web-dev-qa-db-ja.com

openconnectが-gを使用してAnyconnect VPNグループに接続できない

VPNへの接続にopenconnectを使用しています。クライアントをSudo openconnect -v -u anaphory vpn-gw1.somewhere.netとして起動すると、グループとパスワードを入力した後に接続できます。

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

ただし、コマンドラインで同じグループ名を指定すると、「無効なホストエントリ」メッセージで接続が失敗します。

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid Host entry. Please re-enter.
Failed to obtain WebVPN cookie

グループ名に魔法をかける必要がありますか、またはこれを機能させる方法を見つけるにはどうすればよいですか?

18
Anaphory

--authgroupではなく-gをお試しください

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

よろしく

18
Andy S

実際のところ、user2000606によって与えられたnot answerが成功につながります。

ASAに送信されるHTTPメッセージは、グループの選択方法に応じて異なり、VPNゲートウェイはそのグループを選択することができます。

これはopenconnectへの私の基本的な呼び出しです

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld 

このコマンドを発行し、プロンプトが表示された後に目的のVPNグループを提供すると、次のHTTPチャットが発生します(XMLドキュメントの見かけ上関連する部分のみを含めました)。

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

group-select- groupsと、すべてのリクエストがPOST / HTTP/1.1であることに注意してください。 openconnectへの基本的な呼び出しで--authgroup AnyConnect-MyGroupを提供しても、同じ結果が得られます。

-g AnyConnect-MyGroupの代わりに--authgroup AnyConnect-MyGroupを使用すると、次のことが起こります。

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid Host entry. Please re-enter.</error>

今回はサーバーにgroup-selectではなく、group-accessとHTTPリクエストを使用してグループ名を絞り込みます。ゲートウェイアドレスにグループ名を追加するとき、つまりopenconnectへの基本的な呼び出しの最後の行としてvpn.ssl.mydomain.tld/AnyConnect-MyGroupを使用するとき、同じ否定的な結果が引き起こされます。

1
user1129682