openconnect no puede conectarse al grupo Anyconnect VPN usando -g

16

Estoy usando openconnectpara conectarme a una VPN. Al iniciar el cliente como sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, puedo conectarme después de ingresar el GRUPO y la Contraseña.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Sin embargo, cuando especifico el mismo nombre de grupo en la línea de comando, la conexión falla con un mensaje de "Entrada de host no válida".

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

¿Necesito hacer alguna magia con el nombre del grupo, o cómo descubro cómo hacer que esto funcione?

vpn openconnect Anaphory
fuente
¿Mientras tanto encontraste una solución?
Henrik
pregunta relacionada openconnect VPN funciona en el widget KDE NetworkManager pero no en la línea de comando
user1129682

Respuestas:

15

Probar en --authgrouplugar de-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Saludos

Andy S
fuente
esto funcionó para mí
Nikolay Dimitrov
@AndyS y @stambata: ¡Gracias por su amable ayuda! ¿Cómo puedo usar este comando si el nombre del grupo contiene espacios vacíos entre palabras, por ejemplo, un nombre de grupo como: "Túnel Compañía XYZ"? No puedo escribir authgroup=tunnel Company XYZni `authgroup =" tunnel Company XYZ ". ¿Sabes cómo resolver esto?
Dave
@AndyS y @stambata: Solo para obtener información adicional, los nombres de los grupos se proporcionan en la solicitud del usuario de esa manera: GROUP: [tunnel Company XYZ|tunnel all]:- ¿Cómo puedo escribir esto en el openconnectcomando?
Dave
1

De hecho, la no respuesta dada por user2000606 conduce al éxito.

Los mensajes HTTP enviados al ASA difieren, dependiendo de cómo seleccione un grupo y las puertas de enlace VPN pueden ser exigentes al respecto.

Esta es mi llamada básica a openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Al emitir este comando y proporcionar mi grupo VPN deseado después de que se le solicite resultados en el siguiente chat HTTP (solo incluí las partes aparentemente relevantes de los documentos XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Observe los group-selectgrupos y que todas las solicitudes son POST / HTTP/1.1. El mismo resultado se logra al proporcionar --authgroup AnyConnect-MyGroupla llamada básica a openconnect.

Cuando se utiliza en -g AnyConnect-MyGrouplugar de --authgroup AnyConnect-MyGrouplo siguiente sucede:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Tenga en cuenta que esta vez no le decimos al servidor group-selectsino que simplemente introducimos el nombre de nuestro grupo group-accessy la solicitud HTTP. El mismo resultado negativo se provoca cuando se agrega el nombre del grupo a la dirección de la puerta de enlace, es decir, se usa vpn.ssl.mydomain.tld/AnyConnect-MyGroupcomo la última línea de la llamada básica a openconnect.

usuario1129682
fuente