Acesso VPN usando Linux (na FCT/UNL)

Esta solução funciona para mim, mas não deve ser esperado suporte técnico por parte de ninguém.

NOTA em 2022: No final de 2022, mudou a interface do site https://vpn.fct.unl.pt, mas a 90% deste documento continua válido.

1. Introdução

   O cliente chama-se Mobile Access Portal Agent.
   Funciona com base num deamon que fica ao serviço duma app que corre no web bowser.
   É aborrecido ter de ativar o acesso VPN sempre manualmente a partir do browser, mas o mais importante é que funcione.
   O acesso usa split tunneling, o que significa que a VPN é ignorada para endereços não relacionados com a FCT (e isso é bom).
   Estas regras são para o Chromium/Chrome. No Firefox haveria algumas simplificações.

2. Allow popups no browser

   • No Chromium...
     
   • Ir até: Settings/Advanced/Privacy and security/Site Settings/Pop-ups and redirects
     
   • Allow: https://vpn.fct.unl.pt

3. Obter os instaladores "cshell_install.sh" e "snx_install.sh"

   • No Chromium...
     
   • Entrar no URL: https://vpn.fct.unl.pt
   • Standard Sign In com as credenciais do CLIP
   • Ao fim de 10 segundos aparece um popup a dizer: "You need to install the Mobile Access Portal Agent"
   • Fazer download de "cshell_install.sh"
   • Entrar nos settings e fazer também download de "snx_install.sh"
   • Mandar o popup embora e fazer Sign Off

4. Instalar "cshell_install.sh"

   Este deamon está implementado em Java. A documentação diz que requer o runtime do Java 8 da Oracle. Em todo o caso, seria interessante verificar se funciona com outros javas.

   # sudo apt-get install libnss3-tools -y
   Reading package lists... Done
   etc...
   

   # sudo apt-add-repository -r ppa:webupd8team/java
   # sudo apt-add-repository ppa:webupd8team/java
   # sudo apt-get update
   # sudo apt-get install oracle-java8-installer oracle-java8-set-default
   Reading package lists... Done
   etc...
   

   # sudo bash cshell_install.sh 
   Start Check Point Mobile Access Portal Agent installation
   Extracting Mobile Access Portal Agent... Done
   Installing Mobile Access Portal Agent... Done
   Installing certificate... Done
   Starting Mobile Access Portal Agent... Done
   Installation complete
   

5. Instalar "snx_install.sh"

   Requer a instalação de diversas bibliotecas de 32 bits. Estamos a assumir que a nossa plataforma é de 64 bits.

   # sudo apt-get install libx11-6:i386 libstdc++5:i386 libpam0g:i386 -y    [not sure: libc6:i386 libncurses5:i386 libstdc++6:i386]
   Reading package lists... Done
   etc...
   
   # sudo bash snx_install.sh 
   Installation successfull
   

6. Confirmar que o deamon cshell ficou a correr

   # ps ax | grep cshell
    3096 pts/16   Sl     0:00 java -jar /usr/bin/cshell/CShell.jar /tmp/cshell.fifo
    3132 pts/16   S+     0:00 grep cshell
   

   O deamon foi instalado como startup application. Portanto, nos próximos reboots, voltará a correr automaticamente.

7. Corrigir um problema com o certificado

   Inicialmente, e depois em cada semana, é preciso fazer isto:

   • No Chromium...
     
   • Entrar no URL: https://localhost:14186/id
   • "Your connection is not private"...
   • Botão "Advanced"
   • Proceed to localhost (unsafe) or Add Security exception
   • Deve aparecer algo parecido com isto {"id":"8fe2930e-a96a-4843-be45-ccef777673ac"}

8. Conectar com a VPN e usar normalmente

   • No Chromium...
   • Entrar no URL: https://vpn.fct.unl.pt
   • Standard Sign In com as credenciais do CLIP
   • Surge imediatamente um popup a mostrar a conexão a ser tentada
   • Ao fim de 10 segundos aparece "Connected"
   • Usar

9. Verificar se a conexão VPN está ativa

   # ifconfig tunsnx
   tunsnx    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
             inet addr:10.188.131.245  P-t-P:10.188.131.244  Mask:255.255.255.255
             UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
             RX packets:0 errors:0 dropped:0 overruns:0 frame:0
             TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
             collisions:0 txqueuelen:100 
             RX bytes:0 (0.0 B)  TX bytes:1132 (1.1 KB)
   

10. Fechar a conexão VPN

    Disconectar no popup do browser.

    Caso tenham mandado o popup embora (eu mando sempre embora), eis uma forma alternativa de disconectar:

    # snx -d
    SNX - Disconnecting...
     done.