gutocarvalho.net

Para se conectar a um servidor VPN CHECKPOINT via GNU/Linux, especificamente através da distribuição Ubuntu Lucid Lynx, é necessário o uso do software SNX da checkpoint. Este software permite que a nossa workstation estabeleça uma conexão VPN através de um túnel SSL.

Infelizmente dependemos de pacotes em versões que não existem na release Lucid Lynx, são eles:

libstdc++5
gcc-3.3-base

Estas versões dos pacotes estão disponíveis na release Hardy do Ubuntu. A aplicação SNX da CHECKPOINT foi compilada contra essas versões do GCC e libstdc++ e só vão funcionar com elas. A boa notícia é que você pode instalar esses pacotes no LUCID sem prejuízos para o seu ambiente.

Siga o tutorial abaixo para instalar o SNX em seu sistema Lucid Lynx!

Já aviso que o tutorial abaixo requer intimidade com o uso do GNU/Linux em ambiente CLI (command line interface), também conhecido como modo-texto ou a tal tela preta, ou branca ou roxa – no caso do Lucid, vulgarmente e popularmente conhecido como ‘o bom e velho terminal’ :P

0. Abra o gnome-terminal ou o aplicativo terminal de sua preferência.

1. torne-se root

gutocarvalho@destiny:~$ sudo su
[sudo] password for gutocarvalho:

2. entre no diretório home do root

root@destiny:/home/gutocarvalho# cd ~
root@destiny:~#

3. crie um diretório chamado checkpoint

root@destiny:~# mkdir checkpoint

4. entre no diretório

root@destiny:~# cd checkpoint
root@destiny:/root/checkpoint#

5. pegando os pacotes necessário para o funciona do SNX

root@destiny:/root/checkpoint# wget http://mirrors.kernel.org/ubuntu/pool/universe/g/gcc-3.3/gcc-3.3-base_3.3.6-15ubuntu4_i386.deb

root@destiny:/root/checkpoint# wget http://mirrors.kernel.org/ubuntu/pool/universe/g/gcc-3.3/libstdc++5_3.3.6-15ubuntu4_i386.deb

6. instalando pacotes

root@destiny:/root/checkpoint# dpkg -i gcc-3.3-base_3.3.6-15ubuntu4_i386.deb

root@destiny:/root/checkpoint# dpkg -i libstdc++5_3.3.6-15ubuntu4_i386.deb

7. pegando a última versão do SNX

Faça o download do arquivo no link abaixo

https://supportcenter.checkpoint.com/supportcenter/portal/user/anon/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=8724

Normalmente o arquivo ficará em /home/usuario/Downloads

O nome do arquivo é

Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh

8. instalando o SNX

Vamos mover o arquivo para o diretório /root/checkpoint

root@destiny:/root/checkpoint# mv /home/usuario/downloads/Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh /root/checkpoint

9. Entre no diretório checkpoint (caso tenha saído dele)

root@destiny:/root/checkpoint# cd /root/checkpoint

10. Executando instalador do SNX

root@destiny:/root/checkpoint# sh Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh

Siga as instruções e terá o pacote SNX instalado!

Para se conectar use o comando abaixo

root@destiny:/root/checkpoint# snx -s IP_DO_SERVIDOR -c certificado.key

Para desconectar

root@destiny:/root/checkpoint# snx -d

[]‘s
Guto

Se você usa algum tipo de cliente VPN  que dependa do módulo TUN, poderá ter problemas no Ubuntu Lucid Lynx. Nesta nova versão a equipe da Canonical optou por oferecer o dispositivo TUN em modo built-in no kernel.

Muitos usuários estão reportando problemas em clientes VPN no link a seguir:

http://ubuntuforums.org/showthread.php?t=1459559

Na Launchpad temos alguns BUGs abertos relacionados ao módulo TUN, abaixo cito dois que considero relevantes para o entendimento do problema:

https://bugs.launchpad.net/ubuntu/+source/linux/+bug/565856

https://bugs.launchpad.net/ubuntu/lucid/+source/vpnc/+bug/499491

Aparentemente muitos clientes VPN se relacionam diretamente com o módulo tun.ko no diretório /lib/modules/2.6.xx/kernel/net, porém como o módulo está compilado em modo built-in, ele não será encontrado e o cliente provavelmente retornará algum erro ao usuário.

Para termos certeza que o dispositivo TUN está disponível, basta verificar  se o arquivo tun está no diretório /dev/net, se estiver, isto significa que ele foi compilado corretamente.

Já existe um workaround chamado FAKETUN que trata da questão, este contorno engana os clientes VPN simulando o arquivo tun.ko no diretório em que ele deveria estar se fosse compilado como módulo.

Abaixo vou traduzir o passo-a-passo para contornar o problema, a dica foi retirada do launchpad.

Já aviso que o tutorial abaixo requer intimidade com o uso do GNU/Linux em ambiente CLI (command line interface), também conhecido como modo-texto ou a tal tela preta, ou branca ou roxa – no caso do Lucid, vulgarmente e popularmente conhecido como ‘o bom e velho terminal’.

0. Abra o gnome-terminal ou o aplicativo terminal de sua preferência.

1. Torne-se root

gutocarvalho@destiny:/home/gutcarvalho$ sudo su
[sudo] password for gutocarvalho:

2. Entre no diretório HOME do usuário root

root@destiny:/home/gutocarvalho# cd ~

root@destiny:~#

3. Certifique-se que esta com os pacotes abaixo instalados

root@destiny:~# aptitude install build-essential linux-headers-`uname -r`

4. Agora vamos criar um diretorio chamado FAKETUN

root@destiny:~# mkdir faketun

5. Entrando no diretório

root@destiny:~# cd faketun

6. Criando o arquivo tun.c

root@destiny:/root/faketun#

echo -e “#include <linux/module.h>\nstatic int start__module(void) {return 0;}\nstatic void end__module(void) return;}\nmodule_init(start__module);nmodule_exit(end__module);” > tun.c

7. Criando o arquivo Makefile

root@destiny:/root/faketun#

echo -e “obj-m += tun.o\nall:\n\tmake -C /lib/modules/\$(shell uname -r)/build/ M=\$(PWD) modules\nclean:\n\tmake -C /lib/modules/\$(shell uname -r)/build/ M=\$(PWD) clean\nclean-files := Module.symvers” > Makefile

8. Compilando

root@destiny:/root/faketun# make

9. Instalando o módulo tun.ko

root@destiny:/root/faketun# install tun.ko /lib/modules/`uname -r`/kernel/net/tun.ko

10. Recarregando módulos

root@destiny:/root/faketun# depmod -a

11. Carregando Módulo TUN

root@destiny:/root/faketun# modprobe tun

root@destiny:/root/faketun# lsmod |grep tun
tun                      620  0

–

Pronto, módulo – fake – compilado e carregado, agora você precisa fazer testes com o seu cliente VPN. No meu caso o software VPN é  o SNX da Checkpoint, no Lucid Lynx eu só consegui me conectar ao servidor VPN após a aplicação do contorno.

Vale mencionar que caso você atualize seu KERNEL após executar o contorno, seja da versão 2.6.32-21 para a 2.6.32-22, ou mesmo para alguma versão mais nova, deve-se executar o procedimento do FAKETUN do passo 9 em diante, isso é necessário para garantir que o arquivo tun.ko exista no diretório /lib/modules/2.6.xx/kernel/net do novo kernel instalado.

[]‘s
Guto

Acabo de escrever um tutorial da série pantaneira sobre o OpenVPN usando Ubuntu 7.04 e Ubuntu 7.10.

O tutorial está no link abaixo:
http://gutocarvalho.net/mediawiki/index.php/OpenVPN_Pantaneiro

Fiquem a vontade para contribuir :)

[]‘s
Guto