La configuración de una VPN es algo que un sysadmin va a tener que usar tarde o temprano y en mi caso fue literalmente muy temprano, así que me tuve que poner ingenioso para hacer funcionar la VPN cuando un servidor requirió de atención en la madrugada. Para configurar el cliente de VPN de checkpoint llamado snx (SSL Network Extender) en Debian 10 supuse que la configuración de Debian 9 o de Ubuntun funcionaría pero me topé con algunas sorpresas. Para lograr instalar y configurar el cliente de VPN de checkpoint snx en Debian 10 Buster tienes que seguir estos pasos.
Checkpoint VPN client snx en Debian 10 Buster
Lo primero que tenemos que considerar es que no todo el software que necesitamos está «disponible», el cliente de VPN de checkpoing para linux llamado snx requiere algunas librerias de 32 bits que no están en el repositorio de la arquitectura de 64 bits.
Hay una actualización de este post que puede ser de tu interés:
Checkpoint VPN client snx en Debian 11 Bullseye
Si ejecutas los comandos normales es posible que te arroje un error que indica que los paquetes no están disponibles, un texto como la siguiente salida:
sudo apt install libstdc++5:i386 libpam0g:i386 Reading package lists… Done Building dependency tree Reading state information… Done E: Unable to locate package libstdc++5:i386 E: Couldn't find any package by regex 'libstdc++5' E: Unable to locate package libpam0g:i386
La solución está en la documentación de Debian que se refiere la posibilidad de poder instalar paquetes de múltiples arquitecturas en el mismo sistemas. Para habilitar la arquitectura de 32 bits en tu sistema Debian 10 buster de 64 bits puedes ejecutar el siguiente comando:
sudo dpkg --add-architecture i386
Una vez que está habilitada la opción de multi arquitectura puedes instalar los paquetes necesarios para que el cliente de VPN checkpoint snx funciones en Debian 10 Buster.
Primero debes instalar Java y lo puedes instalarlo con el siguiente comando:
sudo apt install default-jre
Luego es necesario instalar algunos paquetes marcados como dependencias o que son necesarios para que el snx funcione. Solo tienes que ejecutar este otro comando:
sudo apt install libstdc++5:i386 libpam0g:i386 libx11-6:i386
Una vez que están listos e instalados todos estos requisitos puedes descargar el script de instalación desde la página que te indique tu proveedor de vpn, tu cliente o ti network administrator. Te debe indicar una URL por ejemplo: https://vpn.tusitio.com
Al acceder a la URL debes busca un enlace que dice: «Download SSL Network Extender manual installation», este enlace está en la parte media del extremo derecho de la pagina.
Da click en el enlace que te indica la imagen y luego de desplegarse un menú da clik en el enlace que dice: «Download command line SNX for Linux» para que descargues el script de instalación llamado snx_install.sh
Si no puedes acceder a una página como la que te describo, entonces intentar descargar este script de instalación directamente desde en host que te entreguen con un URL como esta:
https://vpn.tusitio.com/CSHELL/snx_install.sh
Donde «vpn.tusitio.com» es el dominio a donde te debes conectar (el CheckPoint que te proveé la VPN).
Una vez que hayas descargado el archivo snx_install.sh debes darle permisos de ejecución y luego ejecutarlo como root o permisos de superusuario:
cd ~/Downloads
chmod 755 snx_install.sh
sudo ./snx_install.sh
Si todo está en su lugar, es decir que tienes Java, los paquetes de dependencias y librerias instalados, etc., entonces al ejecutar el snx_install.sh te mostrará una llenda como la que sigue:
$ sudo ./snx_install.sh
Installation successfull
Lo unico que resta es que te conectes a la VPN con el usuario y password que te provee tu administrador de red o quien gestione la VPN. Esto lo puedes hacer con el usuario, contraseña y host que te proporcionen. Aquí un ejemplo
$ snx -u usuario -s vpn.tusitio.com Check Point's Linux SNX build 800007116 Please enter your password: SNX authentication: Please confirm the connection to gateway: central VPN Certificate Root CA fingerprint: MANN EGO BAR HELL LAB RUDY WEST CUBAN ORAL WEE TWIT IT Do you accept? [y]es/[N]o: yes SNX - connected. Session parameters: Office Mode IP : 172.16.8.42 Timeout : 8 hours $
En ese momento estarás conectado a la VPN y podrás tener conectividad a los segmentos de red que la VPN tenga habilidatos en el ruteo configurado y las ACLs que le otorguen permisos a tu usuario.
By Rodolfo Gouvert 07/15/2020 - 11:42 am
Hello, I have snx installed in debian 10.4 but the time-out is for 60 minutes, there is a way to modify that configuration parameter, if I connect to the vpn from windows it generates the connection for 4 hours.
From already thank you very much.
By Marcos 09/08/2023 - 9:10 am
Buenas, no espero que contestes ya que es re viejoeste post, pero aunasi lointento. sabes que puedo conectarme por snx, pero no logro conectarme a una maquina virtual, es como que se va la coneccion
By Luis Armando Medina 10/03/2023 - 12:39 pm
Hola Marcos, una forma es identificar que la ruta donde está tu equipo esté presentada a la VPN, por ejemplo si quieres alcanzar una IP como la 10.102.180.22 debes poder ver una ruta estática que envie ese trafico por la VPN. Esto lo ves con el comando «ip route» ese comando te muestra algo asi:
$ ip route
default via 192.168.61.1 dev wlp0s20f3 proto dhcp metric 600
10.102.180.0/24 dev tunsnx src 172.16.8.2
Si conoces el gateway de ese segmento le puedes dar ping y te debe contestar. Si no aparece debes hablar con el administrador de networking para que agregue el segmento a la VPN