FirefoxのVPN SSLネットワーク拡張機能

この2018年のガイドラインは、以前のCheckPoint VPN R80（R80.10？）バージョンに適用されます。最新のVPN/ファイアウォールについては、新しく許可された回答をご覧ください。

最後に、認証にFirefox + Javaを使用することにしました（後で心が変わりました。下部の関連リンクをご覧ください。）。 VM自体はJavaを実行せず、グラフィカルインターフェイスも実行せず、企業ネットワークに接続する必要があるときにラップトップのリモートXサーバーでFirefoxを実行します。

プロセスはおおよそ次のようになります。

1. インストールfirefox
2. snxLinuxクライアントインストールのダウンロード後ろにWeb VPN クライアントインターフェイスにログイン
3. JDKのインストール
4. firefoxすべてがインストールされたら、VPN を使用する必要があるたびに VPN URL にアクセスしてください。
5. 次の方法でVPNをオフにするfirefox

実際のステップバイステップガイドは次のとおりです。

1. firefoxいくつかのテストを経て、最新バージョンがJavaアプレット実行機能を低下させないことが明らかになりました。

Firefox 52以上

Firefox 52（2017年3月リリース）以降、プラグインのサポートはAdobe Flashに限定され、NPAPIのサポートが中断され、Java、Silverlight、およびその他の同様のNPAPIベースのプラグインに影響を与えます。

だからいくつかの以前のバージョンをテストした後、ログイン専用のVPNをfirefox選択しました。firefox 48次からダウンロードFirefox アーカイブ。

そのため、ターゲットディレクトリで次の操作を行います。

tar -jxvf  firefox-48.0.tar.bz2

次に、次のようにします。

cd firefox

このディレクトリで初めて実行したときに最新バージョンに更新されないようにするには、次の手順を実行します。

sudo touch updates
sudo chattr +i updates

注：初めて実行する場合は、次の方法で更新を無効にすることもできます。

• メニューアイコン - >基本設定 - >詳細 - >更新

または：

• about:preferences#advanced URLを開きます。

「Firefoxのアップデート」で「アップデートを確認しない」ラジオボタンを選択してください。

2. VPNを使用している場合にインストールファイルを取得するには、次の手順を実行します。

   wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh

または、設定 - >デフォルトのアプリケーション設定の編集のWeb VPNインターフェイスからアプリケーションをダウンロードします。 SSLネットワークエクスパンダ：Linux用のインストールをダウンロードする

これでファイルが提供されますsnx_install.sh。

また、「ログイン時にSSL Network Extenderを起動する」を選択して「自動」に変更する必要があります。

次に、次を実行します。

chmod a+rx snx_install.sh
sudo ./snx_install.sh`

/usr/bin/snx32ビットクライアントバイナリ実行可能ファイルについて学びます。不足している動的ライブラリを確認してください。

sudo ldd /usr/bin/snx

Debian の場合、次のものが必要な場合があります。

sudo dpkg --add-architecture i386
sudo apt-get update    

以下をインストールする必要がありました。

sudo apt-get install libstdc++5:i386 libx11-6:i386 libpam0g:i386

動的ライブラリが欠落していることを再確認してください（存在する場合）。

sudo ldd /usr/bin/snx

snxすべての依存関係が満たされた後にのみ、Javaアプレットが後で使用されるように、次の作業を続行できます。

3. 何度も失敗した繰り返しとWebクロールの最後にSunのJava 6をインストールする必要があることがわかりました。だから得たjdk-6u45-linux-x64.bin Oracle Webサイトから。

ルートとしてインストールするには：

mkdir /usr/java
mv jdk-6u45-linux-x64.bin /usr/java
cd /usr/java
chmod a+rx jdk-6u45-linux-x64.bin
./jdk-6u45-linux-x64.bin

この Java バージョンは古すぎるため、システム全体を構成しません。後で Firefox で Java を使用するには:

sudo mkdir -p /usr/lib/mozilla/plugins
sudo ln -s /usr/java/jdk1.6.0_45/jre/lib/amd64/libnpjp2.so libnpjp2.so

この時点でJavaがインストールされます。

4. 最後にFirefoxを実行してみてください一般ユーザーとしてする:

   ./Firefox ブラウザ

認証後もJava Applet / SSL Network Extenderが起動しない場合は、「Native Application -> Connect」を実行してください。ポップアップ/ Javaウィンドウが開きます。 「ステータス：接続済み」を待ちます。

その後、デフォルトのFireFoxウィンドウを閉じることができます。

VPNが設定されている場合は、次のことを確認するか、ip addressインターフェイスifconfigを使用できますtunsnx。

$ ip addr show dev tunsnx
14: tunsnx: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none
    inet 10.x.x.x peer 10.x.x.x/32 scope global tunsnx
       valid_lft forever preferred_lft forever
    inet6 fe80::acfe:8fce:99a4:44b7/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

ip routetunsnxインターフェイスを介して新しいパスも表示されます。

より便利に、WebVPNのURLをホームページとして定義できます。

5. VPNをオフにするには、Javaポップアップで「切断」ボタンを押すか、Firefoxを閉じるか終了します。

関連トピックを参照してください。 コマンドラインでCheckpoint VPN SSLネットワークエクスパンダを機能させる

最新バージョンの Firefox を使用するには、インストールsnx_install.shとcshell_install.sh実行後https://localhost:14186/id別のFirefoxタブでサイトのセキュリティ例外を追加してください。https://localhost:14186/例外を追加すると、16進形式の一意の識別子が表示されます。次に、このタブを閉じて再接続してみてください。

@Kubuntu 18.04 32ビット、Firefox 75.0（32ビット）、openjdk-8

Firefoxにページ例外を追加する必要があります。https://localhost:14186/id、これは私にとって問題でした。アプレットが起動しましたが、これを取得する権限がないため、続行したくありませんでした。https://localhost:14186/id

また、Firefox 48およびjdk-6u45にダウングレードせずにFirefox 75.0（32ビット）およびopenjdk-8でVPNを正常に起動したことに注意してください。しかし、この方法も試しましたが、cshell_install.shはjdkにインストールしたくありません。 6u45

しかし、とにかく回答者のRui F Ribeiroに感謝します。私に多くの助けになる

今は2022年です。 R80チェックポイントがリリースされる前に、以前の回答はまだ有効ですが、世界は進化し続けています。 FirefoxはJavaアプレットを実行しなくなったため、CheckPointはミドルウェアのJavaアプレットをJavaデーモン（約2年前）のCShellデーモンにクライアント/Linux側に移動しました。

SNX SSL Network Extenderデーモンの実行可能なバイナリは残念ながらまだ32ビットですが、現在は以前のファイアウォールでSSLv3トンネリングを使用することに加えて、新しいファイアウォールに対してTLS 1.2をサポートして動作します。また、snxconnect Pythonリバースエンジニアリングタスクと互換性のないいくつかのマイナーな変更があります。

一方、モバイルアクセスポータルエージェント（CShell）は、Java 8、Oracle Javaの実装、または特定のFirefoxバージョンを使用する必要はなくなりました。複数の CheckPoint バージョンで openJDK JRE 11 を使用して正常にテストされました。

私たちの開発チームが新しいシナリオに適応するのを助けるために最初にDebianのガイダンスを作成し、2番目のバージョンではcshell_install.shがうまくいかず、パッチを作成しました。結論は、32ビットアクティブマルチアーキテクチャまたはJavaを使用するか、新しいcshell_install.shバリアントにパッチを適用する必要があるため、コンピュータが邪魔されることを望まないことです。

したがって、chrootにSNXと「新しい」CShell Javaデーモンを追加するためのガイドラインが作成されました。ところで、ドキュメントが大きすぎてDebian用にスクリプトを作成しました。

結局のところ、スクリプトはCheckPointにパッチを適用するのではなく、要件を偽造し、ほとんどの主要なディストリビューションをサポートするスクリプトに進化しました。これは、SNX + cshell_install.shを「裸」の公式形式（たとえば、最新バージョンのFedoraにはありません）として使用するよりもはるかに古いです。

ここから得ることができます:

https://github.com/ruyrybeyro/chrootvpn

chroot を自動的に生成し、VPN が正常に動作するようにするスクリプトを入手してインストールするには、sudo で構成されたユーザーを使用して、次の操作を行う必要があります。

curl https://raw.githubusercontent.com/ruyrybeyro/chrootvpn/main/vpn.sh -O
chmod a+rx vpn.sh
./vph.sh -i --vpn=VPN_FQDN_DNS_NAME

Debian/Ubuntu、SUSE、または RedHat/CentOS/Fedora の派生ディストリビューションをサポートします。ネットワーク管理者として構成されている限り、Archのすべてのバリエーションにも同様に適用されます。 Slackware、Void、Gentoo Linuxも同様です。

---

---

それにもかかわらず、上記のスクリプトを使用せずにDebianでchrootではない単純な公式設定手順は次のとおりです。

ブラウザでモバイルポータルVPN（https://VPN_FW_HOSTNAME）を開き、ユーザー名とパスワード（+ 2段階のPINがある場合）で認証します。ブラウザでパスワードを保存するかどうかを尋ねるメッセージが表示されたら、[無効]を選択してください。救う」

設定を選択します。デフォルト値を次に変更します。

ログイン時にSSL Network Extenderを起動します。次の方法でSSL Network Extenderを自動的に接続します。ネットワークモード

[OK]を選択します。

ブラウザを閉じます。

ファイアウォールからLinuxクライアント設定スクリプトをダウンロードします。

$ wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/snx_install.sh
$ wget --no-check-certificate https://VPN_FW_HOSTNAME/SNX/INSTALL/cshell_install.sh

ランニング：

chmod a+rx snx_install.sh cshell_install.sh

SNXをインストールします。

$ sudo dpkg --add-architecture i386
$ sudo apt update
$ sudo apt install libstdc++5:i386 libx11-6:i386 libpam0g:i386
$ sudo ./snx_install.sh

Java エージェントをインストールする前に Firefox をインストールしてください。

$ sudo apt install firefox-esr

Firefoxを起動して閉じます。

Firefox-esr のインストール後に CheckPoint cshell_install.sh スクリプトと互換性を持たせるには、次の手順を実行します。

$ ln -s ~/.mozilla/firefox-esr ~/.mozilla/firefox

ユーザープロファイルを作成するには、必ず開いてください。毎日使用されるため、権限のないユーザーを使用して呼び出すことが重要です。 Firefox/Chrome プロファイルが既に /home で実行/所有されていて失敗する場合、cshell_install.sh が最小要件を満たさないため、インストールが中断されることを意味します。

モバイルアクセスポータルエージェントのインストール

$ sudo apt install xauth x11-xserver-utils certutil libnss3-tools openjdk-11-jdk

次の手順では、Firefoxを実行しないでください。

$ sudo ./cshell_install.sh

インストールがうまくいったら：

# ps ax | grep cshell
  14224 pts/0 Sl 0:01 java -jar /usr/bin/cshell/CSell.jar /tmp/cshell.fifo
  14300 pts/0 S+ 0:00 grep cshell

これでCShellデーモンが実行されているはずです。そうでない場合：

$ /usr/bin/cshell/launcher

証明書がインストールされていることを確認するには、次の操作もできます。

$ wget -q -O- --no-check-certificate https://localhost:14186/id

最後に、Firefoxを再入力して訪問してください。

https://localhost:14186/id

https://localhost:14186 CheckPoint 自己署名証明書を受け入れます。

ファイアウォールのモバイルポータルアドレス（+ 2段階のPIN、利用可能な場合）のログインとパスワードを使用して再認証します。

これで自動的にVPNに接続します。そうでない場合は、[接続]をクリックしてください。

chroot スクリプトを使用せずに手動の手順を実行するには、cshell_install.sh のインストール要件が非常に厳しく、満たされない場合はインストールが中断されます。

関連するCheckPoint Linuxサポートページ：

SSLネットワーク拡張 https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65210#Linux%20Supported%20Platforms

LinuxコンピュータにSSL Network Extender（SNX）クライアントをインストールする方法 https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk114267

Linux用モバイルアクセスポータルエージェントの前提条件 https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk119772

モバイルアクセスポータルとJava互換性 https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk113410

Mozilla Firefox 用 Mobile Access Portal エージェントを正しくインストールした後も再インストールする必要がある https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122576&partition=Advanced&product=Mobile