Linux (MacOS) 使用openconnect连接GlobalProtect SSL VPN网络

公司GlobalProtect提供的vpn客户端有windows版本和MacOS版本，但没有linux版本。

本文以debian 10为例通过安装openconnect实现命令行连接(debian 10 对应ubuntu 18.04）。

centos7需要先安装epel源，再安装openconnect

macos需要先安装Homebrew，然后通过brew安装openconnect

由于公司VPN连接成功后会更改默认路由，所有流量都会经过VPN，出口IP会变成办公网络的出口IP。如果linux机器是公有云服务器，比如阿里云ECS，由于默认路由的变更，会导致无法通过ssh连接。

针对默认路由的变更做如下 *** 作：再连接前记录默认路由网关和网卡设备，连接后再改回来。连接脚本及相关配置如下：

假设你是使用Windows和Linux双系统并在Win上已经安装了锐捷。

1、从 http://code.google.com/p/mentohust/上下载最新的mentohust版本deb包，最新的版本少了许多麻烦，比如说抓包。我用的版本是0.3.4。

2、执行以下命令，以下命令主要是为了应付锐捷的客户端版本验证。

cd '/media/WINXP/Program Files/锐捷网络/Ruijie Supplicant' （单引号里面的是在win下面安装锐捷的位置。）

sudo mkdir /etc/mentohust （这个目录一定要创建成功。）

sudo cp W32N55.dll /etc/mentohust

sudo cp 8021x.exe /etc/mentohust

3、下面进行第一次使用mentohust的配置过程：

sudo mentohust

欢迎使用MentoHUST版本: 0.3.4

Copyright (C) 2009-2010 HustMoon Studio

人到华中大，有甜亦有辣。明德厚学地，求是创新家。

Bug report to http://code.google.com/p/mentohust/issues/list

** 网卡[1]:eth0

** 网卡[2]:usbmon1

** 网卡[3]:usbmon2

** 网卡[4]:usbmon3

** 网卡[5]:usbmon4

** 网卡[6]:usbmon5

** 网卡[7]:usbmon6

** 网卡[8]:usbmon7

?? 请选择网卡[1-10]: 1

** 您选择了第[1]块网卡。

?? 请输入用户名: ****

?? 请输入密码: *****

?? 请选择组播地址(0标准 1锐捷私有 2赛尔): 1

?? 请选择DHCP方式(0不使用 1二次认证 2认证后 3认证前): 3

** 用户名:********

** 网卡: eth0

** 认证超时:8秒

** 响应间隔:30秒

** 失败等待:15秒

** 允许失败:0次

** 组播地址:锐捷

** DHCP方式:认证前

** 通知超时:5秒

** DHCP脚本:dhclient

（红色为要求输入部分，其实不多………………）

4、mentohust的主要参数：

用法: mentohust [-选项][参数]

选项: -h 显示本帮助信息

-k 退出程序

-w 保存参数到配置文件

-u 用户名

-p 密码

例如：sudo mentohust -uhust -p123456 -w

本方法在Ubuntu 10.04 LTS Beta2，锐捷3.50下调试通过。

参考： http://forum.ubuntu.org.cn/viewtopic.php?f=156&t=258644

http://code.google.com/p/mentohust/wiki/Parameter

远程使用家里的linux机器，有多种方法，可以分为两大类

1、通过ip地址/域名和ssh/telnet/远程桌面等自带工具

2、通过第三方软件，例如TeamViewer（强烈推荐）

首先介绍TeamViewer（强烈推荐）：

在有图形界面的linux系统中，搜索teamviewer官网，下载相应的linux版本并安装，在家里linux机器运行此软件，此时显示一个id和密码，记下来，只要能上网，在别的终端（如windows电脑、手机）下载teamviewer软件，运行并选择连接到伙伴，输入刚才记下的id和密码，接通后即可远程控制家里linux机器的桌面。

=============分界线，以下为不常用方法，不推荐=============

另外通过ip+ssh访问：

这种办法需要以下固定条件（之一）来保证在远程的电脑能找到你家里的linux

1、电脑有固定公网（外网）IP地址（固定ip需要花钱买，较贵，一般家里少有）

(1)下载远程终端如xshell，新建ssh/telnet连接并接通家里linux机器，前提是机器支持以上方式访问

2、电脑有不固定（随机的）的公网ip地址（ADSL网络，不使用路由器属于此情况）

(2)此情况需要使用DDNS软件获取机器的域名，如花生壳，获取域名后，同(1)

3、电脑无固定公网ip地址，但有vpn设备，且vpn设备有固定公网ip（某些办公网可能有，家里极少）

(3)vpn拨号成功，获知家里linux机器的内网ip地址，使用ssh/telnel连接到linux机器的内网

满足以上条件之一

以下情况【无法连接】家里的linux机器

使用没有提供公网ip地址网络环境，如长城宽带、办公网络

---