Łączenie z Cisco AnyConnect VPN bez zapisanego certyfikatu lub wspólnego hasła

16

Wiele osób dyskutowało o skonfigurowaniu wbudowanego klienta VPN systemu OS X w celu połączenia z Cisco VPN w miejsce klienta AnyConnect. Jednak wszystkie dyskusje koncentrują się na kopiowaniu krytycznych informacji konfiguracyjnych (w szczególności wspólnego hasła lub certyfikatu) z pliku PCF lub Profile.xml dołączonego do instalatora AnyConnect specyficznego dla witryny.

Wydaje się, że instalator AnyConnect, w którym jestem teraz (wersja 4.2.01035), nie wdraża żadnych informacji o profilu. /opt/cisco/anyconnect/profile zawiera tylko AnyConnectProfile.xsd (standardowa definicja schematu, a nie coś specyficznego dla tej konfiguracji). Nie ma śladu żadnych plików XML ani plików PCF, które mogę znaleźć /opt/cisco, /Librarylub $HOME/Library.

Jest to zgodne z doświadczeniem interfejsu użytkownika: nie ma żadnych wstępnie skonfigurowanych profili. Zamiast tego po pierwszym uruchomieniu otrzymuję puste pole VPN, w którym po prostu ręcznie wprowadzam nazwę hosta (w tym przypadku, ucbvpn.berkeley.edu ) i naciśnij Połącz. Daje to monit logowania, w tym listę wyboru grupy oraz pola nazwy użytkownika i hasła. Po prostu wprowadzenie nazwy użytkownika i hasła inicjuje połączenie w trybie określonym przez daną „grupę” i wszystko działa prawidłowo.

Nie mogę jednak dowiedzieć się, w jaki sposób ta konfiguracja może zostać w pełni przeniesiona do rodzimego klienta VPN systemu OS X. Przesyłanie wybranej nazwy grupy z listy pozornie automatycznie wykrywanej przez klienta AnyConnect, ale konfiguracja VPN systemu OS X wydaje się również wymagać jawnego wpisania wspólnego hasła lub certyfikatu.

Domyślam się, że klient Cisco działa w nowym trybie, w którym może negocjować bezpośrednio z serwerem, aby automatycznie wykryć wszelkie niezbędne informacje o konfiguracji i nie jest przechowywany na dysku w żadnym miejscu. Czy ktoś ma jakieś doświadczenie w takiej konfiguracji lub ma jakieś sugestie, co jeszcze może spróbować?

macos vpn jrk
źródło
Niestety nie mogę również znaleźć pliku konfiguracyjnego. Wygląda na to, że klient po prostu pobiera informacje z serwera. Może to jakoś powąchać ruch? Czy masz jakieś wiadomości na ten temat?
Benjamin Herzog
Istnieją dwa żądania POST podczas łączenia się z serwerem VPN. Pierwszy zawiera informacje dla pokazanego formularza, drugi po przesłaniu tego formularza. Tworzy sesję [id | token], ale nie widzę tam żadnych plików konfiguracyjnych VPN / informacji: /
Benjamin Herzog
3
Jakieś interesujące aktualizacje?
flindeberg
W moim przypadku mam katalog pełen profilu i innych plików .xml, a ja po prostu nie wiem, co wybrać - mój cel jest taki sam - aby móc pozbyć się klienta Cisco Anyconnect. To straszne i dokuczliwe, a jego integracja z systemem operacyjnym jest naprawdę zła. Naprawdę chciałbym, jeśli to możliwe, korzystać z rodzimego klienta systemu operacyjnego. Czy masz pojęcie, czego szukać? Znam „grupę użytkowników”, ale znowu - nie znam „wspólnego hasła” ani „certyfikatu” i sposobu ich zdobycia
Motti Shneor

Odpowiedzi:

4

Wierzę, że klient AnyConnect może być używany do łączenia się z wieloma różnymi typami VPN oferowanymi przez Cisco. Proces opisany powyżej prowadzi mnie do przekonania, że ​​łączysz się z SSL-VPN. SSL-VPN nie wymaga użycia wspólnego hasła dla pierwszej warstwy szyfrowania. Zamiast tego klient i serwer automatycznie negocjują szyfrowanie pierwszej warstwy przy użyciu SSL. Następnie zostaniesz poproszony o podanie poświadczeń i członkostwa w grupie. Pozostała część sesji VPN jest unikalnie szyfrowana po uwierzytelnieniu.

Możesz skryptować połączenie, aby zamiast każdorazowo wprowadzać swoje poświadczenia, możesz je przechowywać w pęku kluczy i po prostu zainicjować połączenie z powłoki lub innego skryptu. Zrobiłem to kilka lat temu tutaj: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Zauważyłem, że przy każdej aktualizacji AnyConnect musiałem zmodyfikować ten skrypt, więc używaj go jako przykładu i stamtąd. Minęło około roku, odkąd ostatnio potrzebowałem połączyć się z AnyConnect.

TheWellington
źródło
2
Właściwie najbardziej mnie to interesowało, ponieważ miałem nadzieję skonfigurować połączenie tylko z natywną implementacją macOS VPN i nie musiałem wcale instalować ani uruchamiać AnyConnect. Ale dzięki za wkład.
jrk