Підключення до VPN Cisco AnyConnect без збереженого сертифіката або загальної таємниці

Багато людей обговорювали налаштування вбудованого VPN-клієнта OS X для підключення до VPN Cisco замість клієнта AnyConnect. Однак уся дискусія зосереджена на копіюванні критичної інформації конфігурації (зокрема, загальної таємниці або сертифіката) з файлу PCF або Profile.xml, включеного в специфічний для інсталятора сайт AnyConnect.

Інсталятор AnyConnect, де я зараз перебуває (версія 4.2.01035), схоже, не розгортає інформацію про профіль. /opt/cisco/anyconnect/profileмістить лише AnyConnectProfile.xsd(стандартне визначення схеми, нічого конкретного для цієї конфігурації). Там немає ніяких ознак будь - яких профіль XML або PCF файлів , які я можу знайти в /opt/cisco, /Libraryабо $HOME/Library.

Це відповідає досвіду користувальницького інтерфейсу: здається, що не було налаштованих профілів. Натомість, при першому запуску я просто отримую порожнє поле VPN, в яке я просто вводите ім'я хоста вручну (у цьому випадку ucbvpn.berkeley.edu) і натискаю підключитися. Це дає підказку для входу, включаючи спадне меню вибору групи та поля ім’я користувача та пароль. Просто введення імені користувача та пароля ініціює з'єднання в режимі, визначеному даною "групою", і все працює добре.

Однак я не можу зрозуміти, як цю конфігурацію можна повністю перенести на рідний VPN-клієнт OS X. Перенесення вибраного імені групи зі списку, здавалося б, автоматично виявлено клієнтом AnyConnect, але, схоже, конфігурація VPN VP X також вимагає явного введення або загальної таємниці, або сертифіката.

Я найкраще здогадуюсь, що клієнт Cisco працює в, можливо, новому режимі, де він може вести переговори безпосередньо з сервером для автоматичного виявлення будь-якої необхідної інформації про конфігурацію, і що він ніде не зберігається на диску. Хтось має досвід роботи з подібними налаштуваннями, чи є якісь пропозиції спробувати ще?

Я вважаю, що клієнт AnyConnect може використовуватися для підключення до декількох типів VPN, пропонованих Cisco. Вищеописаний процес спонукає мене до думки, що ви підключаєтесь до SSL-VPN. SSL-VPN не вимагає використання спільного секрету для першого шару шифрування. Натомість клієнт і сервер автоматично домовляються про шифрування першого рівня за допомогою SSL. Тоді вас просять підтвердити повноваження та членство в групі. Залишок вашого сеансу VPN унікально шифрується після автентифікації.

Ви можете зафіксувати з'єднання так, що замість того, щоб вводити свої облікові дані кожен раз, ви можете зберігати їх у своєму брелоку та просто ініціювати з'єднання із оболонки чи іншого сценарію. Я зробив це кілька років тому тут: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Я помітив, що з кожним оновленням AnyConnect мені доводилося виправляти цей скрипт, тому використовуйте його як приклад та йдіть звідти. Минуло рік, як я востаннє потребував підключення через AnyConnect.