Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect pour (Ubuntu / CentOS) Guide d’utilisation

Information COVID-19 – Confinement Suite au travail conjoint des pôles sécurité et réseau de la DSI, a été mis en production une infrastructure VPN complémentaire pour augmenter le nombre de connexions simultanées. Les informations relatives au changement de portail VPN seront annotées par COVID19 avec la couleur prune.

Table des matières

GlobalProtect avec client Linux OpenConnect ...... 3

Installation OpenConnect Linux Debian / Ubuntu ...... 3 Installation OpenConnect Linux CentOS / Fedora / RedHat ...... 3

Enterprise Linux 5 ou Centos 5 ...... 3 Enterprise Linux 6 ou Centos 6 ...... 3 Enterprise Linux 7 ou Centos 7 ...... 4

Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat ...... 4

GlobalProtect avec client Linux VPNC ...... 5

Installation VPNC Ubuntu ...... 5 Installation VPNC CentOS ...... 5 Configuration VPNC Ubuntu / CentOS ...... 5 Connexion accès à distance VPNC Ubuntu / CentOS ...... 5

GlobalProtect avec client linux StrongSwan ...... 6

Installation StrongSwan Ubuntu ...... 6

GlobalProtect pour Linux 15/07/2020 1/7 Direction des Systèmes d’Information - Université Paris-Saclay

Installation StrongSwan CentOS ...... 6 Configuration StrongSwan Ubuntu / CentOS ...... 6 Connexion accès à distance StrongSwan Ubuntu ...... 7 Connexion accès à distance StrongSwan CentOS ...... 7

GlobalProtect pour Linux 15/07/2020 2/7 Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect avec client Linux OpenConnect

Openconnect est un client VPN SSL supporté sur Debian, Ubuntu,CentOS, Fedora, RedHat

Installation OpenConnect Linux Debian / Ubuntu

Versions supportées : Ubuntu 18.4 ou 16.04 sudo apt-get install openconnect

Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. sudo openconnect --version (avec deux tiret)

Installation OpenConnect Linux CentOS / Fedora / RedHat

Versions supportées : Centos 5 minimum yum –y install openconnect

Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. openconnect --version (avec deux tiret)

Il se peut que les paquetages ne soient pas disponibles si le dépôt logiciel afférent est manquant. En fonction de votre version d’Entreprise ou CentOs, il vous suffit – dans ce cas – d’ajouter les paquetages depuis le dépôt EPEL comme suit :

Enterprise Linux 5 ou Centos 5 rpm -Uvh http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm yum install foo

Enterprise Linux 6 ou Centos 6 rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm yum install foo

GlobalProtect pour Linux 15/07/2020 3/7 Direction des Systèmes d’Information - Université Paris-Saclay

Enterprise Linux 7 ou Centos 7 rpm -Uvh http://download.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm yum install foo

Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat

COVID-19 - Modification à effectuer liée à la nouvelle infrastructure Le portail est : vpn2.u-psud.fr

openconnect --protocol=gp -u prenom.nom vpn2.u-psud.fr ou sudo openconnect --protocol=gp -u prenom.nom vpn2.u-psud.fr

Saisissez votre mot de passe

POST https://vpn2.u-psud.fr/ssl- vpn/prelogin.esp?tmp=tmp&clientVer=4100&clientos=Linux Connected to 129.175.207.70:443 Négociation SSL avec vpn2.u-psud.fr Connected to HTTPS on vpn2.u-psud.fr …

Des messages d’erreur peuvent apparaître, n’en tenez pas compte si la connexion est bien établie.

La connexion VPN est alors établie.

Lorsque vous n'aurez plus besoin d'accéder aux systèmes nécessitant un accès sécurisé, n'oubliez pas de vous déconnecter. En effet, le nombre de connexions sécurisées étant limités, il est important de les libérer dès que possible. Pour se faire, il faut :

1. Appuyez sur les touches Ctrl + C pour arrêter OpenConnect. 2. Fermer votre terminal.

Il est possible d’utiliser openconnect en mode graphique si network-manager-openconnect et network-manager-openconnect- (debian et ubuntu) sont installés.

GlobalProtect pour Linux 15/07/2020 4/7 Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect avec client Linux VPNC

Installation VPNC Ubuntu

Versions supportées : Ubuntu 10.04 minimum sudo apt-get install vpnc

Installation VPNC CentOS

Versions supportées : Centos 6 minimum yum install vpnc

Configuration VPNC Ubuntu / CentOS Créer le fichier de configuration (vpnups.conf) comme indiqué ci-après. Ce fichier est habituellement à mettre dans /etc/vpnc.

COVID-19 - Modification à effectuer liée à la nouvelle infrastructure Le portail est : vpn2.u-psud.fr vpnups.conf IPSec gateway vpn2.u-psud.fr IPSec ID groupeVPN IPSec secret motdepasseVPN

Remplacer les valeurs suivantes par: groupeVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite-paris- saclay.fr motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@ universite- paris-saclay.fr

Connexion accès à distance VPNC Ubuntu / CentOS vpnc vpnups.conf

La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, vpnc-disconnect

Il est possible de configurer vpnc en mode graphique si network-manager-vpnc-gnome est installé.

GlobalProtect pour Linux 15/07/2020 5/7 Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect avec client linux StrongSwan

Installation StrongSwan Ubuntu sudo apt-get install

Installation StrongSwan CentOS yum install strongswan

Configuration StrongSwan Ubuntu / CentOS

Modifier les fichiers de configuration (.conf / ipsec.secrets) comme indiqué ci-après. Ces fichiers sont habituellement dans le répertoire /etc/strongswan.

COVID-19 - Modification à effectuer liée à la nouvelle infrastructure Le portail est : vpn2.u-psud.fr ipsec.conf config setup conn %default ikelifetime=20m reauth=yes rekey=yes keylife=10m rekeymargin=3m rekeyfuzz=0% keyingtries=1 type=tunnel

conn VPNUPS keyexchange=ikev1 ikelifetime=1440m keylife=60m aggressive=yes ike=aes-sha1-modp1024,aes256 esp=aes-sha1 xauth=client left=adresseIP-client leftid=@#groupeVPN-Hex leftsourceip=%modeconfig leftauth=psk rightauth=psk leftauth2=xauth right=vpn2.u-psud.fr rightid=129.175.207.70 rightsubnet=0.0.0.0/0 xauth_identity=nomutilisateur auto=add

GlobalProtect pour Linux 15/07/2020 6/7 Direction des Systèmes d’Information - Université Paris-Saclay

Remplacer les valeurs suivantes par : adresseIP-client : adresse IP du PC client, par exemple 192.168.1.10 groupeVPN-Hex : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail)

ipsec.secrets : PSK "motdepasseVPN" nomutilisateur : XAUTH "motdepasseutilisateur"

Remplacer les valeurs suivantes par: motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail) motdepasseutilisateur :mot de passe associé au login prenom.nom

Attention, le mot de passe utilisateur est en clair dans le fichier ipsec.secrets. Il est donc nécessaire de protéger ce fichier (écriture et lecture uniquement par le compte root).

Connexion accès à distance StrongSwan Ubuntu ipsec start ipsec up VPNUPS

La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, ipsec stop

Connexion accès à distance StrongSwan CentOS strongswan start strongswan up VPNUPS

La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, strongswan stop

GlobalProtect pour Linux 15/07/2020 7/7