Experimente --authgroup em vez de -g
openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
Atenciosamente
Estou usando openconnect para se conectar a uma VPN. Ao iniciar o cliente como sudo openconnect -v -u anaphory vpn-gw1.somewhere.net , posso conectar-me depois de inserir o GROUP e a Senha.
# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]
No entanto, quando eu especificar esse mesmo nome de grupo na linha de comando, a conexão falhará com uma mensagem de "Entrada de host inválida".
# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie
Preciso fazer alguma mágica no nome do grupo ou como descobrir como fazer isso funcionar?
Experimente --authgroup em vez de -g
openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
Atenciosamente
Na verdade, a não resposta dada pelo user2000606 leva ao sucesso.
As mensagens HTTP enviadas para o ASA diferem, dependendo de como você seleciona um grupo e os gateways VPN podem ser seletivos sobre isso.
Esta é minha chamada básica para openconnect
openconnect -v --printcookie --dump-http-traffic \
--passwd-on-stdin \
-u johnsmith \
vpn.ssl.mydomain.tld
Emitir este comando e fornecer o meu grupo de VPNs desejado depois de ser solicitado resulta no chat HTTP a seguir (eu incluí apenas as partes aparentemente relevantes dos documentos XML):
[Certificate error, I tell openconnect to continue]
Me >> ASA: POST / HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME: HTTP/1.1 200 OK
Me >> ASA: POST / HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME: HTTP/1.1 200 OK
Me >> ASA: POST / HTTP/1.1
[...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME: HTTP/1.1 200 OK
Observe que group-select -groups e todas as solicitações são POST / HTTP/1.1 . O mesmo resultado é obtido fornecendo --authgroup AnyConnect-MyGroup com a chamada básica para openconnect .
Ao usar -g AnyConnect-MyGroup em vez de --authgroup AnyConnect-MyGroup , o seguinte acontece:
Me >> ASA: POST /AnyConnect-MyGroup HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME: HTTP/1.1 200 OK
[...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>
Observe que desta vez não informamos ao servidor group-select , mas simplesmente pressionamos o nome do nosso grupo com group-access e a solicitação HTTP. O mesmo resultado negativo é provocado ao adicionar o nome do grupo ao endereço do gateway, ou seja, usando vpn.ssl.mydomain.tld/AnyConnect-MyGroup como a última linha da chamada básica para openconnect .
Tags vpn openconnect