openconnect no puede conectarse al grupo Anyconnect VPN usando -g

16

Estoy usando openconnectpara conectarme a una VPN. Al iniciar el cliente como sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, puedo conectarme después de ingresar el GRUPO y la Contraseña.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Sin embargo, cuando especifico el mismo nombre de grupo en la línea de comando, la conexión falla con un mensaje de "Entrada de host no válida".

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

¿Necesito hacer alguna magia con el nombre del grupo, o cómo descubro cómo hacer que esto funcione?

vpn openconnect

— Anaphory
fuente

¿Mientras tanto encontraste una solución?

— Henrik

pregunta relacionada openconnect VPN funciona en el widget KDE NetworkManager pero no en la línea de comando

— user1129682

15

Probar en --authgrouplugar de-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Saludos

— Andy S
fuente

esto funcionó para mí

— Nikolay Dimitrov

@AndyS y @stambata: ¡Gracias por su amable ayuda! ¿Cómo puedo usar este comando si el nombre del grupo contiene espacios vacíos entre palabras, por ejemplo, un nombre de grupo como: "Túnel Compañía XYZ"? No puedo escribir authgroup=tunnel Company XYZni `authgroup =" tunnel Company XYZ ". ¿Sabes cómo resolver esto?

— Dave

@AndyS y @stambata: Solo para obtener información adicional, los nombres de los grupos se proporcionan en la solicitud del usuario de esa manera: GROUP: [tunnel Company XYZ|tunnel all]:- ¿Cómo puedo escribir esto en el openconnectcomando?

— Dave

1

De hecho, la no respuesta dada por user2000606 conduce al éxito.

Los mensajes HTTP enviados al ASA difieren, dependiendo de cómo seleccione un grupo y las puertas de enlace VPN pueden ser exigentes al respecto.

Esta es mi llamada básica a openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Al emitir este comando y proporcionar mi grupo VPN deseado después de que se le solicite resultados en el siguiente chat HTTP (solo incluí las partes aparentemente relevantes de los documentos XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Observe los group-selectgrupos y que todas las solicitudes son POST / HTTP/1.1. El mismo resultado se logra al proporcionar --authgroup AnyConnect-MyGroupla llamada básica a openconnect.

Cuando se utiliza en -g AnyConnect-MyGrouplugar de --authgroup AnyConnect-MyGrouplo siguiente sucede:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Tenga en cuenta que esta vez no le decimos al servidor group-selectsino que simplemente introducimos el nombre de nuestro grupo group-accessy la solicitud HTTP. El mismo resultado negativo se provoca cuando se agrega el nombre del grupo a la dirección de la puerta de enlace, es decir, se usa vpn.ssl.mydomain.tld/AnyConnect-MyGroupcomo la última línea de la llamada básica a openconnect.

— usuario1129682
fuente