web-dev-qa-db-fra.com

openconnect ne peut pas se connecter au groupe VPN Anyconnect à l'aide de -g

J'utilise openconnect pour me connecter à un VPN. Lors du démarrage du client en tant que Sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, Je peux me connecter après avoir entré le GROUPE et le mot de passe.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Cependant, lorsque je spécifie ce même nom de groupe sur la ligne de commande, la connexion échoue avec un message "Entrée d'hôte non valide".

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid Host entry. Please re-enter.
Failed to obtain WebVPN cookie

Dois-je faire quelque chose de magique au nom du groupe, ou comment savoir comment faire fonctionner cela?

18
Anaphory

Essayez --authgroup au lieu de -g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Cordialement

18
Andy S

En fait, la non réponse donnée par user2000606 mène au succès.

Les messages HTTP envoyés à l'ASA diffèrent, selon la façon dont vous sélectionnez un groupe et les passerelles VPN peuvent être difficiles à ce sujet.

Ceci est mon appel de base à openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld 

Émettre cette commande et fournir mon groupe VPN souhaité après avoir été invité entraîne le chat HTTP suivant (je n'ai inclus que les parties apparemment pertinentes des documents XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Remarquez le group-select- groupes et que toutes les demandes sont POST / HTTP/1.1. Le même résultat est obtenu en fournissant --authgroup AnyConnect-MyGroup avec l'appel de base à openconnect.

Lors de l'utilisation de -g AnyConnect-MyGroup au lieu de --authgroup AnyConnect-MyGroup les événements suivants se produisent:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid Host entry. Please re-enter.</error>

Notez que cette fois, nous ne le disons pas au serveur group-select mais insérez simplement le nom de notre groupe avec group-access et la requête HTTP. Le même résultat négatif est provoqué lors de l'ajout du nom de groupe à l'adresse de la passerelle, c'est-à-dire en utilisant vpn.ssl.mydomain.tld/AnyConnect-MyGroup comme dernière ligne de l'appel de base à openconnect.

1
user1129682