openconnect не может соединиться с группой VPN Anyconnect, используя -g

16

Я использую openconnectдля подключения к VPN. При запуске клиента как sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, я могу подключиться после ввода группы и пароля.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Однако, когда я указываю это же имя группы в командной строке, соединение не устанавливается с сообщением «Invalid host entry».

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Нужно ли творить магию с названием группы или как мне узнать, как это сделать?

vpn openconnect

— Anaphory
источник

Вы тем временем нашли решение?

— Хенрик

Похожий

— user1129682

15

Попробуй --authgroupвместо-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

С уважением

— Энди С
источник

это сработало для меня

— Николай Димитров

@AndyS и @stambata: Спасибо за вашу помощь! Как я могу использовать эту команду, если имя группы содержит пробелы между словами, например, имя группы, например: "tunnel Company XYZ"? Я не могу написать ни, authgroup=tunnel Company XYZни `authgroup =" Туннельная компания XYZ ". Ты знаешь как это решить?

— Дейв

@AndyS и @stambata: просто для дополнительной информации, имена групп приводятся в приглашении пользователя следующим образом: GROUP: [tunnel Company XYZ|tunnel all]:- Как я могу ввести это в openconnect-команду?

— Дейв

1

На самом деле, отказ от ответа пользователя 2000606 приводит к успеху.

HTTP-сообщения, отправляемые в ASA, различаются в зависимости от того, как вы выбираете группу, и VPN-шлюзы могут быть разборчивы в этом.

Это мой основной призыв к openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Выполнение этой команды и предоставление моей желаемой группы VPN после запроса приводит к следующему HTTP-чату (я включил только, казалось бы, соответствующие части документов XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Обратите внимание на группы group-selectи все запросы POST / HTTP/1.1. Тот же результат достигается путем предоставления --authgroup AnyConnect-MyGroupбазового вызова openconnect.

При использовании -g AnyConnect-MyGroupвместо этого --authgroup AnyConnect-MyGroupпроисходит следующее:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Обратите внимание, что на этот раз мы не сообщаем серверу, group-selectа просто сжимаем имя нашей группы с помощью group-accessи HTTP-запрос. Тот же самый отрицательный результат вызывается при добавлении имени группы к адресу шлюза, то есть при использовании vpn.ssl.mydomain.tld/AnyConnect-MyGroupв качестве последней строки основного вызова openconnect.

— user1129682
источник