openconnectは-gを使用してAnyconnect VPNグループに接続できません

16

openconnectVPNへの接続に使用しています。としてクライアントを起動するsudo openconnect -v -u anaphory vpn-gw1.somewhere.netと、グループとパスワードを入力した後に接続できます。

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

ただし、コマンドラインで同じグループ名を指定すると、「Invalid host entry」メッセージが表示されて接続が失敗します。

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

グループ名に魔法をかける必要がありますか、またはこの作業を行う方法を見つけるにはどうすればよいですか?

vpn  openconnect 
照応
ソース
その間、解決策を見つけましたか?
ヘンリック
user1129682

回答:

15

--authgroup代わりに試してください-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

よろしく

アンディ・S
ソース
これは私のために働いた
ニコライディミトロフ
@AndySと@stambata:ご協力ありがとうございます!たとえば、「tunnel Company XYZ」などのグループ名のように、グループ名の単語間に空白が含まれている場合、このコマンドを使用するにはどうすればよいですか?authgroup=tunnel Company XYZまた、「authgroup = "tunnel Company XYZ"」も記述できません。これを解決する方法を知っていますか?
デイブ
@AndySおよび@stambata:追加情報のみを目的として、グループ名はユーザープロンプトでそのように提供されます。- GROUP: [tunnel Company XYZ|tunnel all]:これをopenconnect-command に入力するにはどうすればよいですか?
デイブ
1

実際のところ、user2000606によって与えられた答えではないことが成功につながります。

ASAに送信されるHTTPメッセージは、グループの選択方法に応じて異なり、VPNゲートウェイはそれについて気難しいかもしれません。

これは私の基本的な呼び出しです openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld

このコマンドを発行し、プロンプトが表示された後に目的のVPNグループを提供すると、フォローインHTTPチャットが行われます(XMLドキュメントの関連性のある部分のみを含めました)。

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

group-select-groupsに注意してくださいPOST / HTTP/1.1。すべてのリクエストは です。の--authgroup AnyConnect-MyGroup基本的な呼び出しを提供することにより、同じ結果が達成されopenconnectます。

次の-g AnyConnect-MyGroup代わりに使用すると --authgroup AnyConnect-MyGroup、次のことが起こります。

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

今回はサーバーに通知せずgroup-select、グループ名とgroup-accessHTTPリクエストを単純に絞り込みます。グループ名をゲートウェイアドレスに追加すると、つまり、へvpn.ssl.mydomain.tld/AnyConnect-MyGroupの基本的な呼び出しの最後の行として使用すると、同じ否定的な結果が引き起こされopenconnectます。

user1129682
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.