openconnect non può connettersi al gruppo VPN Anyconnect usando -g

16

Sto usando openconnectper connettermi a una VPN. All'avvio del client come sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, sono in grado di connettermi dopo aver inserito il GROUP e la password.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Tuttavia, quando si specifica lo stesso nome di gruppo nella riga di comando, la connessione non riesce con un messaggio "Voce host non valida".

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Devo fare qualche magia per il nome del gruppo o come posso scoprire come farlo funzionare?

vpn openconnect

— Anaphory
fonte

Nel frattempo hai trovato una soluzione?

— Henrik,

domanda correlata openconnect VPN funziona nel widget di KDE NetworkManager ma non sulla riga di comando

— user1129682

15

Prova --authgroupinvece di-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Saluti

— Andy S
fonte

questo ha funzionato per me

— Nikolay Dimitrov il

@AndyS e @stambata: grazie per il vostro gentile aiuto! Come posso usare questo comando se il nome del gruppo contiene spazi vuoti tra le parole, ad esempio un nome di gruppo come: "tunnel Company XYZ"? Non posso scrivere authgroup=tunnel Company XYZné `authgroup =" tunnel Company XYZ ". Sai come risolverlo?

— Dave,

@AndyS e @stambata: solo per ulteriori informazioni, i nomi dei gruppi vengono forniti nel prompt utente in questo modo: GROUP: [tunnel Company XYZ|tunnel all]:- Come posso digitare questo nel openconnectcomando?

— Dave,

1

È un dato di fatto, la non risposta data dall'utente2000606 porta al successo.

I messaggi HTTP inviati all'ASA differiscono, a seconda di come si seleziona un gruppo e i gateway VPN possono essere schizzinosi al riguardo.

Questa è la mia chiamata di base a openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Emettere questo comando e fornire il mio gruppo VPN desiderato dopo che sono stati richiesti i risultati nella seguente chat HTTP (ho incluso solo le parti apparentemente rilevanti dei documenti XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Notare i group-selectgruppi e che tutte le richieste lo sono POST / HTTP/1.1. Lo stesso risultato si ottiene fornendo --authgroup AnyConnect-MyGroupla chiamata base a openconnect.

Quando si utilizza -g AnyConnect-MyGroupinvece --authgroup AnyConnect-MyGroupquanto segue:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Si noti che questa volta non lo diciamo al server group-selectma semplicemente stringiamo il nome del nostro gruppo group-accesse la richiesta HTTP. Lo stesso risultato negativo viene provocato quando si aggiunge il nome del gruppo all'indirizzo gateway, ovvero utilizzando vpn.ssl.mydomain.tld/AnyConnect-MyGroupcome ultima riga della chiamata di base a openconnect.

— user1129682
fonte