Conexión a Cisco AnyConnect VPN sin certificado almacenado o secreto compartido

Muchas personas han discutido la configuración del cliente VPN incorporado de OS X para conectarse a las VPN de Cisco en lugar del cliente AnyConnect. Sin embargo, toda la discusión se centra en copiar información crítica de configuración (secreto compartido o certificado, en particular) de un archivo PCF o Profile.xml incluido en un instalador AnyConnect específico del sitio.

El instalador de AnyConnect donde estoy ahora (versión 4.2.01035) parece no desplegar ninguna información de perfil. /opt/cisco/anyconnect/profilecontiene solo AnyConnectProfile.xsd(una definición de esquema estándar, no algo específico para esta configuración). No hay ninguna señal de cualquier perfil o archivos XML PCF que puedo encontrar en /opt/cisco, /Libraryo $HOME/Library.

Esto coincide con la experiencia de la interfaz de usuario: no parece haber ningún perfil preconfigurado. En cambio, en el primer lanzamiento, solo obtengo un campo VPN en blanco en el que simplemente ingreso un nombre de host a mano (en este caso ucbvpn.berkeley.edu) y presiono conectar. Esto proporciona un mensaje de inicio de sesión que incluye un menú desplegable de selección de grupo y campos de nombre de usuario y contraseña. Simplemente ingresando un nombre de usuario y contraseña inicia la conexión en el modo especificado por el "grupo" dado, y todo funciona bien.

Sin embargo, no puedo entender cómo esta configuración se puede transferir completamente al cliente VPN nativo de OS X. La transferencia de un nombre de grupo elegido de la lista aparentemente descubierta automáticamente por el cliente AnyConnect, pero la configuración de OS X VPN también parece requerir el ingreso explícito de un secreto compartido o un certificado.

Mi mejor conjetura es que el cliente de Cisco está operando en un modo quizás nuevo en el que puede negociar directamente con el servidor para descubrir automáticamente cualquier información de configuración necesaria, y que no está almacenado en el disco en ninguna parte. ¿Alguien tiene alguna experiencia con una configuración como esta, o tiene alguna sugerencia de qué más probar?

Creo que el cliente AnyConnect se puede usar para conectarse a varios tipos diferentes de VPN ofrecidos por Cisco. El proceso que describe arriba me lleva a creer que se está conectando a una VPN SSL. SSL-VPN no requiere el uso de un secreto compartido para la primera capa de cifrado. En cambio, el cliente y el servidor negocian automáticamente el cifrado de la primera capa utilizando SSL. Luego se le solicitan las credenciales y una membresía de grupo. El resto de su sesión de VPN se cifra de forma exclusiva después de la autenticación.

Puede hacer un script de la conexión para que, en lugar de tener que ingresar sus credenciales cada vez, pueda almacenarlas en su llavero y simplemente iniciar la conexión desde el shell u otro script. Lo hice hace unos años aquí: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

He notado que con cada actualización de AnyConnect, he tenido que modificar este script, así que úselo como ejemplo y vaya desde allí. Ha pasado aproximadamente un año desde la última vez que necesitaba conectarme a través de AnyConnect.