Connessione a Cisco AnyConnect VPN senza certificato archiviato o segreto condiviso

Molte persone hanno discusso della configurazione del client VPN integrato OS X per connettersi alle VPN Cisco al posto del client AnyConnect. Tuttavia, tutta la discussione si concentra sulla copia di informazioni di configurazione critiche (segreto condiviso o certificato, in particolare) da un file PCF o Profile.xml incluso in un programma di installazione AnyConnect specifico del sito.

Il programma di installazione AnyConnect in cui mi trovo ora (versione 4.2.01035) sembra non distribuire alcuna informazione sul profilo. /opt/cisco/anyconnect/profilecontiene solo AnyConnectProfile.xsd(una definizione di schema standard, non qualcosa di specifico per questa configurazione). Non c'è alcun segno di profilo XML o file PCF che posso trovare in /opt/cisco, /Libraryo $HOME/Library.

Questo corrisponde all'esperienza dell'interfaccia utente: non sembrano esserci profili preconfigurati. Invece, al primo avvio ottengo solo un campo VPN vuoto in cui inserisco semplicemente un nome host a mano (in questo caso ucbvpn.berkeley.edu) e premo connect. Ciò fornisce un prompt di accesso che include un menu a discesa per la selezione di gruppi e campi nome utente e password. Basta inserire un nome utente e una password per avviare la connessione nella modalità specificata dal dato "gruppo" e tutto funziona correttamente.

Tuttavia, non riesco a capire come questa configurazione possa essere completamente trasferita al client VPN nativo di OS X. Il trasferimento di un nome di gruppo scelto dall'elenco apparentemente scoperto automaticamente dal client AnyConnect, ma la configurazione VPN di OS X sembra richiedere anche l'inserimento esplicito di un segreto condiviso o di un certificato.

La mia ipotesi migliore è che il client Cisco stia funzionando in una modalità forse nuova in cui può negoziare direttamente con il server per scoprire automaticamente tutte le informazioni di configurazione necessarie e che non è memorizzato su disco da nessuna parte. Qualcuno ha qualche esperienza con una configurazione come questa o ha qualche suggerimento su cos'altro provare?

Credo che il client AnyConnect possa essere utilizzato per connettersi a una serie di diversi tipi di VPN offerti da Cisco. Il processo che descrivi sopra mi porta a credere che ti stai collegando a una SSL-VPN. SSL-VPN non richiede l'uso di un segreto condiviso per il primo livello di crittografia. Il client e il server negoziano automaticamente la crittografia del primo livello utilizzando SSL. Vengono quindi richieste le credenziali e un abbonamento al gruppo. Il resto della sessione VPN viene crittografato in modo univoco dopo l'autenticazione.

È possibile eseguire lo script della connessione in modo che invece di dover inserire le proprie credenziali ogni volta, sia possibile memorizzarle nel portachiavi e avviare semplicemente la connessione dalla shell o da altri script. L'ho fatto qualche anno fa qui: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Ho notato che con ogni aggiornamento di AnyConnect, ho dovuto modificare questo script, quindi usalo come esempio e vai da lì. È passato circa un anno dall'ultima volta che ho dovuto connettermi tramite AnyConnect.