O openconnect não pode se conectar ao grupo de VPN do Anyconnect usando -g

16

Estou usando openconnectpara me conectar a uma VPN. Ao iniciar o cliente como sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, consigo conectar depois de inserir o GRUPO e a Senha.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

No entanto, quando eu especifico o mesmo nome de grupo na linha de comando, a conexão falha com a mensagem "Entrada de host inválida".

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Preciso fazer alguma mágica no nome do grupo ou como descubro como fazer isso funcionar?

vpn openconnect Anaphory
fonte
Enquanto isso, você encontrou uma solução?
Henrik
questão relacionada openconnect VPN funciona no KDE NetworkManager Widget mas não na linha de comando
user1129682

Respostas:

15

Tente em --authgroupvez de-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Saudações

Andy S
fonte
Isso funcionou para mim
Nikolay Dimitrov
@AndyS e @stambata: Obrigado por sua ajuda! Como posso usar esse comando se o nome do grupo contiver espaços vazios entre as palavras, por exemplo, um nome de grupo como: "empresa de encapsulamento XYZ"? Não consigo escrever authgroup=tunnel Company XYZnem `authgroup =" tunnel Company XYZ ". Você sabe como resolver isso?
Dave
@AndyS e @stambata: Apenas para informações adicionais, os nomes dos grupos são fornecidos no prompt do usuário da seguinte maneira: GROUP: [tunnel Company XYZ|tunnel all]:- Como digito isso no openconnectcomando -com?
Dave
1

Por uma questão de fato, a resposta não dada pelo usuário2000606 leva ao sucesso.

As mensagens HTTP enviadas ao ASA diferem, dependendo de como você seleciona um grupo e os gateways VPN podem ser exigentes quanto a isso.

Esta é minha chamada básica para openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Emitir este comando e fornecer o meu grupo de VPN desejado depois de ser solicitado resulta no seguinte bate-papo HTTP (incluí apenas as partes aparentemente relevantes dos documentos XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Observe os group-selectgrupos e todas as solicitações são POST / HTTP/1.1. O mesmo resultado é alcançado fornecendo --authgroup AnyConnect-MyGroupa chamada básica para openconnect.

Ao usar em -g AnyConnect-MyGroupvez do --authgroup AnyConnect-MyGroupseguinte, acontece:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Observe que desta vez não informamos ao servidor, group-selectmas simplesmente pressionamos o nome do nosso grupo com group-accessa solicitação HTTP. O mesmo resultado negativo é provocado ao adicionar o nome do grupo ao endereço do gateway, ou seja, usar vpn.ssl.mydomain.tld/AnyConnect-MyGroupcomo a última linha da chamada básica para openconnect.

user1129682
fonte