Я использую openconnect для подключения к VPN. При запуске клиента как sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, Я могу подключиться после ввода ГРУППЫ и пароля.
# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]
Однако, когда я указываю то же имя группы в командной строке, соединение прерывается с сообщением «Недопустимая запись хоста».
# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie
Нужно ли мне что-то делать с названием группы, или как мне узнать, как заставить это работать?
Пытаться --authgroup вместо того -g
openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
С уважением
Фактически, ответ user2000606 not приводит к успеху.
Сообщения HTTP, отправляемые на ASA, различаются в зависимости от того, как вы выбираете группу, и шлюзы VPN могут быть придирчивыми к этому.
Это мой основной призыв к openconnect
openconnect -v --printcookie --dump-http-traffic \
--passwd-on-stdin \
-u johnsmith \
vpn.ssl.mydomain.tld
Выполнение этой команды и предоставление моей желаемой группы VPN после запроса приводит к следующему HTTP-чату (я включил только, казалось бы, соответствующие части документов XML):
[Certificate error, I tell openconnect to continue]
Me >> ASA: POST / HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME: HTTP/1.1 200 OK
Me >> ASA: POST / HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME: HTTP/1.1 200 OK
Me >> ASA: POST / HTTP/1.1
[...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME: HTTP/1.1 200 OK
Обратите внимание на group-select-groups и что все запросы POST / HTTP/1.1. Тот же результат достигается за счет предоставления --authgroup AnyConnect-MyGroup с основным призывом к openconnect.
Когда используешь -g AnyConnect-MyGroup вместо того --authgroup AnyConnect-MyGroup происходит следующее:
Me >> ASA: POST /AnyConnect-MyGroup HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME: HTTP/1.1 200 OK
[...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>
Обратите внимание, что на этот раз мы не сообщаем серверу group-select но просто введите название нашей группы с помощью group-access и HTTP-запрос. Такой же отрицательный результат возникает при добавлении имени группы к адресу шлюза, т.е. vpn.ssl.mydomain.tld/AnyConnect-MyGroup как последняя строка основного вызова openconnect.