openconnect ไม่สามารถเชื่อมต่อกับกลุ่ม Anyconnect VPN โดยใช้ -g

16

ฉันใช้openconnectเพื่อเชื่อมต่อกับ VPN เมื่อเริ่มต้นไคลเอนต์เป็นsudo openconnect -v -u anaphory vpn-gw1.somewhere.netฉันสามารถเชื่อมต่อหลังจากป้อนกลุ่มและรหัสผ่าน

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

อย่างไรก็ตามเมื่อฉันระบุชื่อกลุ่มเดียวกันบนบรรทัดคำสั่งการเชื่อมต่อล้มเหลวด้วยข้อความ“ รายการโฮสต์ไม่ถูกต้อง”

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

ฉันต้องใช้เวทย์มนตร์ใด ๆ กับชื่อกลุ่มหรือฉันจะหาวิธีทำให้งานนี้ได้อย่างไร?

vpn openconnect

— Anaphory
แหล่งที่มา

ในขณะเดียวกันคุณหาทางออกหรือไม่?

— Henrik

คำถามที่เกี่ยวข้องopenconnect VPN ทำงานได้ในวิดเจ็ต KDE NetworkManager แต่ไม่ได้อยู่ในบรรทัดคำสั่ง

— user1129682

15

ลอง--authgroupแทน-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

ความนับถือ

— แอนดี้เอส
แหล่งที่มา

สิ่งนี้ใช้ได้กับฉัน

— Nikolay Dimitrov

@AndyS และ @stambata: ขอบคุณสำหรับความช่วยเหลือของคุณ! ฉันจะใช้คำสั่งนี้ได้อย่างไรถ้าชื่อกลุ่มมีช่องว่างระหว่างคำเช่นชื่อกลุ่มเช่น: "tunnel Company XYZ" ฉันไม่สามารถเขียนauthgroup=tunnel Company XYZหรือ `authgroup =" tunnel Company XYZ "ได้ คุณรู้วิธีแก้ปัญหานี้หรือไม่?

— เดฟ

@AndyS และ @stambata: สำหรับข้อมูลเพิ่มเติมชื่อกลุ่มจะถูกระบุในพรอมต์ผู้ใช้ด้วยวิธีดังกล่าว: GROUP: [tunnel Company XYZ|tunnel all]:- ฉันจะพิมพ์สิ่งนี้ลงในopenconnectคำสั่งได้อย่างไร?

— เดฟ

1

ตามความเป็นจริงแล้วคำตอบที่ไม่ได้รับจากผู้ใช้ 2000606 นำไปสู่ความสำเร็จ

ข้อความ HTTP ที่ส่งไปยัง ASA นั้นแตกต่างกันไปขึ้นอยู่กับวิธีที่คุณเลือกกลุ่มและ VPN เกตเวย์สามารถเลือกได้

นี่คือการเรียกพื้นฐานของฉันไป openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

การออกคำสั่งนี้และให้กลุ่ม VPN ที่ฉันต้องการหลังจากได้รับแจ้งผลในการแชท HTTP ต่อไปนี้ (ฉันรวมเฉพาะส่วนที่เกี่ยวข้องที่ดูเหมือนของเอกสาร XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

สังเกตgroup-select-groups POST / HTTP/1.1และว่าคำขอทั้งหมดที่มี ผลเดียวกันจะทำได้โดยการให้บริการที่มีพื้นฐานในการโทร--authgroup AnyConnect-MyGroupopenconnect

เมื่อใช้-g AnyConnect-MyGroupแทน --authgroup AnyConnect-MyGroupสิ่งต่อไปนี้เกิดขึ้น:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

โปรดสังเกตว่าเวลานี้เราไม่ได้บอกเซิร์ฟเวอร์group-selectแต่เพียงบีบชื่อกลุ่มของเราด้วยgroup-accessและขอ HTTP ผลทางลบเดียวกันเจ็บใจเมื่อมีการเพิ่มชื่อกลุ่มที่จะอยู่เกตเวย์คือใช้เป็นบรรทัดสุดท้ายของการโทรพื้นฐานในการvpn.ssl.mydomain.tld/AnyConnect-MyGroupopenconnect

— user1129682
แหล่งที่มา