect.pydevem ser alterados de sslvpn/``.

Portanto, as instruções passo a passo são aproximadamente:

1. Em primeiro lugar, instalando a snxconfiguração:

Se estiver na VPN, para obter o arquivo de instalação, faça:

wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh 

Caso contrário, você terá que obtê-lo na interface da web, conforme descrito na resposta vinculada.

Para o Debian, você pode precisar de:

sudo dpkg --add-architecture i386
sudo apt-get update    

Tive que instalar o seguinte:

sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386

Execute então:

chmod a+rx snx_install.sh
sudo ./snx_install.sh`

Você terá agora um /usr/bin/snxexecutável binário do cliente de 32 bits. Verifique se alguma biblioteca dinâmica está faltando com:

sudo ldd /usr/bin/snx

Você só pode prosseguir para os seguintes pontos quando todas as dependências estiverem satisfeitas.

Não tenho certeza se você precisa executar primeiro snx -s CheckpointURLFQDN -u USERantes de usar snxconnect, pois a assinatura VPN deve ser salva em /etc/snx/USER.db.

2. Agora temos o snxconnectutilitário python. Tal programa tenta emular a interface web e, mais interessante, não precisa de Java para autenticar.

Então, para instalar e configurar snxconnect, execute como root:

apt-get -y install git make libxml2-dev libxslt1-dev zlib1g-dev
apt-get -y install python-pip
pip install pytz
git clone https://github.com/agnis-mateuss/snxvpn
git clone  git://git.code.sf.net/p/sfreleasetools/code releasetools
cd snxvpn   

Now, as for taking out the /sslvpn URL, some Checkpoint appliances need it, some do not. I am not still aware of why the difference. I need it, @WileyMarques does not.

sed -i "s/sslvpn\///g" snxconnect.py  

. então faça como root, para python3: (recomendado)

apt-get install python3-pip python3-docutils python3-pip python3-libxml2 python3-dev python3-crypto python3-bs4
pip install rsa
make
python3 setup.py install --prefix=/usr/local

. ou em vez disso , faça como root, para python2:

apt-get install python-docutils python-libxml2 python-lxml python-dev python-bs4 python-beautifulsoup
sed -i "s/distutils.core/setuptools/g" setup.py
make
python setup.py install --prefix=/usr/local

3. Depois de instalá-lo, você pode executar como usuário não privilegiado:

   /usr/local/bin/snxconnect -H CheckpointURLFQDN -U USER --skip-cert --save-cookies

Se tudo correu bem, ele pedirá a senha e exibirá:

SNX connected, to leave VPN open, leave this running!

Se você está tendo problemas para receber esta mensagem e, em vez disso, está recebendo várias vezes seguidas, a mensagem: "Resposta inesperada, tente novamente.", execute o método Firefox e Desconecte-se e faça logout corretamente, aguardando alguns minutos antes de tentar o snxconnectcomando novamente.

4. O(s) arquivo(s) de cookie(s) será(ão) criado(s) em ~/.snxcookies, após um uso bem sucedido.

Depois que a VPN for estabelecida, você pode verificar ip addressou ifconfigagora tem uma tunsnxinterface:

$ ip addr show dev tunsnx
14: tunsnx: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none
    inet 10.x.x.x peer 10.x.x.x/32 scope global tunsnx
       valid_lft forever preferred_lft forever
    inet6 fe80::acfe:8fce:99a4:44b7/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

ip routetambém mostrará novas rotas passando pela tunsnxinterface.

5. Para fechar/desconectar a VPN, embora você possa parar/matar snxconnect, a maneira melhor e oficial é emitir o comando:

   $snx -d

   SNX - Desconectando... feito.

Além disso, também descobri:

• snxconnectparece se comportar melhor ao desconectar a conexão VPN anterior e fazer logout na interface web oficial se houver algum problema estranho (tenho que tentar fazer snx -dpara ver se produz o mesmo resultado);
• PYTHONHTTPSVERIFY=0 afeta apenas a versão python2;
• se a interface da web estiver fazendo um redirecionamento HTML para um local de CheckPoint secundário, apontando diretamente para esse nome de host redirecionado, terá melhores resultados;
• se os certificados dos firewalls forem autoassinados (geralmente são), a opção --skip-cert deve ser usada, ou a autenticação falhará;
• por não ter tantos problemas de reautenticação, tive que usar --save-cookies para usar cookies de autenticação, enquanto o usuário está logado no ponto VPN remoto (tem um timeout de x horas);
• conforme descrito na última pergunta, para que o script funcione, a opção "Ao entrar, inicie o SSL Network Extender" deve ser alterada para "automaticamente";
• 7776/TCP em localhost tem que ser gratuito, para possuí- snxlo, conforme snxconnectconversa com snxo uso;
• o nome do host passado para snxconnect/ snxé tratado como um host virtual e, como tal, você não pode usar diretamente o endereço IP da VPN;
• instalar uma arquitetura de 32 bits parece ser um requisito para executar o snx_install.shscript;
• você pode optar por executar como python2uma compensação por menos espaço, no entanto, como o python2 está sendo descontinuado, snxconnectem um futuro próximo pode não suportá-lo;
• de usar a interface do cliente da web, fica claro que preciso corrigir/excluir todas as /sslvpnstrings , pois meus URLs não começam com /sslvpn. Gostaria de verificar o seu caso particular. Eu não tenho absolutamente nenhuma idéia se a presença dessa string no código é devido a uma versão antiga, adoraria algum feedback;
• no snxconnectnome de host do CheckPoint deve ser o nome exato que a interface da web está mostrando a você uma vez autenticado lá, pois é um host virtual da web. Caso contrário, você não conseguirá estabelecer a VPN;
• Na primeira vez que snxfor usado, será criado um arquivo com a assinatura do servidor VPN/Checkpoint em /etc/snx/USER.db;
• Se você precisar usar o OTP a partir da linha de comando, terá que usar snxconnect, pois snxsozinho não o suporta.