Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect pour Linux (Ubuntu / CentOS) Guide d’utilisation
Table des matières
GlobalProtect avec client Linux OpenConnect ...... 2
Installation OpenConnect Linux Debian / Ubuntu ...... 2 Installation OpenConnect Linux CentOS / Fedora / RedHat ...... 2
Enterprise Linux 5 ou Centos 5 ...... 2 Enterprise Linux 6 ou Centos 6 ...... 2 Enterprise Linux 7 ou Centos 7 ...... 3
Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat ...... 3
GlobalProtect avec client Linux VPNC ...... 4
Installation VPNC Ubuntu ...... 4 Installation VPNC CentOS ...... 4 Configuration VPNC Ubuntu / CentOS ...... 4 Connexion accès à distance VPNC Ubuntu / CentOS ...... 4
GlobalProtect avec client linux StrongSwan ...... 5
Installation StrongSwan Ubuntu ...... 5 Installation StrongSwan CentOS ...... 5 Configuration StrongSwan Ubuntu / CentOS ...... 5 Connexion accès à distance StrongSwan Ubuntu ...... 7 Connexion accès à distance StrongSwan CentOS ...... 7
GlobalProtect pour Linux 09/04/2020 1/7 Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect avec client Linux OpenConnect
Openconnect est un client VPN SSL supporté sur Debian, Ubuntu,CentOS, Fedora, RedHat
Installation OpenConnect Linux Debian / Ubuntu
Versions supportées : Ubuntu 18.4 ou 16.04 sudo apt-get install openconnect
Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. sudo openconnect --version (avec deux tiret)
Installation OpenConnect Linux CentOS / Fedora / RedHat
Versions supportées : Centos 5 minimum yum –y install openconnect
Attention : le protocole gb (Global Protect) n’est géré par openconnect que depuis la version 8.0. Veuillez vérifier la version de votre client avant de poursuivre cette documentation. openconnect --version (avec deux tiret)
Il se peut que les paquetages ne soient pas disponibles si le dépôt logiciel afférent est manquant. En fonction de votre version d’Entreprise ou CentOs, il vous suffit – dans ce cas – d’ajouter les paquetages depuis le dépôt EPEL comme suit :
Enterprise Linux 5 ou Centos 5 rpm -Uvh http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm yum install foo
Enterprise Linux 6 ou Centos 6 rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm yum install foo
GlobalProtect pour Linux 09/04/2020 2/7 Direction des Systèmes d’Information - Université Paris-Saclay
Enterprise Linux 7 ou Centos 7 rpm -Uvh http://download.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm yum install foo
Connexion accès à distance VPNC Debian / Ubuntu / CentOS Fedora / RegHat
openconnect --protocol=gp -u prenom.nom vpn.u-psud.fr ou sudo openconnect --protocol=gp -u prenom.nom vpn.u-psud.fr
Saisissez votre mot de passe
POST https://vpn.u-psud.fr/ssl- vpn/prelogin.esp?tmp=tmp&clientVer=4100&clientos=Linux Connected to 129.175.207.64:443 Négociation SSL avec vpn.u-psud.fr Connected to HTTPS on vpn.u-psud.fr …
Des messages d’erreur peuvent apparaître, n’en tenez pas compte si la connexion est bien établie.
La connexion VPN est alors établie.
Lorsque vous n'aurez plus besoin d'accéder aux systèmes nécessitant un accès sécurisé, n'oubliez pas de vous déconnecter. En effet, le nombre de connexions sécurisées étant limités, il est important de les libérer dès que possible. Pour se faire, il faut :
1. Appuyez sur les touches Ctrl + C pour arrêter OpenConnect. 2. Fermer votre terminal.
Il est possible d’utiliser openconnect en mode graphique si network-manager-openconnect et network-manager-openconnect-gnome (debian et ubuntu) sont installés.
GlobalProtect pour Linux 09/04/2020 3/7 Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect avec client Linux VPNC
Installation VPNC Ubuntu
Versions supportées : Ubuntu 10.04 minimum sudo apt-get install vpnc
Installation VPNC CentOS
Versions supportées : Centos 6 minimum yum install vpnc
Configuration VPNC Ubuntu / CentOS Créer le fichier de configuration (vpnups.conf) comme indiqué ci-après. Ce fichier est habituellement à mettre dans /etc/vpnc. vpnups.conf IPSec gateway vpn.u-psud.fr IPSec ID groupeVPN IPSec secret motdepasseVPN
Remplacer les valeurs suivantes par: groupeVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite-paris- saclay.fr motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@ universite- paris-saclay.fr
Connexion accès à distance VPNC Ubuntu / CentOS vpnc vpnups.conf
La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, vpnc-disconnect
Il est possible de configurer vpnc en mode graphique si network-manager-vpnc-gnome est installé.
GlobalProtect pour Linux 09/04/2020 4/7 Direction des Systèmes d’Information - Université Paris-Saclay
GlobalProtect avec client linux StrongSwan
Installation StrongSwan Ubuntu sudo apt-get install strongswan
Installation StrongSwan CentOS yum install strongswan
Configuration StrongSwan Ubuntu / CentOS
Modifier les fichiers de configuration (ipsec.conf / ipsec.secrets) comme indiqué ci-après. Ces fichiers sont habituellement dans le répertoire /etc/strongswan. ipsec.conf config setup conn %default ikelifetime=20m reauth=yes rekey=yes keylife=10m rekeymargin=3m rekeyfuzz=0% keyingtries=1 type=tunnel
conn VPNUPS keyexchange=ikev1 ikelifetime=1440m keylife=60m aggressive=yes ike=aes-sha1-modp1024,aes256 esp=aes-sha1 xauth=client left=adresseIP-client leftid=@#groupeVPN-Hex leftsourceip=%modeconfig leftauth=psk rightauth=psk leftauth2=xauth right=vpn.u-psud.fr rightid=129.175.207.64 rightsubnet=0.0.0.0/0 xauth_identity=nomutilisateur auto=add
Remplacer les valeurs suivantes par : adresseIP-client : adresse IP du PC client, par exemple 192.168.1.10
GlobalProtect pour Linux 09/04/2020 5/7 Direction des Systèmes d’Information - Université Paris-Saclay groupeVPN-Hex : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail)
GlobalProtect pour Linux 09/04/2020 6/7 Direction des Systèmes d’Information - Université Paris-Saclay ipsec.secrets : PSK "motdepasseVPN" nomutilisateur : XAUTH "motdepasseutilisateur"
Remplacer les valeurs suivantes par: motdepasseVPN : valeur fournie lors de la création du compte VPN. En cas d’oubli securite.di@universite- paris-saclay.fr nomutilisateur : identifiant de la forme prenom.nom (compte Adonis, mail) motdepasseutilisateur :mot de passe associé au login prenom.nom
Attention, le mot de passe utilisateur est en clair dans le fichier ipsec.secrets. Il est donc nécessaire de protéger ce fichier (écriture et lecture uniquement par le compte root).
Connexion accès à distance StrongSwan Ubuntu ipsec start ipsec up VPNUPS
La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, ipsec stop
Connexion accès à distance StrongSwan CentOS strongswan start strongswan up VPNUPS
La connexion VPN est alors établie. Pour se déconnecter de la connexion VPN, strongswan stop
GlobalProtect pour Linux 09/04/2020 7/7