Conexão à VPN Cisco AnyConnect sem certificado armazenado ou segredo compartilhado

19

Muitas pessoas discutiram sobre a configuração do cliente VPN embutido no OS X para conectar-se às VPNs da Cisco no lugar do cliente AnyConnect. No entanto, toda a discussão concentra-se em copiar informações críticas de configuração (segredo ou certificado compartilhado, em particular) de um arquivo PCF ou Profile.xml incluído em um instalador AnyConnect específico do site.

O instalador do AnyConnect onde estou agora (versão 4.2.01035) parece não implantar nenhuma informação de perfil. /opt/cisco/anyconnect/profilecontém apenas AnyConnectProfile.xsd(uma definição de esquema padrão, nada específico para esta configuração). Não há nenhum sinal de qualquer XML perfil ou PCF arquivos que posso encontrar em /opt/cisco, /Libraryou $HOME/Library.

Isso corresponde à experiência da interface do usuário: não parece haver nenhum perfil pré-configurado. Em vez disso, no primeiro lançamento, recebo um campo VPN em branco no qual simplesmente digito um nome de host manualmente (nesse caso ucbvpn.berkeley.edu) e pressiono connect. Isso fornece um prompt de login, incluindo uma lista suspensa de seleção de grupo e campos de nome de usuário e senha. Basta digitar um nome de usuário e senha para iniciar a conexão no modo especificado pelo "grupo" especificado e tudo funciona bem.

No entanto, não consigo descobrir como essa configuração pode ser totalmente transferida para o cliente VPN nativo do OS X. A transferência de um nome de grupo escolhido da lista aparentemente descoberta automaticamente pelo cliente AnyConnect, mas a configuração da VPN do OS X também parece exigir a inserção explícita de um segredo compartilhado ou de um certificado.

Meu melhor palpite é que o cliente Cisco esteja operando em um modo talvez novo, em que possa negociar diretamente com o servidor para descobrir automaticamente todas as informações de configuração necessárias e que não esteja armazenado em disco em nenhum lugar. Alguém tem alguma experiência com uma configuração como esta, ou tem alguma sugestão do que mais tentar?

jrk
fonte
Infelizmente também não consigo encontrar o arquivo de configuração. Realmente parece que o cliente está apenas buscando as informações do servidor. Talvez seja de alguma forma possível cheirar o tráfego? Você tem alguma notícia sobre isso?
Benjamin Herzog
Existem duas solicitações POST ao conectar-se ao servidor vpn. O primeiro contém as informações para o formulário mostrado, o segundo após o envio desse formulário. Ele cria uma sessão- [id | token], mas não vejo nenhum arquivo / informação de configuração de VPN lá: /
Benjamin Herzog
3
Alguma atualização interessante?
flindeberg
No meu caso, eu tenho um diretório cheio de perfis e outros arquivos .xml e simplesmente não sei o que escolher - meu objetivo é o mesmo - para poder me livrar do cliente Cisco Anyconnect. É horrível e irritante, e sua integração com o sistema operacional é muito ruim. Eu realmente gostaria de usar o cliente nativo do sistema operacional, se possível. Você tem alguma idéia do que procurar? Eu sei que o "Grupo de usuários", mas mais uma vez - eu não sei o "segredo compartilhado" ou "certificado" e como obtê-los
Motti Shneor

Respostas:

3

Acredito que o cliente AnyConnect pode ser usado para conectar-se a vários tipos diferentes de VPN oferecidos pela Cisco. O processo que você descreve acima me leva a acreditar que você está se conectando a uma VPN SSL. O SSL-VPN não requer o uso de um segredo compartilhado para a primeira camada de criptografia. Em vez disso, o cliente e o servidor negociam automaticamente a criptografia de primeira camada usando SSL. Você será solicitado a obter credenciais e uma associação ao grupo. O restante da sua sessão VPN é criptografado exclusivamente após a autenticação.

Você pode criar um script da conexão para que, em vez de precisar digitar suas credenciais a cada vez, possa armazená-las em suas chaves e simplesmente iniciar a conexão a partir do shell ou de outro script. Eu fiz isso há alguns anos aqui: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Eu notei que com cada atualização do AnyConnect, eu tive que ajustar este script, então use-o como um exemplo e vá a partir daí. Faz cerca de um ano desde a última vez que eu precisei me conectar via AnyConnect.

TheWellington
fonte
3
Na verdade, eu estava mais interessado porque esperava configurar uma conexão usando apenas a implementação nativa da VPN do macOS e não precisava instalar nem executar o AnyConnect. Mas obrigado pela contribuição.
Jrk #
@jrk mesmo, e também TheWellington seu gosto está morto
Max Coplan