openconnect không thể kết nối với nhóm Anyconnect VPN bằng cách sử dụng -g

16

Tôi đang sử dụng openconnectđể kết nối với VPN. Khi bắt đầu ứng dụng khách sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, tôi có thể kết nối sau khi vào NHÓM và Mật khẩu.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Tuy nhiên, khi tôi chỉ định cùng tên nhóm đó trên dòng lệnh, kết nối không thành công với một thông báo Mục nhập máy chủ không hợp lệ.

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Tôi có cần phải làm bất kỳ phép thuật nào cho tên nhóm không, hoặc làm cách nào để tìm ra cách làm cho nó hoạt động?

vpn openconnect

— Phản vệ
nguồn

Bạn đã tìm thấy một giải pháp?

— Henrik

câu hỏi liên quan openconnect VPN hoạt động trong tiện ích KDE NetworkManager nhưng không phải trên dòng lệnh

— user1129682

15

Hãy thử --authgroupthay vì-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Trân trọng

— Andy S
nguồn

điều này làm việc cho tôi

— Nikolay Dimitrov

@AndyS và @stambata: Cảm ơn sự giúp đỡ của bạn! Làm cách nào tôi có thể sử dụng lệnh này nếu tên nhóm chứa khoảng trắng giữa các từ, ví dụ tên nhóm như: "đường hầm Công ty XYZ"? Tôi không thể viết hoặc authgroup=tunnel Company XYZ`authgroup =" đường hầm công ty XYZ ". Bạn có biết làm thế nào để giải quyết điều này?

— Dave

@AndyS và @stambata: Chỉ để biết thêm thông tin, tên nhóm được cung cấp trong lời nhắc của người dùng theo cách đó: GROUP: [tunnel Company XYZ|tunnel all]:- Làm cách nào tôi có thể nhập tên này vào openconnect-command?

— Dave

1

Như một vấn đề thực tế, câu trả lời không được đưa ra bởi user2000606 dẫn đến thành công.

Các thông điệp HTTP được gửi đến ASA khác nhau, tùy thuộc vào cách bạn chọn một nhóm và các cổng VPN có thể được chọn lọc về nó.

Đây là cuộc gọi cơ bản của tôi để openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

Phát hành lệnh này và cung cấp nhóm VPN mong muốn của tôi sau khi được nhắc kết quả trong trò chuyện HTTP theo dõi (Tôi chỉ bao gồm các phần dường như có liên quan của các tài liệu XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Lưu ý các group-selectnhóm và tất cả các yêu cầu là POST / HTTP/1.1. Kết quả tương tự đạt được bằng cách cung cấp --authgroup AnyConnect-MyGroupvới các cuộc gọi cơ bản đến openconnect.

Khi sử dụng -g AnyConnect-MyGroupthay vì --authgroup AnyConnect-MyGroupnhững điều sau đây xảy ra:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Lưu ý rằng lần này chúng tôi không nói với máy chủ group-selectmà chỉ cần chèn tên nhóm của chúng tôi group-accessvà yêu cầu HTTP. Kết quả tiêu cực tương tự được kích thích khi thêm tên nhóm vào địa chỉ cổng, tức là sử dụng vpn.ssl.mydomain.tld/AnyConnect-MyGrouplàm dòng cuối cùng của cuộc gọi cơ bản đến openconnect.

— người dùng1129682
nguồn