[[Vorlage(Archiviert)]]

{{{#!vorlage Wissen
[:Terminal: Ein Terminal öffnen]
[:chmod: chmod]
[:Pakete installieren: Installation von Programmen]
}}}
[[Inhaltsverzeichnis()]]

Mit dem Check Point SSL Network Extender ist es möglich, eine [wikipedia:Virtual_Private_Network:VPN]-Verbindung zur [wikipedia:FireWall-1/VPN-1:] aufzubauen. Diese Firewall ist eine kommerzielle Software des israelischen Herstellers [https://www.checkpoint.com/ Check Point] {en}.

= Voraussetzungen =
Für den SSL Network Extender werden zusätzliche Pakete benötigt:

{{{#!vorlage Paketinstallation
libx11-6:i386
libstdc++5:i386
libpam0g:i386
}}}

Ja nach Ubuntu-Version kann es notwendig sein vorher {{{#!vorlage befehl
dpkg --add-architecture i386
}}}
auszuführen.

= Installation =
Der SSL Network Extender kann von der [https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk114267/ Check Point Webseite] {en} {dl} heruntergeladen werden, sofern man über einen gültigen Account verfügt. Für Ubuntu wird die Version "SNX NGX R66 HFA 1 for Linux" benötigt.
Alternativ kann man den SSL Network Extender auch direkt vom VPN Gateway herunterladen.
{{{https://<Adresse_des_VPN_Gateways>/SNX/INSTALL/snx_install.sh}}}

Zur Installation des SSL Network Extenders muss die Installationsdatei '''Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh''' bzw. '''snx_install.sh''' ausführbar[2] gemacht werden. Danach kann der Check Point SSL Network Extender installiert werden:

{{{#!vorlage befehl
sudo sh ./Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh
}}}
bzw.
{{{#!vorlage befehl
sudo sh ./snx_install.sh
}}}

[[Vorlage(Fremd, Software)]]

Nach erfolgreicher Installation wird ''"Installation successfull"'' ausgegeben. 

== Erfolgreiche Installation ==
Die Eingabe von 

{{{#!vorlage befehl
snx
}}}
führt zu 

{{{
failed to open file: /home/user01/.snxrc
Valid attributes are:
   - server          SNX server to connet to
   - sslport         The SNX SSL port (if not default)
   - username        the user name
   - certificate     certificate file to use
   - calist          directory containing CA files
   - reauth          enable automatic reauthentication. Valid values { yes, no }
   - debug           enable debug output. Valid values { yes, 1-5 }
   - cipher          encryption algorithm to use. Valid values { RC4 / 3DES }
   - proxy_name      proxy hostname 
   - proxy_port      proxy port
   - proxy_user      username for proxy authentication
}}}

== Unvollständige Installation ==
Die Erfolgsmeldung kommt allerdings auch dann, wenn die vorgenannten Pakete gar nicht installiert wurden. Diese Vorbedingung wird vom Installationsprogramm nicht geprüft und im Fehlerfall nicht gemeldet. Daher als ersten Test in einem [:Terminal:] den Befehl `snx` eingeben. Es erscheint die irreführende Meldung:

{{{
bash: /usr/bin/snx: Datei oder Verzeichnis nicht gefunden
}}}

'''/usr/bin/snx''' ist sehr wohl vorhanden: Pakete nachinstallieren und fertig. 

= Verbindungsaufbau =
Verwendungsmöglichkeiten wie gewohnt mit der Option `--help` ermitteln:

{{{#!vorlage befehl
snx --help
}}}
ergibt

{{{
Check Point's Linux SNX
build 800004013
usage: snx -s <server> {-u <user>|-c <certfile>} [-l <ca dir>] [-p <port>] [-r] [-g] [-e <cipher>]
                                run SNX using given arguments
       snx -f <cf>              run the snx using configuration file
       snx                      run the snx using the ~/.snxrc

       snx -d                   disconnect a running SNX daemon

        -s <server>           connect to server <server>
        -u <user>             use the username <user>
        -c <certfile>         use the certificate file <certfile>
        -l <ca dir>           get trusted ca's from <ca dir>
        -p <port>             connect using port <port>
        -g                    enable debugging
        -e <cipher>           SSL cipher to use: RC4 or 3DES
}}}
Mit folgendem Befehl dann die Verbindung zum Server aufbauen, dabei auf Groß-/Kleinschreibung beim Benutzernamen achten:

{{{#!vorlage befehl
snx -s [SERVER] -u [BENUTZERNAME]
}}}
Konnte die Verbindung erfolgreich aufgebaut werden, erhält man folgende Verbindungsübersicht:

{{{
SNX - connected.

Session parameters:
===================
Office Mode IP      : 192.168.0.10
DNS Server          : 192.168.0.2
Secondary DNS Server: 192.168.0.3
Timeout             : 8 hours 
}}}
Danach ist der Zugriff in das andere Netzwerk möglich.

Beim ersten Verbindungsaufbau muss man einmalig den Zielserver bestätigen, hierzu sollte man natürlich dessen Daten kennen.
{{{
Check Point's Linux SNX
build 800004013
Please enter your password:
SNX authentication:
Please confirm the connection to gateway: <gateway-info>
Root CA fingerprint: <fingerprint-data>
Do you accept? [y]es/[N]o:
}}}

== Ablage der Verbindungs-Daten ==
Damit man nicht immer IP/Benutzername oder Zertifikat angeben muss, können diese Daten im Homeverzeichnis in der Datei '''~/.snxrc''' abgelegt werden. Beispiel:

{{{
server IP-ADRESSE
# username BENUTZERNAME
certificate /home/BENUTZERNAME/ZERTIFIKAT.p12
}}}

{{{#!vorlage Hinweis
Kommentarzeilen immer mit `#` einleiten. Daneben ist snx z.B. entweder mit Benutzername oder Zertifikat betreibbar, nicht aber mit beidem.
}}}

= Verbindungsabbau =
Die Verbindung kann mit folgendem Befehl wieder abgebaut werden.

{{{#!vorlage befehl
snx -d
}}}

= Links =
 * [wikipedia:FireWall-1/VPN-1:Check Point FireWall-1/VPN-1] - Wikipedia
 * [:Serverdienste#VPN-Fernzugriff: VPN] {Übersicht} Artikelübersicht

#tag: Netzwerk, Internet, Sicherheit, Server, unfreie Software, VPN