Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect pour Linux (Ubuntu / CentOS) Guide d’utilisation

Table des matières

GlobalProtect avec client Linux OpenConnect ...... 2

Installation OpenConnect Linux Debian / Ubuntu ...... 2 Installation OpenConnect Linux CentOS / Fedora / RedHat ...... 2

Enterprise Linux 5 ou Centos 5 ...... 2 Enterprise Linux 6 ou Centos 6 ...... 2 Enterprise Linux 7 ou Centos 7 ...... 3

Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat ...... 3

GlobalProtect avec client Linux VPNC ...... 4

Installation VPNC Ubuntu ...... 4 Installation VPNC CentOS ...... 4 Configuration VPNC Ubuntu / CentOS ...... 4 Connexion accès à distance VPNC Ubuntu / CentOS ...... 4

GlobalProtect avec client linux StrongSwan ...... 5

Installation StrongSwan Ubuntu ...... 5 Installation StrongSwan CentOS ...... 5 Configuration StrongSwan Ubuntu / CentOS ...... 5 Connexion accès à distance StrongSwan Ubuntu ...... 7 Connexion accès à distance StrongSwan CentOS ...... 7

GlobalProtect pour Linux 09/04/2020 1/7 Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect avec client Linux OpenConnect

Openconnect est un client VPN SSL supporté sur Debian, Ubuntu,CentOS, Fedora, RedHat

Installation OpenConnect Linux Debian / Ubuntu

Versions supportées : Ubuntu 18.4 ou 16.04 sudo apt-get install openconnect

Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. sudo openconnect --version (avec deux tiret)

Installation OpenConnect Linux CentOS / Fedora / RedHat

Versions supportées : Centos 5 minimum yum –y install openconnect

Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. openconnect --version (avec deux tiret)

Il se peut que les paquetages ne soient pas disponibles si le dépôt logiciel afférent est manquant. En fonction de votre version d’Entreprise ou CentOs, il vous suffit – dans ce cas – d’ajouter les paquetages depuis le dépôt EPEL comme suit :

Enterprise Linux 5 ou Centos 5 rpm -Uvh http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm yum install foo

Enterprise Linux 6 ou Centos 6 rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm yum install foo

GlobalProtect pour Linux 09/04/2020 2/7 Direction des Systèmes d’Information - Université Paris-Saclay

Enterprise Linux 7 ou Centos 7 rpm -Uvh http://download.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm yum install foo

Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat

openconnect --protocol=gp -u prenom.nom vpn.u-psud.fr ou sudo openconnect --protocol=gp -u prenom.nom vpn.u-psud.fr

Saisissez votre mot de passe

POST https://vpn.u-psud.fr/ssl- vpn/prelogin.esp?tmp=tmp&clientVer=4100&clientos=Linux Connected to 129.175.207.64:443 Négociation SSL avec vpn.u-psud.fr Connected to HTTPS on vpn.u-psud.fr …

Des messages d’erreur peuvent apparaître, n’en tenez pas compte si la connexion est bien établie.

La connexion VPN est alors établie.

Lorsque vous n'aurez plus besoin d'accéder aux systèmes nécessitant un accès sécurisé, n'oubliez pas de vous déconnecter. En effet, le nombre de connexions sécurisées étant limités, il est important de les libérer dès que possible. Pour se faire, il faut :

1. Appuyez sur les touches Ctrl + C pour arrêter OpenConnect. 2. Fermer votre terminal.

Il est possible d’utiliser openconnect en mode graphique si network-manager-openconnect et network-manager-openconnect-gnome (debian et ubuntu) sont installés.

GlobalProtect pour Linux 09/04/2020 3/7 Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect avec client Linux VPNC

Installation VPNC Ubuntu

Versions supportées : Ubuntu 10.04 minimum sudo apt-get install vpnc

Installation VPNC CentOS

Versions supportées : Centos 6 minimum yum install vpnc

Configuration VPNC Ubuntu / CentOS Créer le fichier de configuration (vpnups.conf) comme indiqué ci-après. Ce fichier est habituellement à mettre dans /etc/vpnc. vpnups.conf IPSec gateway vpn.u-psud.fr IPSec ID groupeVPN IPSec secret motdepasseVPN

Remplacer les valeurs suivantes par: groupeVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite-paris- saclay.fr motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@ universite- paris-saclay.fr

Connexion accès à distance VPNC Ubuntu / CentOS vpnc vpnups.conf

La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, vpnc-disconnect

Il est possible de configurer vpnc en mode graphique si network-manager-vpnc-gnome est installé.

GlobalProtect pour Linux 09/04/2020 4/7 Direction des Systèmes d’Information - Université Paris-Saclay

GlobalProtect avec client linux StrongSwan

Installation StrongSwan Ubuntu sudo apt-get install strongswan

Installation StrongSwan CentOS yum install strongswan

Configuration StrongSwan Ubuntu / CentOS

Modifier les fichiers de configuration (ipsec.conf / ipsec.secrets) comme indiqué ci-après. Ces fichiers sont habituellement dans le répertoire /etc/strongswan. ipsec.conf config setup conn %default ikelifetime=20m reauth=yes rekey=yes keylife=10m rekeymargin=3m rekeyfuzz=0% keyingtries=1 type=tunnel

conn VPNUPS keyexchange=ikev1 ikelifetime=1440m keylife=60m aggressive=yes ike=aes-sha1-modp1024,aes256 esp=aes-sha1 xauth=client left=adresseIP-client leftid=@#groupeVPN-Hex leftsourceip=%modeconfig leftauth=psk rightauth=psk leftauth2=xauth right=vpn.u-psud.fr rightid=129.175.207.64 rightsubnet=0.0.0.0/0 xauth_identity=nomutilisateur auto=add

Remplacer les valeurs suivantes par : adresseIP-client : adresse IP du PC client, par exemple 192.168.1.10

GlobalProtect pour Linux 09/04/2020 5/7 Direction des Systèmes d’Information - Université Paris-Saclay groupeVPN-Hex : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail)

GlobalProtect pour Linux 09/04/2020 6/7 Direction des Systèmes d’Information - Université Paris-Saclay ipsec.secrets : PSK "motdepasseVPN" nomutilisateur : XAUTH "motdepasseutilisateur"

Remplacer les valeurs suivantes par: motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail) motdepasseutilisateur :mot de passe associé au login prenom.nom

Attention, le mot de passe utilisateur est en clair dans le fichier ipsec.secrets. Il est donc nécessaire de protéger ce fichier (écriture et lecture uniquement par le compte root).

Connexion accès à distance StrongSwan Ubuntu ipsec start ipsec up VPNUPS

La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, ipsec stop

Connexion accès à distance StrongSwan CentOS strongswan start strongswan up VPNUPS

La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, strongswan stop

GlobalProtect pour Linux 09/04/2020 7/7