将两个 Watchguard 防火墙的 VPN 合并为一个防火墙

没错，它们是用静态密钥加密的，方案是AES Key Wrap Algorithm (RFC 3394)。你可以解密它们。

我采用了这个公共领域的 C# 库，将其剥离为仅解密函数并将其移植到 PowerShell，因此它适合 StackOverflow 答案，不需要编译或二进制文件。

它不漂亮，没有错误检查或任何东西，但它似乎工作：

<#
.Synopsis
   Decrypts a Watchguard encrypted BOVPN pre-shared-key
.EXAMPLE
   Decrypt-WatchguardPsk -EncryptedPsk '0E611DC31F2AEBB4A6E69F2641E1E83D762F514F3636E1EFA86B9BDECFEFADFB'
#>
function Decrypt-WatchguardPsk
{
    [CmdletBinding()]
    [Alias()]
    [OutputType([int])]
    Param([Parameter(Mandatory=$true, ValueFromPipeline=$true, Position=0)]$EncryptedPsk)

    Process
    {
        function Group-ByCount ($ByteArray, $n) { #BigArray -> Arrays of n items
            $NumGroups=$ByteArray.Count/$n
            $Output= @()
            0..($NumGroups-1) | ForEach-Object { $Output += @(, [byte[]]$ByteArray[($_*$n)..(($_*$n)+$n-1)]) }
            $Output
        }

        $KeyEncryptionKey = [byte[]] @(29, 3, 245, 130, 135, 152, 43, 199, 1, 34, 115, 148, 228, 152, 222, 35)
        $EncryptedPsk = $EncryptedPsk -replace '\s|(</*psk>)|\+' # trim xml line. Here so you can do: sls '<psk>' *.xml | % Line | Decrypt-WatchguardPsk
        [byte[]] $Arrby = $EncryptedPsk -split "(?<=\G\w{2})(?=\w{2})" |% { [Convert]::ToByte($_, 16) } #HexTo[byte[]]
        $C = Group-ByCount $Arrby 8  #Byte array to groups of 8 bytes (AES blocks)

        # 1) AES Key Wrap - Initialize variables
        $A = $C[0]
        $R = @($C[1..($C.Count-1)])
        $Blockn = $R.Count

        # 2) Calculate intermediate values
        for ($j = 5; $j -ge 0; $j--) {
            for ($i = $Blockn - 1; $i -ge 0; $i--) {
                $t = $Blockn * $j + $i + 1  # add 1 because i is zero-based

                #64 bit XOR
                $A2 = $A.Clone()
                [Array]::Reverse($A2)
                $A2 = [BitConverter]::GetBytes([BitConverter]::ToInt64($A2, 0) -bxor $t)
                [Array]::Reverse($A2)
                $A = $A2

                # Decrypt block
                $Alg = New-Object -type System.Security.Cryptography.RijndaelManaged
                $Alg.Padding = [System.Security.Cryptography.PaddingMode]::None
                $Alg.Mode = [System.Security.Cryptography.CipherMode]::ECB
                $Alg.Key = $KeyEncryptionKey

                $ms = New-Object System.IO.MemoryStream
                $xf = $Alg.CreateDecryptor()
                $cs = New-Object System.Security.Cryptography.CryptoStream -ArgumentList @($ms, $xf, [System.Security.Cryptography.CryptoStreamMode]::Write)

                $AConcatRi = $A + $R[$i] + (New-Object 'byte[]' (16 - $A.Count - $R[$i].Count))

                $cs.Write($AConcatRi, 0, $Alg.BlockSize / 8)

                $B = Group-ByCount $ms.ToArray() 8
                $A         = $B[0] #MSB(B)
                $R[$i]     = $B[1] #LSB(B) 64 least significant bits of a 128
            }
        }

        -join ($R | % { [System.Text.Encoding]::ASCII.GetString($_) })
    }
}

例如

PS C:\> Decrypt-WatchguardPsk -EncryptedPsk '8B4B449A6D4253232C4CFC48E311B7B9DF360D5F4EAB310CAD9D7B92B4CD3CA6340841671FA9187E6AB5F4604D5E2B9319EC890A826B96EF47163B83F2294289109F8336441879416A230C26E0AEEBDC332798F54F482250'
Testing with dummy text lorem ipsum dolor sit amet, consectetur adipiscing elit

我不认为发布这是一个安全问题 - 任何可以获取防火墙配置文件的攻击者都已经通过了安全性，在防火墙或管理工作站上。配置不包含设备管理登录凭据。在不权衡许多其他问题的情况下，他们无法做太多其他事情来加密配置文件中的内容。阻止密码出现在纯文本搜索和索引中确实是一个实用层。

除了@TessellatingHeckler 发布的答案之外，还有另一种非技术方法可以将 VPN 从一个守卫转移到另一个守卫。我最终使用了这种方法，它就像一个魅力。

• 从旧防火墙导出配置。保持文件安全。让我们称之为old.xml。
• 在新防火墙上使 VPN 具有相同的配置。显然您不知道 PSK，因此请在框中输入任何内容。
• 从新防火墙导出配置。让我们称之为new.xml。
• 复制您尝试从中迁移的 VPN 的加密 PSK 字符串old.xml。覆盖 VPN 中的 PSK 字符串new.xml。
• 将new.xml背面应用到新防火墙。

这个想法是我们对 PSK 的价值不感兴趣。我们只想迁移它。那么为什么不直接迁移加密值呢？由于每个 Firebox 的加密都是相同的，我们可以迁移加密的 PSK。

同时重置两端网关的密码，并记录新的密码。将该新密码应用于新配置并保存到 firebox。