VPN Cisco Anyconnect, сертификаты CRT, rdp-клиент с поддержкой подключения через шлюз и Debian 7 64

И так стояла задача подключится к рабочему компьютеру.
Имеется Инструкция для винды, два сертификата ROOTCA.CRT и CORPCA.CRT, линуксовая версия Cisco Anyconnect и Debian GNU/Linux 7.2 (wheezy) x86_64.
Краткое изложение инструкции:
1 Установить ROOTCA.CRT в «Доверенные корневые центры сертификации».
2 Установить CORPCA.CRT в «Промежуточные центры сертификации».
3 Установить Cisco Anyconnect.
4 Настроить подключение в Cisco Anyconnect.
5 Подключится через rdb к рабочему компьютеру.

В таком изложении различий между установкой в винде и линуксе нет (только пункт 3 надо выполнить до пункта 1), но для тех кто не в курсе обозначу основные проблемы:
1 первые 2 пункта в винде выполняются через двойной клик по файлам и выбором нескольких настроек в инсталяторе. Но в линуксе я не нашел простых путей.
2 пункт 4 у пользователей ubuntu i386 тоже не вызовет особых проблем ubuntu x86_64 не проверял, но в моем дебиане gui не запустилось. Правда в консоле все работает замечательно, но я не сразу об этом догадался.
3 подключение к рабочему столу через шлюз. Этого почти никто не умеет.

Приступаем в начале как я уже писал устанавливаем Cisco Anyconnect, ни каких проблем тут нет запускаем в командной строке vpn_install.sh
я выполнял
$sudo sh vpn_install.sh
только запускать надо из папки с файлом, иначе пути к устанавливаемым библиотекам не находит. Дальше в /opt/ все разворачивается.
запуск гуи /opt/cisco/anyconnect/bin/vpnui у меня падал из за нехватки зависимостей от разных библиотек i386. Несколько из них поставилось, но одна сказала что снесет пол системы. Тогда я стал изучать /opt/cisco/anyconnect/bin/vpn консольный вызов. Он работает без проблем.

Оказалось не все так просто. в очередной раз при установке возникли проблемы нехватка библиотек
добавляем архитектуру i386
$dpkg --add-architecture i386
устанавливаем библиотеки
$sudo apt-get install libxml2:i386 libstdc++6-4.9-dbg:i386 lib32z1 lib32ncurses5 network-manager-openconnect

Для решения проблемы 1 установка сертификатов, мне помогла статья Импорт сертификата webmoney в Chrome (Ubuntu) и просмотром папок с установленным Cisco Anyconnect
В Cisco Anyconnect есть папка /opt/.cisco/certificates/ca
где и должны лежать сертификаты, но простое копирование ROOT.CRT и CORP.CRT в нее не помогает,так как они не того вида.
Для того что бы они стали нужного нам вида их надо установить в Firefox (я устанавливал в iceweasel поскольку дебиан)
по инструкции из ссылки выше
Открываем в браузере пункт меню Правка - Настройки. В открывшемся окне - раздел Дополнительные, вкладка Шифрование. Нажимаем кнопку Просмотр сертификатов. Переключаемся на вкладку Центры сертификации
дальше жмем импортировать и выбираем ROOTCA.CRT. Затем проделываем тоже самое для CORPCA.CRT.
Когда сертификаты установились делаем им экспорт. У меня получилось два файла ROOTCA и CORPCA без разрешения.
Поместив полученные файлы в папку, я все равно не добился нужного мне результата, пока не добавил им расширение pem (CORPCA.pem ROOTCA.pem).
Теперь запуск
/opt/cisco/anyconnect/bin/vpn connect host
выдает долгожданное
Copyright (c) 2004 - 2013 Cisco Systems, Inc.  All Rights Reserved.


  >> state: Connected
  >> state: Connected
  >> state: Connected
  >> notice: Connected to Not Available.
  >> registered with local VPN subsystem.

дальше пошло изучение rdp.
попытки скормить krdc и remmina файла *.rdp закончились не чем, как и попытки ручной настройки. Там просто не было нужных мне пунктов.
Но вот в одной из инструкций я все таки нашел строчку
При удаленном подключении к рабочему компьютеру из ОС не из семейства Windows необходимо использовать rdp-клиент с поддержкой подключения через шлюз, настроив его в соответствии с инструкцией по эксплуатации для подключения через шлюз
которая помогла мне сформулировать правильный вопрос мировому разуму и получить в ответ
Remote Desktop from Debian through Terminal Services Gateway
однако и тут мне пришлось повоевать, версия freerdp поддерживающая этот функционал нашлась только в экспериментальной ветке.
В конечном итоге я все таки увидел меню входа винды.
На этом я закругляюсь, инфы как установить experimental в сети достаточно.