Настройка OpenConnect в Ubuntu
Создана 24.12.2021
Отредактирована 14.02.2023
Отредактирована 14.02.2023
Настройка VPN через openconnect
Данный способ проверен на версии Ubuntu 20.04 LTS.
1. Скачайте сертификаты, присланные вам на почту сотрудником тех. поддержки.
2. Запустите Terminal.
3. Поочередно введите команды для установки OpenConnect:
1. Скачайте сертификаты, присланные вам на почту сотрудником тех. поддержки.
2. Запустите Terminal.
3. Поочередно введите команды для установки OpenConnect:
sudo apt-get install openconnect -y
sudo apt-get install network-manager-openconnect -y
sudo apt-get install network-manager-openconnect-gnome -y
4. Далее нужно сконвертировать личный сертификат из формата .pfx в формат .pem. Для этого будем использовать openssl. Перейдите в директорию, где находится ваш личный сертификат. И введите команду ниже:
openssl pkcs12 -in mylogin.pfx -out mylogin.pem -legacy -nodes
mylogin — название личного сертификата, например ivanov.pfx
При конвертации вам необходимо будет ввести пароль от личного сертификата и указать пароль для нового сертификата в формате .pem
При конвертации вам необходимо будет ввести пароль от личного сертификата и указать пароль для нового сертификата в формате .pem
5. Далее нужно сконвертировать корневой сертификат из формата .cer в формат .pem. Для этого будем использовать openssl. Перейдите в директорию, где находится ваш корневой сертификат. Команда выглядит так:
openssl x509 -inform der -in RootCA.cer -out RootCR.pem
6. После конвертации личного сертификата перейдите в Настройки > Сеть. В секции VPN нажмите на кнопку в виде плюса для добавления нового подключения.
Выберите Multi-protocol VPN client (openconnect)
Задайте желаемое Название подключения (в примере test). Оно ни на что не влияет, только для вашего удобства.
В качестве Шлюза (gateway) укажите ip адрес 75.36.10.5 или доменное имя межсетевого экрана через который вы подключаетесь к VPN
CA Certificate: выберите сертификат RootCA.pem
Сертификат пользователя: укажите ваш личный сертификат mylogin.pem
Личный ключ: укажите ваш личный сертификат mylogin.pem
После этого нажмите на кнопку Применить.
В качестве Шлюза (gateway) укажите ip адрес 75.36.10.5 или доменное имя межсетевого экрана через который вы подключаетесь к VPN
CA Certificate: выберите сертификат RootCA.pem
Сертификат пользователя: укажите ваш личный сертификат mylogin.pem
Личный ключ: укажите ваш личный сертификат mylogin.pem
После этого нажмите на кнопку Применить.
Для подключения к VPN нажмите на кнопку-тумблер.
Если проблема с DNS
Подключение через VPN к внутренним ресурсам компании есть, но не все ресурсы открываются, для этого нужно проделать все шаги ниже.
Отключаем systemd-resolve
Для этого необходимо выполнить следующие команды:
sudo systemctl disable systemd-resolved.service
sudo systemctl stop systemd-resolved
Первая команда отключает автостарт сервиса systemd-resolved, а вторая - прерывает его работу.
Вносим правки в resolv.conf
Т.к. мы выключили сервис, который позволял разрешать доменные имена, то нам необходимо отредактировать конфиг /etc/resolv.conf, чтобы у нас все работало как надо без него, используя внешние DNS сервера.
Если этого не сделать, то возможны проблемы в работе и получение различных ошибок, например:
Если этого не сделать, то возможны проблемы в работе и получение различных ошибок, например:
Temporary failure in name resolution
Чтобы исправить это безобразие, сначала удаляем симлинк для конфига:
sudo rm /etc/resolv.conf
Если вы захотите вернуть обратно данный симлинк, то оригинальный
файл можно найти по следующему пути:
/run/systemd/resolve/stub-resolv.conf
После этого, необходимо создать новый конфиг /etc/resolv.conf и вписать в него настройки, которые актуальны для вашего случая, например так:
nameserver 8.8.8.8
nameserver 8.8.4.4
search example.com domain.local
nameserver 8.8.8.8 и nameserver 8.8.4.4 - адреса DNS серверов, к которым будут делаться обращения для разрешения доменных имен.
search example.com domain.local - возможные суффиксы для адресов, в том случае, если не удалось обнаружить адрес в том виде, как он был изначально задан. Т.е. при попытке разрешить доменное имя sysadmin, будут последовательно к нему дописаны указанные выше суффиксы и предпринята попытка разрешить их в виде sysadmin.example.com, а в случае неудачи, то sysadmin.domain.local. Если для вас это не актуально, то данную строчку можно не прописывать вообще.
search example.com domain.local - возможные суффиксы для адресов, в том случае, если не удалось обнаружить адрес в том виде, как он был изначально задан. Т.е. при попытке разрешить доменное имя sysadmin, будут последовательно к нему дописаны указанные выше суффиксы и предпринята попытка разрешить их в виде sysadmin.example.com, а в случае неудачи, то sysadmin.domain.local. Если для вас это не актуально, то данную строчку можно не прописывать вообще.
Вносим правки в NetworkManager.conf (Опционально)
Если вы пользуетесь каким-либо окружением рабочего стола, а не голой консолью, то необходимо еще внести правки в конфиг /etc/NetworkManager/NetworkManager.conf, чтобы и в графической среде у вас все работало как следует. Для этого открываем для редактирования указанный конфиг и вносим в секцию [main] следующую строку:
dns=default
Целиком, это может выглядеть примерно так:
[main]
plugins=ifupdown,keyfile
dns=default
[ifupdown]
managed=false
[device]
wifi.scan-rand-mac-address=no
После того, как вы внесли правки в конфиг и сохранили его, необходимо перезапустить network-manager следующей командой:
sudo service network-manager restart