Introduction
Au travail, nous utilisons un parefeu de marque Fortinet.
Voici un article sur comment se connecter sur votre pare-feu en VPN SSL depuis votre station de travail sous Linux.
Ça a été testé sous Gentoo, Calculate Linux, Fedora et Debian.
Installer Open Forti VPN
On va installer le logiciel Open Forti VPN disponible sur plein de distributions Linux :
Gentoo et Calculate Linux :
Code BASH :
emerge -av net-vpn/openfortivpn
Fedora :
Code BASH :
dnf install openfortivpnCentOS (Activer les dépôts EPEL) :
Code BASH :
yum install openfortivpnDebian :
Code BASH :
apt install openfortivpnUtiliser OpenForti VPN
En ligne de commande
Pour exécuter openfortivpn, il est nécessaire de lancer la commande openfortivpn en root.
Code BASH :
openfortivpn w.x.y.z:port -u user -p password
Avec un fichier de configuration
Cela n'étant pas très pratique, et si vous êtes le seul utilisateur sur votre PC, vous pouvez créer le fichier de configuration /etc/openfortivpn/config
Code BASH :
vi /etc/openfortivpn/config
Voici le mien, ôté des informations sensibles (et du certificat modifié) :
Code BASH :
# config file for openfortivpn, see man openfortivpn(1) host = vpn.XXXXX.fr port = 9443 username = XXXXXXXX #password = # FG2 #trusted-cert = 42c1e812b8657f89c777cf2f450ce930917791959c65ff2c6931c7f3075143cf # FG1 trusted-cert = b343e895b354f08d6ddf8fc4c32956dfcb71a15a80f6d50338e49158ac47614f
host : Correspond à l'ip ou au nom DNS associé au parefeu
port : Si vous avez modifié le port d'écoute, spécifiez-le ici
username : votre nom d'utilisateur (J'ai saisi une info pour qu'il me soit pas redemandé)
password : DÉCONSEILLÉ Permet de mettre en dur le mot de passe dans le fichier de configuration
trusted-cert : Permet d'indiquer le certificat dans le cas où il n'est pas vérifié par une autorité de certification.
Le # permet de commenter le fichier.
Nous avons un cluster donc j'ai prérempli les 2 certificats
Une fois le fichier de configuration rempli, il suffit de lancer la commande sans arguments
Code BASH :
sudo openfortivpnUn alias pour le fun
Si vous êtes comme moi partisan du moindre effort, vous pouvez créer dans votre fichier ~/.bashrc un alias, par exemple "vpn" pour appeler openfortivpn :
Code BASH :
alias vpn='sudo openfortivpn'
Exemple de connexion
Voici à quoi ressemble ma console quand je lance une connexion (avec mon alias vpn, et le fichier de configuration) :
Code BASH :
adrien@superlinux: ~ $ vpn Mot de passe : VPN account password: INFO: Connected to gateway. INFO: Authenticated. INFO: Remote gateway has allocated a VPN. Using interface ppp0 Connect: ppp0 <--> /dev/pts/0 INFO: Got addresses: [10.21.98.4], ns [0.0.0.0, 0.0.0.0] INFO: negotiation complete INFO: Got addresses: [10.21.98.4], ns [0.0.0.0, 0.0.0.0] INFO: negotiation complete INFO: negotiation complete local IP address 10.21.98.4 remote IP address 192.0.2.1 INFO: Interface ppp0 is UP. INFO: Setting new routes... INFO: Adding VPN nameservers... INFO: Tunnel is up and running.
Le premier mot de passe est celui de sudo
Le deuxième est celui de mon compte VPN.
Pour couper la connexion : Ctrl+C
Aller plus loin
Pou aller plus loin, vous avez la possibilité d'avoir aussi un plugin avec NetworkManager.
Il s'appelle networkmanager-fortisslvpn.
il est disponible pour Gentoo et Calculate Linux : net-vpn/networkmanager-fortisslvpn
Sous Fedora : NetworkManager-fortisslvpn
Et sous CentOS (via EPEL) : NetworkManager-fortisslvpn