Como conectar a uma VPN do GlobalProtect

GlobalProtect é um tipo de rede privada virtual (VPN) que integra os firewalls da Palo Alto Networks. Você trabalha remotamente em uma empresa que requer que você use esse tipo de VPN? Veja aqui como instalar o software necessário e se conectar no openSUSE e também no Linux Kamarada.

VPNs são usadas por organizações (por exemplo, empresas, universidades) para permitir que pessoas (funcionários, alunos) se conectem remotamente às suas redes. Uma VPN provê uma conexão criptografada entre seu computador em casa e a rede da empresa ou universidade. Se você quiser saber mais sobre VPNs, leia o início desse post:

• Como conectar a uma VPN do OpenVPN

Naquela ocasião, falamos sobre o OpenVPN, outro tipo de VPN.

Hoje, vamos falar sobre o GlobalProtect.

Usuários de Linux dispõem de duas opções para se conectar a VPNs do GlobalProtect:

1. o cliente aberto do OpenConnect, fornecido pelas próprias distribuições Linux; ou
2. o cliente oficial (proprietário) do GlobalProtect, fornecido pela Palo Alto Networks.

Adianto que não consegui fazer o cliente oficial funcionar. Portanto, menciono apenas para que você saiba que ele existe.

Opção 1: cliente aberto do OpenConnect

O OpenConnect é um cliente de VPNs criado inicialmente para suportar a VPN Cisco AnyConnect, mas que depois passou a suportar também a Pulse Connect Secure e a Palo Alto Networks GlobalProtect. O suporte a esta última veio com a versão 8.00, lançada em 04/01/2019.

Instalação

A distribuição openSUSE Tumbleweed, versão rolling release do openSUSE, disponibiliza em seus repositórios oficiais a versão 8.05 do OpenConnect. Se você usa essa distribuição, para instalar o OpenConnect, basta executar:

1
# zypper in openconnect

Já a distribuição openSUSE Leap 15.1, versão tradicional do openSUSE (com lançamentos regulares), disponibiliza em seus repositórios oficiais a versão 7.08 do OpenConnect.

O Linux Kamarada 15.1 (baseado no openSUSE Leap 15.1) traz o OpenConnect 7.08 pré-instalado.

Nesses dois casos, você deve atualizar o OpenConnect para a versão 8.05, que pode ser obtida do repositório network (rede, em inglês).

Para isso, primeiro adicione o repositório network:

1
# zypper ar http://download.opensuse.org/repositories/network/openSUSE_Leap_15.1/ network

Então, instale o OpenConnect (informando que deseja baixá-lo do repositório network):

1
# zypper in network:openconnect

OpenConnect instalado e atualizado, todos na mesma página, vejamos como usá-lo.

Uso

Para se conectar à VPN, tenha em mãos as seguintes informações:

• servidor do GlobalProtect, na forma de um endereço IP ou de um nome de domínio completo (do inglês fully qualified domain name ou FQDN);
• nome de usuário; e
• senha.

Se não as souber, questione-as ao administrador de rede ou à equipe de TI da organização.

Abra uma janela do terminal (reserve uma janela do terminal só para isso) e execute o comando a seguir, fazendo as devidas substituições:

1
$ sudo openconnect --protocol=gp servidor.do.global.protect -u nome-de-usuario

Digite a senha de administrador (usuário root) e tecle Enter:

1
[sudo] senha para root:

Depois, quando solicitado, digite a senha para acessar a VPN:

1
2
3
4
5
6
POST https://vpn.XXXXXXXX.br/ssl-vpn/prelogin.esp?tmp=tmp&clientVer=4100&clientos=Linux
Conectado a 200.XXXXX.4:443
Negociação SSL com vpn.XXXXXXXX.br
Conectado a HTTPS em vpn.XXXXXXXX.br
Digite o seu usuário e senha:
Senha:

A conexão é estabelecida e o programa informa o endereço IP que você obteve na VPN:

1
2
3
4
5
6
7
8
9
10
11
POST https://vpn.XXXXXXXX.br/ssl-vpn/login.esp
Login GlobalProtect retornou authentication-source=auth-seq_ad-local-vpn
POST https://vpn.XXXXXXXX.br/ssl-vpn/getconfig.esp
A sessão vai expirar após 43200 minutos.
Tempo limite do túnel (intervalo de renovação de chave) é 180 minutos.
Tempo limite de ociosidade é 180 minutos.
Nenhum MTU foi recebido. Calculado 1422 para ESP tunnel
POST https://vpn.XXXXXXXX.br/ssl-vpn/hipreportcheck.esp
Conectado como 10.22.0.68, usando SSL, com ESP em progresso
Sessão ESP estabelecida com o servidor
Túnel ESP conectado; saindo do loop principal de HTTPS.

Nesse exemplo, 10.22.0.68.

O comando não termina: fica em execução por tempo indefinido. A conexão será mantida enquanto o programa estiver em execução (por isso eu aconselhei reservar uma janela do terminal só para ele).

Durante esse tempo, você pode acessar do seu computador os sistemas internos da organização como se nela estivesse.

Quando não precisar mais da VPN e quiser desconectar, tecle Ctrl + C para interromper o comando (e a conexão):

1
2
3
4
5
6
7
8
9
^CPOST https://vpn.XXXXXXXX.br/ssl-vpn/logout.esp
Negociação SSL com vpn.XXXXXXXX.br
Conectado a HTTPS em vpn.XXXXXXXX.br
Desconexão feita com sucesso
RTNETLINK answers: No such process
RTNETLINK answers: No such process
RTNETLINK answers: No such process
RTNETLINK answers: No such process
Usuário cancelado (SIGINT/SIGTERM); saindo.

Opção 2: cliente oficial do GlobalProtect

A Palo Alto Networks fornece um aplicativo do GlobalProtect para Linux em duas versões: interface de linha de comando (CLI) e interface gráfica (GUI). Idealmente, o pacote ou instalador deve ser obtido do administrador de rede ou da equipe de TI da organização.

Infelizmente, há organizações que não oferecem suporte a Linux. Pesquisando na Internet, encontrei um link para baixar o aplicativo nessa página da Universidade Estadual do Kansas:

• Virtual Private Networking - Kansas State University

Também infelizmente, não consegui fazê-lo funcionar no Linux Kamarada 15.1, nem a versão CLI, nem a versão GUI. A tabela de compatibilidade do GlobalProtect mostra que as distribuições Linux suportadas oficialmente são CentOS, Red Hat Enterprise Linux (RHEL) e Ubuntu. As distribuições do openSUSE não são oficialmente suportadas.

Referências

• Como se conectar a uma VPN Global Protector no Linux - Blog do Edivaldo
• Openconnect - Conexão de VPN Paloalto no Debian - Artigo - Viva o Linux
• GlobalProtect App for Linux - Palo Alto Networks