Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect pour Linux (Ubuntu / CentOS) Guide d’utilisation
Information COVID-19 – Confinement Suite au travail conjoint des pôles sécurité et réseau de la DSI, a été mis en production une infrastructure VPN complémentaire pour augmenter le nombre de connexions simultanées. Les informations relatives au changement de portail VPN seront annotées par COVID19 avec la couleur prune.
Table des matières
GlobalProtect avec client Linux OpenConnect ...... 3
Installation OpenConnect Linux Debian / Ubuntu ...... 3 Installation OpenConnect Linux CentOS / Fedora / RedHat ...... 3
Enterprise Linux 5 ou Centos 5 ...... 3 Enterprise Linux 6 ou Centos 6 ...... 3 Enterprise Linux 7 ou Centos 7 ...... 4
Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat ...... 4
GlobalProtect avec client Linux VPNC ...... 5
Installation VPNC Ubuntu ...... 5 Installation VPNC CentOS ...... 5 Configuration VPNC Ubuntu / CentOS ...... 5 Connexion accès à distance VPNC Ubuntu / CentOS ...... 5
GlobalProtect avec client linux StrongSwan ...... 6
Installation StrongSwan Ubuntu ...... 6
GlobalProtect pour Linux 15/07/2020 1/7 Direction des Systèmes d’Information - Université Paris-Saclay
Installation StrongSwan CentOS ...... 6 Configuration StrongSwan Ubuntu / CentOS ...... 6 Connexion accès à distance StrongSwan Ubuntu ...... 7 Connexion accès à distance StrongSwan CentOS ...... 7
GlobalProtect pour Linux 15/07/2020 2/7 Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect avec client Linux OpenConnect
Openconnect est un client VPN SSL supporté sur Debian, Ubuntu,CentOS, Fedora, RedHat
Installation OpenConnect Linux Debian / Ubuntu
Versions supportées : Ubuntu 18.4 ou 16.04 sudo apt-get install openconnect
Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. sudo openconnect --version (avec deux tiret)
Installation OpenConnect Linux CentOS / Fedora / RedHat
Versions supportées : Centos 5 minimum yum –y install openconnect
Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. openconnect --version (avec deux tiret)
Il se peut que les paquetages ne soient pas disponibles si le dépôt logiciel afférent est manquant. En fonction de votre version d’Entreprise ou CentOs, il vous suffit – dans ce cas – d’ajouter les paquetages depuis le dépôt EPEL comme suit :
Enterprise Linux 5 ou Centos 5 rpm -Uvh http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm yum install foo
Enterprise Linux 6 ou Centos 6 rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm yum install foo
GlobalProtect pour Linux 15/07/2020 3/7 Direction des Systèmes d’Information - Université Paris-Saclay
Enterprise Linux 7 ou Centos 7 rpm -Uvh http://download.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm yum install foo
Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat
COVID-19 - Modification à effectuer liée à la nouvelle infrastructure Le portail est : vpn2.u-psud.fr
openconnect --protocol=gp -u prenom.nom vpn2.u-psud.fr ou sudo openconnect --protocol=gp -u prenom.nom vpn2.u-psud.fr
Saisissez votre mot de passe
POST https://vpn2.u-psud.fr/ssl- vpn/prelogin.esp?tmp=tmp&clientVer=4100&clientos=Linux Connected to 129.175.207.70:443 Négociation SSL avec vpn2.u-psud.fr Connected to HTTPS on vpn2.u-psud.fr …
Des messages d’erreur peuvent apparaître, n’en tenez pas compte si la connexion est bien établie.
La connexion VPN est alors établie.
Lorsque vous n'aurez plus besoin d'accéder aux systèmes nécessitant un accès sécurisé, n'oubliez pas de vous déconnecter. En effet, le nombre de connexions sécurisées étant limités, il est important de les libérer dès que possible. Pour se faire, il faut :
1. Appuyez sur les touches Ctrl + C pour arrêter OpenConnect. 2. Fermer votre terminal.
Il est possible d’utiliser openconnect en mode graphique si network-manager-openconnect et network-manager-openconnect-gnome (debian et ubuntu) sont installés.
GlobalProtect pour Linux 15/07/2020 4/7 Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect avec client Linux VPNC
Installation VPNC Ubuntu
Versions supportées : Ubuntu 10.04 minimum sudo apt-get install vpnc
Installation VPNC CentOS
Versions supportées : Centos 6 minimum yum install vpnc
Configuration VPNC Ubuntu / CentOS Créer le fichier de configuration (vpnups.conf) comme indiqué ci-après. Ce fichier est habituellement à mettre dans /etc/vpnc.
COVID-19 - Modification à effectuer liée à la nouvelle infrastructure Le portail est : vpn2.u-psud.fr vpnups.conf IPSec gateway vpn2.u-psud.fr IPSec ID groupeVPN IPSec secret motdepasseVPN
Remplacer les valeurs suivantes par: groupeVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite-paris- saclay.fr motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@ universite- paris-saclay.fr
Connexion accès à distance VPNC Ubuntu / CentOS vpnc vpnups.conf
La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, vpnc-disconnect
Il est possible de configurer vpnc en mode graphique si network-manager-vpnc-gnome est installé.
GlobalProtect pour Linux 15/07/2020 5/7 Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect avec client linux StrongSwan
Installation StrongSwan Ubuntu sudo apt-get install strongswan
Installation StrongSwan CentOS yum install strongswan
Configuration StrongSwan Ubuntu / CentOS
Modifier les fichiers de configuration (ipsec.conf / ipsec.secrets) comme indiqué ci-après. Ces fichiers sont habituellement dans le répertoire /etc/strongswan.
COVID-19 - Modification à effectuer liée à la nouvelle infrastructure Le portail est : vpn2.u-psud.fr ipsec.conf config setup conn %default ikelifetime=20m reauth=yes rekey=yes keylife=10m rekeymargin=3m rekeyfuzz=0% keyingtries=1 type=tunnel
conn VPNUPS keyexchange=ikev1 ikelifetime=1440m keylife=60m aggressive=yes ike=aes-sha1-modp1024,aes256 esp=aes-sha1 xauth=client left=adresseIP-client leftid=@#groupeVPN-Hex leftsourceip=%modeconfig leftauth=psk rightauth=psk leftauth2=xauth right=vpn2.u-psud.fr rightid=129.175.207.70 rightsubnet=0.0.0.0/0 xauth_identity=nomutilisateur auto=add
GlobalProtect pour Linux 15/07/2020 6/7 Direction des Systèmes d’Information - Université Paris-Saclay
Remplacer les valeurs suivantes par : adresseIP-client : adresse IP du PC client, par exemple 192.168.1.10 groupeVPN-Hex : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail)
ipsec.secrets : PSK "motdepasseVPN" nomutilisateur : XAUTH "motdepasseutilisateur"
Remplacer les valeurs suivantes par: motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail) motdepasseutilisateur :mot de passe associé au login prenom.nom
Attention, le mot de passe utilisateur est en clair dans le fichier ipsec.secrets. Il est donc nécessaire de protéger ce fichier (écriture et lecture uniquement par le compte root).
Connexion accès à distance StrongSwan Ubuntu ipsec start ipsec up VPNUPS
La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, ipsec stop
Connexion accès à distance StrongSwan CentOS strongswan start strongswan up VPNUPS
La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, strongswan stop
GlobalProtect pour Linux 15/07/2020 7/7