https://www.opennet.ru/openforum/vsluhforumID1/96531.html CentOS, 64bit<br>Клиент дал параметры подключения к его серверу.<br>Для подключения предлагается ставить FortiClient на рабочие места наших сотрудников (Windows).<br>Посмотрел клиента, ужаснулся.<br>Решил попробовать настроить vpn на отдельном сервере и запилить его в качестве шлюза.<br>Поставил клиент отсюда (http://dekiwiki.ties2.net/Fortinet/Fortinet_SSL_VPN_Client_Installers)<br>туннель поднимается, доступ до нужного сервера есть, но ровно через 5 минут соединение рвется.<br>В логах forticlientsslvpn.log<br>route -n add -net 192.168.1.0 netmask 255.255.255.0 gw 10.212.134.201<br>04/11/2016 14:13:24 [30167] ssl read failed[error:00000005:lib(0):func(0):DH lib]:[Success]<br>04/11/2016 14:13:24 [30167] io finished, kill pppd<br>04/11/2016 14:13:24 [30167] kill_child:30170<br>04/11/2016 14:13:24 [30167] tunnel finished, killing session<br>04/11/2016 14:13:24 [30167] killing pppd ...<br>04/11/2016 14:13:24 [30167] kill_child:30187<br><br>В логах pppd<br>using channel 25<br>Using interface ppp0<br>Connect: ppp0 &lt;--&gt; /dev/pts/1<br>sent [LCP ConfReq id https://www.opennet.ru/openforum/vsluhforumID1/96531.html#8 Tue, 19 Apr 2016 11:47:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Но тут встает уже у меня вопрос - если у вас нет <br>&gt;&gt; там сертификатов, почему при запуске из шелла все работает.<br>&gt;&gt; Показывайте лог успешного запуска тогда.<br>&gt; Там огромная простыня, причем я так думаю, что выкладывать ее не особо <br>&gt; безопасно.<br>&gt; http://pastebin.com/MLe6Ngh4 <br>&gt; лежит тут, частично покоцал, ибо показалось, что есть вещи, которые из нее <br>&gt; в паблик выкладывать небезопасно. ) <br>&gt; Насколько понял, тащит данные с сервера, по логину паролю. В логе увидел <br>&gt; слова GUI, предполагаю костыль.<br><br>up<br> https://www.opennet.ru/openforum/vsluhforumID1/96531.html#7 Thu, 14 Apr 2016 13:46:37 GMT &gt; В /root/.fctsslvpn_trustca должен лежать ssl-сертификат от удаленного сервера, к которому <br>&gt; вы подключаетесь. Получить его можно от владельца сервера.<br>&gt; Но тут встает уже у меня вопрос - если у вас нет <br>&gt; там сертификатов, почему при запуске из шелла все работает.<br>&gt; Показывайте лог успешного запуска тогда.<br><br>Там огромная простыня, причем я так думаю, что выкладывать ее не особо безопасно.<br>http://pastebin.com/MLe6Ngh4<br>лежит тут, частично покоцал, ибо показалось, что есть вещи, которые из нее в паблик выкладывать небезопасно. )<br><br>Насколько понял, тащит данные с сервера, по логину паролю. В логе увидел слова GUI, предполагаю костыль.<br> https://www.opennet.ru/openforum/vsluhforumID1/96531.html#6 Thu, 14 Apr 2016 13:09:22 GMT В /root/.fctsslvpn_trustca должен лежать ssl-сертификат от удаленного сервера, к которому вы подключаетесь. Получить его можно от владельца сервера.<br><br>Но тут встает уже у меня вопрос - если у вас нет там сертификатов, почему при запуске из шелла все работает.<br><br>Показывайте лог успешного запуска тогда.<br> https://www.opennet.ru/openforum/vsluhforumID1/96531.html#5 Thu, 14 Apr 2016 12:53:00 GMT &gt;[оверквотинг удален]<br>&gt; #!/bin/bash <br>&gt; let "PING=`/bin/ping 192.168.1.1 -c 3 -W 2 &#124; /bin/grep received &#124; /usr/bin/awk <br>&gt; {' print $4'}`" 2 &gt; /dev/null <br>&gt; if [ "$PING" -eq "0" ]; then <br>&gt; /usr/src/forticlientsslvpn/forticlientsslvpn_cli --server 178.207.157.170:10443 <br>&gt; --vpnuser calluser &gt; /dev/null <br>&gt; fi <br>&gt; Вместо 192.168.1.1 надо написать ip, который доступен только тогда, когда vpn-туннель работает. <br>&gt; Запихиваете в крон ежеминутно и в случае отсутствия пинга выполнится команда <br>&gt; на поднятие туннеля.<br><br>Примерно так и планировал, только в качестве критерия планировал выбрать ниличие или отсутствие ppp интерфейса<br><br>&gt;&gt; forticlientsslvpn_cli пытается найти сертификаты в директории /root/.fctsslvpn_trustca, <br>&gt;&gt; там их ессно нет.<br>&gt; Если у вас есть сертификаты, положите их туда. Нормальная практика, когда программа <br>&gt; ищет файлы в домашнем каталоге пользователя, от которого она запускается.<br>&gt; Еще можно переопределить переменную $HOME, но что бы вы не указали, в <br>&gt; этом каталоге все р https://www.opennet.ru/openforum/vsluhforumID1/96531.html#4 Thu, 14 Apr 2016 12:29:57 GMT &gt; Задача написать скрипт и сунуть его в крон, для поддержания жизни vpn. <br><br>#!/bin/bash<br><br>let "PING=`/bin/ping 192.168.1.1 -c 3 -W 2 &#124; /bin/grep received &#124; /usr/bin/awk {' print $4'}`" 2 &gt; /dev/null<br><br>if [ "$PING" -eq "0" ]; then<br> /usr/src/forticlientsslvpn/forticlientsslvpn_cli --server 178.207.157.170:10443 --vpnuser calluser &gt; /dev/null<br>fi<br><br>Вместо 192.168.1.1 надо написать ip, который доступен только тогда, когда vpn-туннель работает. Запихиваете в крон ежеминутно и в случае отсутствия пинга выполнится команда на поднятие туннеля.<br> <br>&gt; forticlientsslvpn_cli пытается найти сертификаты в директории /root/.fctsslvpn_trustca, <br>&gt; там их ессно нет.<br><br>Если у вас есть сертификаты, положите их туда. Нормальная практика, когда программа ищет файлы в домашнем каталоге пользователя, от которого она запускается.<br>Еще можно переопределить переменную $HOME, но что бы вы не указали, в этом каталоге все равно должен быть каталог .fctsslvpn_trustca<br><br>&gt; Как заставить выполняться скрипт в контексте выполне https://www.opennet.ru/openforum/vsluhforumID1/96531.html#3 Thu, 14 Apr 2016 10:01:29 GMT &gt; Очень подозрительны эти 2 строчки: <br>&gt;&gt; Connect time 5.0 minutes.<br>&gt;&gt; Sent 0 bytes, received 0 bytes.<br>&gt; Канал видимо отключается по таймауту неактивности. Проверяйте, почему через него не ходит <br>&gt; трафик.<br><br>огромное спасибо, за то, что ткнули носом в мою ошибку!<br>Проверил, если трафик гонять через соединение -- оно не рвется.<br>Можно спросить в этой же теме, чтоб не плодить новые, как написать скрипт, на поддержание соединения?<br>При выполнении в шеле<br>yes &#124; /usr/src/forticlientsslvpn/forticlientsslvpn_cli --server 178.207.157.170:10443 --vpnuser calluser &gt; /dev/null<br>Появляется предложение ввести пароль<br>Password for VPN:<br><br>Ввожу его, поднимается vpn тунель.<br>Задача написать скрипт и сунуть его в крон, для поддержания жизни vpn.<br>Вот тут у меня начинаются сложности.<br>1) При выполнении <br>#!/bin/sh<br>### BEGIN INIT INFO<br># Provides: pppd<br># Required-Start: $all<br># Required-Stop: $all<br># Default-Start: 2 3 4 5<br># Default-Stop: 0 1 6<br># Short-Description: Forticlient bkk<br># Description: Connect bkk forti https://www.opennet.ru/openforum/vsluhforumID1/96531.html#2 Wed, 13 Apr 2016 13:27:30 GMT Очень подозрительны эти 2 строчки:<br>&gt; Connect time 5.0 minutes.<br>&gt; Sent 0 bytes, received 0 bytes.<br><br>Канал видимо отключается по таймауту неактивности. Проверяйте, почему через него не ходит трафик.<br> https://www.opennet.ru/openforum/vsluhforumID1/96531.html#1 Tue, 12 Apr 2016 23:07:26 GMT &gt; Подскажите, куда смотреть, что можно настроить, чтоб соединение не рвалось?<br><br>Позвонить/написать в техподдержку Fortinet и задать вопрос. Их левая шняга ну ни разу не открытая система.<br>