Подключение к Cisco AnyConnect VPN без сохраненного сертификата или общего секрета

Многие люди обсуждали настройку встроенного VPN-клиента OS X для подключения к Cisco VPN вместо клиента AnyConnect. Однако все обсуждения сосредоточены на копировании критической информации о конфигурации (в частности, общего секрета или сертификата) из файла PCF или Profile.xml, включенного в установщик AnyConnect для конкретного сайта.

Установщик AnyConnect, где я сейчас нахожусь (версия 4.2.01035), похоже, не развертывает какую-либо информацию профиля. /opt/cisco/anyconnect/profileсодержит только AnyConnectProfile.xsd(стандартное определение схемы, а не что-то конкретное для этой конфигурации). Там нет никаких признаков каких - либо профиль XML или PCF файлов , которые я могу найти в /opt/cisco, /Libraryили $HOME/Library.

Это соответствует пользовательскому интерфейсу: кажется, нет предварительно настроенных профилей. Вместо этого, при первом запуске я просто получаю пустое поле VPN, в котором я просто ввожу имя хоста вручную (в данном случае ucbvpn.berkeley.edu) и нажимаю кнопку connect. Это дает приглашение для входа в систему, включая раскрывающийся список выбора группы, а также поля имени пользователя и пароля. Простой ввод имени пользователя и пароля инициирует соединение в режиме, указанном данной «группой», и все работает нормально.

Я не могу, однако, понять, как эта конфигурация может быть полностью передана в собственный клиент OS X VPN. Перенос имени выбранной группы из списка, по-видимому, автоматически обнаруживается клиентом AnyConnect, но конфигурация OS X VPN, по-видимому, также требует явного ввода либо общего секрета, либо сертификата.

Мое предположение заключается в том, что клиент Cisco работает, возможно, в новом режиме, в котором он может напрямую договариваться с сервером, чтобы автоматически обнаруживать любую необходимую информацию о конфигурации, и что он нигде не хранится на диске. У кого-нибудь есть опыт работы с подобными настройками, или есть какие-то предложения, что еще попробовать?

Я считаю, что клиент AnyConnect можно использовать для подключения к ряду различных типов VPN, предлагаемых Cisco. Процесс, который вы описали выше, заставляет меня поверить, что вы подключаетесь к SSL-VPN. SSL-VPN не требует использования общего секрета для первого уровня шифрования. Вместо этого клиент и сервер автоматически согласовывают шифрование первого уровня с использованием SSL. Затем вас попросят ввести учетные данные и членство в группе. Остальная часть сеанса VPN уникально шифруется после аутентификации.

Вы можете создать сценарий подключения, чтобы вместо того, чтобы каждый раз вводить свои учетные данные, вы можете сохранять их в цепочке для ключей и просто инициировать подключение из оболочки или другого сценария. Я сделал это несколько лет назад здесь: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Я заметил, что с каждым обновлением AnyConnect мне приходилось настраивать этот скрипт, поэтому используйте его в качестве примера и переходите оттуда. Прошло около года с тех пор, как мне в последний раз нужно было подключаться через AnyConnect.