Как соединиться с VPN Juniper из Linux
Конфигурирование перенаправления портов на 60B является несколькими процессами шага. Сначала необходимо создать Виртуальный IP для интерфейса (WAN2) и IP (я принимаю 10.1.10.10), Вы хотите передать. Затем необходимо добавить правило брандмауэра, позволяющее трафик от виртуального IP до внутреннего интерфейса. Можно ли подтвердить, что Вы уже сделали оба из них?
Кроме того, Вы упоминаете, что Ваш статический IP (с Comcast) остался тем же. Если бы это - IP модема, я ожидал бы, что это будет внешним IP, т.е. не в 10.xx подсеть. Все же интерфейс WAN2 Вашего Fortigate имеет 10.xx адрес. Это предлагает, чтобы у Вас была установка двойного NAT.
Если это верно, можно зафиксировать его одним из двух способов:
- Перенаправление портов установки / NAT на модеме (т.е. на самом деле используют двойной NAT - не хороший),
- Измените модем на 'режим моста' и сделайте, чтобы Fortigate получил внешний IP как свой WAN2 IP (лучше).
Обратите внимание, что с 2, если Ваше соединение Comcast, например, ADSL w PPP, необходимо будет настроить Fortigate, чтобы сделать, делают аутентификацию PPPoE.
Двойной туземный также объяснил бы, почему изменение маршрутизатора повредило вещи - старый маршрутизатор имел перенаправление портов / настроенный NAT, но новый не сделал.
Править:
Это действительно кажется, что мое предположение в сценарии двойного NAT корректно. Модем DSL, подключенный к WAN1, получает внешний IP-адрес и присваивается 10.1.10.xx, адресуют к интерфейсу Fortigate's WAN1 через DHCP. Если старый модем определенно не имел перенаправления портов затем, это было, вероятно, в режиме моста.
Если Вы не можете получить доступ к недавно добавленному модему через свою внутреннюю сеть, я рекомендую взять следующие шаги:
- Соединитесь с модемом непосредственно с кабелем Ethernet к, например, Вашим ноутбуком
- От Вашего ноутбука получите доступ к веб-интерфейсу конфигурации модема. Если Вы наклоняетесь, достигают его, сбрасывают модем к заводским настройкам и указывают на Ваш веб-браузер на его установленный на заводе IP. Это, как гарантируют, получит Вас к странице конфигурации, но вытрет существующие настройки.
- В интерфейсе, набор IP-адрес модема к чему-то в диапазоне IP Вашей внутренней сети.
- Получите доступ к модему в новом IP, настройте все связанные с ADSL настройки (не аутентификация, просто настройки нижнего уровня как инкапсуляция, VPI/VCI и т.д. Получите их от Comcast, если у Вас нет их.
- Установите модем для 'соединения режима мостом'. Это - важный шаг.
- Если Ваше подключение ADSL использует аутентификацию PPPoE, получите доступ к администраторской странице Fortigate, и под Сетью-> Интерфейсы-> WAN1, выберите PPPoE и введите Ваше имя пользователя ADSL и пароль.
Если это все будет работать, то Вы будете видеть, что WAN1 на fortigate получает внешний IP-адрес.
И мой любимый метод (Java-апплет не требуется):
Предположительно:
ваш URL: ' https://some.site.com/dana-na/auth/url_default/welcome.cgi ' (или что угодно)
ваше имя пользователя = имя пользователя
ваш пароль = пароль
вы знаете свое царство или можете найти его на веб-странице или с помощью:
-
REALM=$(wget -q --no-check-certificate -O - 'https://some.site.com/dana-na/auth/url_default/welcome.cgi' | sed -n 's/.*<input\( [^>]*name="realm" [^>]*\)>.*/\1/p' | sed -n 's/.* value="\([^"]*\)".*/\1/p')
После входа в систему загрузите следующую банку (нужно сделать только один раз):
https://some.site.com/dana-cached/nc/ncLinuxApp.jar
и разархивируйте его в ~ /.juniper_networks / network_connect
Получите несколько новых библиотек для своей 64-битной машины yum install glibc.i686 zlib.i686 nss-mdns.i686
Перейдите в ~ / .juniper_networks / network_connect и
sudo chown root:root ncsvc
sudo chmod 6711 ncsvc
chmod 744 ncdiag
chmod +x getx509certificate.sh
Получите свой сертификат:
./getx509certificate.sh some.site.com company.cert
И подключитесь:
./ncsvc -h some.site.com -u username -p password -r REALM -f ./company.cert
Я заметил, что для некоторых сайтов вам также требуется для установки переключателя -U:
./ncsvc -h some.site.com -u username -p password -r REALM -f ./company.cert -U 'https://some.site.com/dana-na/auth/url_default/welcome.cgi'
Клиент OpenConnect VPN имеет (зарождается) поддержку SSL VPN от Juniper.
См. объявление на http://lists.infradead.org/pipermail/openconnect-devel/2015-January/002628.html
Редактирование 2015-02-02:
Поддержка Juniper сейчас идет хорошо и определенно готова к дальнейшему тестированию. Она дошла до того, что мы с радостью признаем ее существование на сайте OpenConnect: http://www.infradead.org/openconnect/juniper.html
В Ubuntu 15.10:
sudo apt-get install icedtea-7-plugin openjdk-7-jre: i386sudo ln -s / usr / bin / update-alternatives / usr / sbin /(это может уже существовать)sudo apt-get install libstdc ++ 6: i386 lib32z1 lib32ncurses5 libxext6: i386 libxrender1: i386 libxtst6: i386 libxi6: i386
Затем подключитесь к своей VPN как вы обычно делаете это через веб-интерфейс. Вам нужно будет разрешить запуск плагина IcedTea в вашем браузере (я использовал Firefox), когда он предложит вам. Также есть ряд подсказок о доверии программному обеспечению с удаленного сайта и всплывающее окно терминала для вашего пароля.
Сетевое соединение - это старый Juniper VPN. Он больше не используется/поставляется juniper, теперь все защищено Pulse. Информация на этом сайте старая. Pulse Secure не поддерживается под Linux.
. Обычно я использую openconnect , он должен запускаться как root, из окна терминала, и вы должны использовать - juniper флаг вроде этого:
sudo openconnect --juniper http://your.vpn.server.here
Он запросит ваше имя пользователя и пароль и подключит вас к вашему vpn.
Единственное предостережение: окно терминала должно быть открыто все время, и оно может один или два раза пропадать. в день, вам необходимо повторно подключиться.