openconnect не може підключитися до групи VPN Anyconnect за допомогою -g

16

Я використовую openconnectдля підключення до VPN. Коли я запускаю клієнта як sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, я можу підключитися після введення групи та пароля.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Однак, коли я вказую те саме ім’я групи в командному рядку, з'єднання не вдається з повідомленням "Недійсний запис хоста".

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Чи потрібно мені робити якусь магію до назви групи, або як я дізнаюся, як зробити цю роботу?

vpn openconnect

— Анафорія
джерело

Ти тим часом знайшов рішення?

— Генрік

пов’язане запитання openconnect VPN працює у віджеті KDE NetworkManager, але не в командному рядку

— user1129682

15

Спробуйте --authgroupзамість цього-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

З повагою

— Енді С
джерело

це працювало для мене

— Микола Димитров

@AndyS та @stambata: Дякую за люб’язну допомогу! Як я можу використовувати цю команду, якщо назва групи містить порожні пробіли між словами, наприклад назва групи типу: "Тунель компанії XYZ"? Я не можу написати authgroup=tunnel Company XYZні `authgroup =" тунель компанії XYZ ". Ви знаєте, як це вирішити?

— Дейв

@AndyS та @stambata: Просто для отримання додаткової інформації імена груп надаються у підказці користувача таким чином: GROUP: [tunnel Company XYZ|tunnel all]:- Як я можу ввести це у команду openconnect-command?

— Дейв

1

Власне кажучи, невідповідь, дана користувачем2000606, призводить до успіху.

Повідомлення HTTP, що надсилаються до ASA, відрізняються, залежно від того, як ви вибираєте групу, і шлюзи VPN можуть бути вибагливими щодо цього.

Це мій основний заклик до openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Видача цієї команди та надання бажаної групи VPN після того, як буде запропоновано результати в наступному чаті HTTP (я включив лише здавалося б відповідні частини XML-документів):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Зауважте, group-select-групи та що всі запити є POST / HTTP/1.1. Такий же результат досягається, забезпечивши --authgroup AnyConnect-MyGroupосновний дзвінок на openconnect.

При використанні -g AnyConnect-MyGroupзамість --authgroup AnyConnect-MyGroupцього відбувається:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Зауважте, що цього разу ми не повідомляємо сервер, group-selectа просто видавлюємо назву нашої групи із group-accessта HTTP-запитом. Той самий негативний результат провокується при додаванні назви групи до адреси шлюзу, тобто використання vpn.ssl.mydomain.tld/AnyConnect-MyGroupв якості останнього рядка базового виклику до openconnect.

— user1129682
джерело