Bonjour,

Existe t il une solution fiable et facile à installer pour connecter mon poste en fc9 x86_64 sur un vpn d'entreprise CheckPoint ?

En windaube j'utilise, le client vpn: Check Point Software: VPN-1 SecureClient


Par avance merci

Malebolgia
As-tu regardé sur le site de Chekpoint s'ils ne proposaient pas un client pour Linux ?

Sinon, au pire, tu peux utiliser la virtualisation.

Pour me connecter au serveur VPN Windows du mon boulot, j'utilise une machine virtuelle XP dans VirtualBox.
Pour me connecter au serveur VPN Windows du mon boulot, j'utilise une machine virtuelle XP dans VirtualBox.
N'aurait il pas été plus simple d'utiliser un client vpn ou rdesktop depuis ton linux. C'est ce que j'utilise pour intervenir sur les serveurs 2003 de la boite.
Refuznik wrote:
Pour me connecter au serveur VPN Windows du mon boulot, j'utilise une machine virtuelle XP dans VirtualBox.
N'aurait il pas été plus simple d'utiliser un client vpn ou rdesktop depuis ton linux. C'est ce que j'utilise pour intervenir sur les serveurs 2003 de la boite.
On peut se connecter à un VPN L2TP IPSEC depuis Linux ?

Sinon, j'ai parfois à prendre la main sur des machines avec un soft windows propriétaire (Proxy de Funk Software), c'est pourquoi j'utilise une machine virtuelle.
c'est que c'est securisé, il n'y a que le vpn pour s'y connecter
Il n'existe pas de solution sous Linux, actuellement, permettant de faire des connexions client <--> LAN au travers d'une infrastructure Checkpoint.

Historiquement, il y a eu un client VPN-1 pour RedHat 7.2 puis... plus rien. VPN-1 étant une solution propriétaire, seul Checkpoint à le pouvoir de l'ouvrir au monde Linux.

Il est, bien sur, possible de faire des connexions site à site entre une architecture Checkpoint et une architecture Linux en utilisant des protocoles standards, mai cela ne répond pas à ton besoin.
??? @da_norf, désolé mais on peux se connecter avec n'importe client du moment que celui-ci supporte les protocoles. Que redhat ne soit plus en contrat avec checkpoint est une chose que l'on ne puisse pas se connecter en est une autre. Tout comme cisco ne supporte pas linux en général ne veut pas dire que je ne peux pas rentrer sur un vpn avec leur solution propriétaire, vpnc en client fonctionne très bien.

Bref tu peux très bien monter un serveur vpn avec openvpn, par exemple et utiliser d'autres types de client.

D'ailleurs, je lui conseille d'essayer plusieurs client vpn supportant le type de protection qu'ils ont mis en place derrière, pour trouver celui qui répondrait le mieux à ces besoins.

Trouvé le client snx fonctionne très bien http://ubuntuforums.org/archive/index.php/t-444166.html
Refuznik wrote:??? @da_norf, désolé mais on peux se connecter avec n'importe client du moment que celui-ci supporte les protocoles.
On est bien d'accord. La question est : existe-t-il un client vpn tournant sous Linux et qui supporte le protocole propriétaire du VPN-1 de Checkpoint (qui est un protocole fermé et dont le seul Checkpoint connait les specs) ? J'avoue ne pas avoir fait, très récemment, un état des lieux de la situation, mais pour m'être longtemps posé cette question précise jusqu'à mi-2007, la réponse était : non. Seule une tentantive avortée de Checkpoint, lui-même, pour Redhat 7.2 répondait plus ou moins au problème mais n'est pas utilisable sur les distros récentes (en RH 7.2 le kernel etait encore du 2.2 ou du 2.4 et je n'ai jamais réussi à faire démarrer le client Checkpoint sur un kernel 2.6).
Refuznik wrote:Tout comme cisco ne supporte pas linux en général ne veut pas dire que je ne peux pas rentrer sur un vpn avec leur solution propriétaire, vpnc en client fonctionne très bien.
Je ne suis pas convaincu que cisco utilise vraiment un protocole propriétaire fermé pour faire du VPN, mais dans le doute... (il peut être propriétaire mais "ouvert" ou du moins documenté, cisco est très fort pour pondre des protocoles propriétaires qu'ils font normaliser ensuite avec plein de belles RFCs à la clé, ce qui permet à leurs concurrents d'être inter-opérables avec eux et, éventuellement , de leur payer des royalties....)
Refuznik wrote:Bref tu peux très bien monter un serveur vpn avec openvpn, par exemple et utiliser d'autres types de client.
Oui, mais OpenVPN utilise des protocoles ouverts (documentés).
Refuznik wrote:D'ailleurs, je lui conseille d'essayer plusieurs client vpn supportant le type de protection qu'ils ont mis en place derrière, pour trouver celui qui répondrait le mieux à ces besoins.
Avant de les essayer, il faudrait les trouver... mais s'il en existe un seul qui est passé au travers des mailles de mon filet je suis plus que preneur !
Refuznik wrote:Trouvé le client snx fonctionne très bien http://ubuntuforums.org/archive/index.php/t-444166.html
snx est un client pour VPN SSL (le même type de VPN que ce qu'est capable de monter OpenVPN) ce qui est un protocole ouvert et documenté (même si, à une époque chaque constructeur ou éditeur mettait ce qu'il voulait derrière cette dénomination). Ca n'a rien a voir avec VPN-1...
Oui, mais OpenVPN utilise des protocoles ouverts (documentés).
Gni, j'aurais du mieux choisir mon exemple.
Ca n'a rien a voir avec VPN-1...
Peut-être mais des mecs arrivent à se connecter en client sur du Checkpoint avec ce qui résoud son problème.

Pour résumer et ne voulant pas m'étendre sur le sujet, ce que je voulais dire si un serveur utilise IPSEC, on récupère un client supportant ipsec tout simplement.
Refuznik wrote:
Ca n'a rien a voir avec VPN-1...
Peut-être mais des mecs arrivent à se connecter en client sur du Checkpoint avec ce qui résoud son problème.

Pour résumer et ne voulant pas m'étendre sur le sujet, ce que je voulais dire si un serveur utilise IPSEC, on récupère un client supportant ipsec tout simplement.
Du VPN SSL ce n'est pas de l'IPSEC.

Par défaut quand tu monte un Firewall Checkpoint celui-ci te permet de gérer des connexions clientes au travers du protocole propriétaire VPN-1 et uniquement ça.
Ensuite si tu achètes des passerelles SSL Checkpoint ou des modules complémentaires pour ton Firewall tu peux faire de la connexion en VPN SSL. mais ce n'est pas (à moins que ça ai changé durant la dernière année) un possibilité par défaut.
Donc que des mecs arrivent à se connecter en VPN SSL sur des archis Checkpoint qui le permettent ne résout pas le problème d'une personne qui veux se connecter à une plate-forme Checkpoint proposant uniquement le VPN-1 de base.

Oui VPN-1 est basé sur IPSEC mais, encore une fois, il y a un protocole propriétaire fermé qui permet au client et au firewall d'établir la connexion entre eux, que ne reprend aucun client VPN tournant sur Linux à ma connaissance...

mais je suis vraiment preneur de la preuve du contraire ce qui enlèverait une méchante épine du pied de quelques personnes de ma connaissance (et de moi même en premier).
Donc que des mecs arrivent à se connecter en VPN SSL sur des archis Checkpoint qui le permettent ne résout pas le problème d'une personne qui veux se connecter à une plate-forme Checkpoint proposant uniquement le VPN-1 de base.
Je ne connais pas la plateforme, ni leurs offres donc je ne peux pas répondre là-dessus. Je ne travaille poas là-dessus ces derniers temps je suis avec des solutions netasq.
Oui VPN-1 est basé sur IPSEC mais, encore une fois, il y a un protocole propriétaire fermé qui permet au client et au firewall d'établir la connexion entre eux, que ne reprend aucun client VPN tournant sur Linux à ma connaissance...
Ce n'est pas un protocole fermé, c'est leur certificats fait maison.

Par contre je peux dire que leur plateforme a des trous de sécurité (vu sur une recherche) permettant justement de passer outre. Désolé de ne pas faire plus mais bon j'ai d'autres trucs plus importants à gérer 🙂

Certes cela reste une solution bourrine que j'ai vu mais leur système proprio n'est pas la panacée.
Refuznik wrote:Par contre je peux dire que leur plateforme a des trous de sécurité (vu sur une recherche) permettant justement de passer outre. Désolé de ne pas faire plus mais bon j'ai d'autres trucs plus importants à gérer 🙂
Ne t'excuse pas.
Ch'uis pas sur que hacker le FW pour se connecter à son entreprise soit une démarche très... comment dire... appréciée par les admins ? Professionnelle ? Valable sur le long terme ?
Refuznik wrote:leur système proprio n'est pas la panacée.
Un système proprio n'en est jamais une. C'est au plus (et surtout en réseau) une idiotie navrante.
Pour en finir, moi aussi, avec le sujet, il semblerait, après recherche, que dans certaines configurations bien précises, il est possible d'établir des connexions VPN entre un client Linux et un Firewall Checkpoint en utilisant Openswan...

J'ai regardé vite fait, ça m'a l'air quand même un peu chaud et assez limité... on est très loin de ce que propose un Securemote/Secureclient et je ne suis pas sûr que ça ne demande pas un bout de paramétrage particulier au niveau du FW.
Si ça intéresse du monde, il faut aller voir cette page (voir un peu tout le site)

Bon courage !
6 mois plus tard
je cherche encore une solution fiable, mais rien....?