openconnect nie może połączyć się z grupą Anyconnect VPN za pomocą -g

16

Używam openconnectdo łączenia się z VPN. Podczas uruchamiania klienta jako sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, jestem w stanie połączyć się po wprowadzeniu GRUPY i Hasła.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Jednak gdy podam tę samą nazwę grupy w wierszu poleceń, połączenie nie powiedzie się z komunikatem „Nieprawidłowy wpis hosta”.

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Czy muszę wprowadzić jakąś magię do nazwy grupy lub jak dowiedzieć się, jak to zrobić?

vpn openconnect

— Anafora
źródło

Czy w międzyczasie znalazłeś rozwiązanie?

— Henrik,

powiązane pytanie openconnect VPN działa w widżecie KDE NetworkManager, ale nie w wierszu poleceń

— user1129682

15

Spróbuj --authgroupzamiast-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

pozdrowienia

— Andy S.
źródło

to zadziałało dla mnie

— Nikołaj Dimitrow

@AndyS i @stambata: Dzięki za miłą pomoc! Jak mogę użyć tego polecenia, jeśli nazwa grupy zawiera puste spacje między słowami, na przykład nazwa grupy taka jak: „firma tunelowa XYZ”? Nie mogę napisać ani authgroup=tunnel Company XYZani `authgroup =" tunel Company XYZ ". Czy wiesz jak to rozwiązać?

— Dave

@AndyS i @stambata: Aby uzyskać dodatkowe informacje, nazwy grup są wyświetlane w wierszu polecenia w następujący sposób: GROUP: [tunnel Company XYZ|tunnel all]:- Jak wpisać to w openconnectkomendę?

— Dave

1

W rzeczywistości brak odpowiedzi podanej przez użytkownika2000606 prowadzi do sukcesu.

Wiadomości HTTP wysyłane do ASA różnią się w zależności od sposobu wyboru grupy, a bramy VPN mogą być wybredne.

To jest moje podstawowe wezwanie do openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Wydanie tego polecenia i podanie mojej żądanej grupy VPN po wyświetleniu monitu powoduje następującą rozmowę HTTP (załączyłem tylko pozornie istotne części dokumentów XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Zwróć uwagę na group-select-groups i że wszystkie żądania są POST / HTTP/1.1. Ten sam rezultat osiąga się przez zapewnienie --authgroup AnyConnect-MyGrouppodstawowego połączenia z openconnect.

Podczas używania -g AnyConnect-MyGroupzamiast --authgroup AnyConnect-MyGroupdzieje się:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Zauważ, że tym razem nie mówimy do serwera, group-selectale po prostu wciskamy nazwę naszej grupy group-accessi żądanie HTTP. Ten sam negatywny wynik jest wywoływany przy dodawaniu nazwy grupy do adresu bramy, tj. Przy użyciu vpn.ssl.mydomain.tld/AnyConnect-MyGroupjako ostatniego wiersza podstawowego połączenia z openconnect.

— użytkownik1129682
źródło