https://wiki.habital.lv/index.php?action=history&feed=atom&title=OpenSWAN_%2B_CheckpointOpenSWAN + Checkpoint - Revision history2026-05-13T12:46:13ZRevision history for this page on the wikiMediaWiki 1.39.13https://wiki.habital.lv/index.php?title=OpenSWAN_%2B_Checkpoint&diff=18&oldid=prevEugene: Created page with "'''Создание соединения с файерволом "CheckPoint" с помощью OpenSWAN.''' Для создания соединения понадобятс..."2013-08-20T10:11:09Z<p>Created page with "'''Создание соединения с файерволом "CheckPoint" с помощью OpenSWAN.''' Для создания соединения понадобятс..."</p>
<p><b>New page</b></p><div>'''Создание соединения с файерволом "CheckPoint" с помощью OpenSWAN.'''<br />
<br />
Для создания соединения понадобятся публичные ключи клиента и сервера.<br />
* С помощью "CheckPoint Management Center" создаём клиента и публичный ключ для него (напр. freeswan.p12).<br />
* Также необходимо получить сертификат сервера и внутренний ca-сертификат.<br />
Получить сертификат сервера:<br />
# fwm exportcert -obj checkpoint -cert defaultCert -pem -withroot -file checkpoint-cert.pkcs7<br />
При этом будут получены предупреждения об ошибках:<br />
Unable to open '/dev/fw0': No such file or directory<br />
Failed to get interface list: No such file or directory<br />
cp_fw_stat: cannot get interface list: No such file or directory<br />
cp_get_active_policy_name: Failed to get Security Policy information<br />
Игнорируем их. И преобразуем PKCS#7 сертификат в формат X.509:<br />
# openssl pkcs7 -in checkpoint-cert.pkcs7 -print_certs >temp.pem<br />
Расщепляем полученный файл на две части: checkpoint-internal-ca.pem (CA сертификат как правило первый в файле) и checkpoint-cert.pem (firewall сертификат второй в файле). Заголовки файлов выглядят примерно так:<br />
<br />
Заголовок CA сертификата:<br />
subject=/O=checkpoint.intranet.example.com..p9bkhs<br />
issuer= /O=checkpoint.intranet.example.com..p9bkhs<br />
Заголовок firewall сертификата:<br />
subject=/O=checkpoint.intranet.example.com..p9bkhs/CN=rhl7 VPN Certificate<br />
issuer= /O=checkpoint.intranet.example.com..p9bkhs<br />
CA-сертификат можно получить через порт 18264 "CheckPoint Gateway". Напр.:<br />
wget http://<checkpoint gw address>:18264/internal_ca.cer<br />
После этого преобразуем полученный файл из DER-формата в PEM-формат:<br />
# openssl x509 -inform DER -outform PEM -in internal_ca.cer -out internal_cap.pem<br />
<br />
Копируем '''checkpoint-internal-ca.pem''' в '''/etc/ipsec.d/cacerts/''' и '''checkpoint-cert.pem''' в '''/etc/ipsec.d/certs/'''.<br />
<br />
* Получим DER crl-файл:<br />
# wget http://<checkpoint gw address>:18264/ICA_CRL1.crl<br />
преобразуем в PEM и сохраним его в /etc/ipsec.d/crls/checkpoint.crl<br />
# openssl crl -in ICA_CRL1.crl -inform DER -outform PEM -out /etc/ipsec.d/crls/checkpoint.crl<br />
<br />
* Из файла freeswan.p12 выделим сертификат пользователя freeswan-cert.pem и ключ freeswan-key.pem:<br />
# openssl pkcs12 -in freeswan.p12 -nocerts -out /etc/ipsec.d/private/freeswan-key.pem<br />
# openssl pkcs12 -in freeswan.p12 -nokeys -out temp2.pem<br />
Файл temp2.pem содержит в себе два сертификата - сheckpoint-internal-ca.pem и freeswan-cert.pem. Соответственно перый и второй. Расщепляем файл на две части и копируем '''freeswan-cert.pem''' в '''/etc/ipsec.d/certs/'''. Заголовки файлов выглядят примерно так:<br />
Заголовок CA сертификата:<br />
subject=/O=checkpoint.intranet.example.com..p9bkhs<br />
issuer= /O=checkpoint.intranet.example.com..p9bkhs<br />
Заголовок сертификата пользователя:<br />
subject=/O=checkpoint.intranet.example.com..p9bkhs/OU=users/CN=freeswan<br />
issuer=/O=checkpoint.intranet.example.com..p9bkhs<br />
<br />
'''Создаём файл /etc/ipsec.conf:'''<br />
<br />
<br />
## RoadWarrior to Gateway: FreeS/WAN X.509 <-> Check Point<br />
conn freeswan-checkpoint-x509<br />
# Right side is FreeS/WAN RoadWarrior<br />
right=%defaultroute<br />
rightrsasigkey=%cert<br />
rightid="/O=checkpoint.lab.aerasec.de..ab12cd/OU=users/CN=freeswan"<br />
rightcert=freeswan-cert.pem # As an alternative, the file itself can be specified<br />
# Left side is Check Point<br />
left=1.2.3.4 # CheckPoint Gateway address<br />
leftcert=checkpoint-cert.pem<br />
leftrsasigkey=%cert<br />
#leftrsasigkey=0x0103...... # only needed for old FreeS/WAN<br />
leftid=1.2.3.4 # Check Point VPN-1 send IP address as ID<br />
#leftid= # leave unset for old FreeS/WAN<br />
# config<br />
type=tunnel<br />
keyingtries=0<br />
disablearrivalcheck=no<br />
authby=rsasig<br />
auth=esp<br />
keyexchange=ike<br />
auto=start<br />
<br />
## RoadWarrior to Net behind Gateway: FreeS/WAN X.509 <-> Check Point - Net<br />
conn freeswan-checkpoint-x509-net<br />
# Right side is FreeS/WAN RoadWarrior<br />
rightrsasigkey=%cert<br />
right=%defaultroute<br />
rightid="/O=checkpoint.lab.aerasec.de..ab12cd/OU=users/CN=freeswan"<br />
rightcert=freeswan-cert.pem # As an alternative, the file itself can be specified<br />
# Left side is Check Point<br />
left=1.2.3.4 # CheckPoint Gateway address<br />
leftsubnet=172.16.1.0/24 # Internal subnet address<br />
leftcert=checkpoint-cert.pem<br />
leftrsasigkey=%cert<br />
#leftrsasigkey=0x0103...... # only needed for old FreeS/WAN<br />
leftid=1.2.3.4 # Check Point VPN-1 send IP address as ID<br />
#leftid= # leave unset for old FreeS/WAN<br />
# config<br />
type=tunnel<br />
keyingtries=0<br />
disablearrivalcheck=no<br />
authby=rsasig<br />
auth=esp<br />
keyexchange=ike<br />
auto=start<br />
<br />
В файле /etc/ipsec.conf rightid можно получить так:<br />
# openssl x509 -in freeswan-cert.pem -noout -subject<br />
'''<br />
Создаём файл /etc/ipsec.secrets:'''<br />
# Define RSA key<br />
: RSA /etc/ipsec.d/private/freeswan-key.pem "key passphrase here"</div>Eugene