Подключение к Cisco AnyConnect VPN без сохраненного сертификата или общего секрета

19

Многие люди обсуждали настройку встроенного VPN-клиента OS X для подключения к Cisco VPN вместо клиента AnyConnect. Однако все обсуждения сосредоточены на копировании критической информации о конфигурации (в частности, общего секрета или сертификата) из файла PCF или Profile.xml, включенного в установщик AnyConnect для конкретного сайта.

Установщик AnyConnect, где я сейчас нахожусь (версия 4.2.01035), похоже, не развертывает какую-либо информацию профиля. /opt/cisco/anyconnect/profileсодержит только AnyConnectProfile.xsd(стандартное определение схемы, а не что-то конкретное для этой конфигурации). Там нет никаких признаков каких - либо профиль XML или PCF файлов , которые я могу найти в /opt/cisco, /Libraryили $HOME/Library.

Это соответствует пользовательскому интерфейсу: кажется, нет предварительно настроенных профилей. Вместо этого, при первом запуске я просто получаю пустое поле VPN, в котором я просто ввожу имя хоста вручную (в данном случае ucbvpn.berkeley.edu) и нажимаю кнопку connect. Это дает приглашение для входа в систему, включая раскрывающийся список выбора группы, а также поля имени пользователя и пароля. Простой ввод имени пользователя и пароля инициирует соединение в режиме, указанном данной «группой», и все работает нормально.

Я не могу, однако, понять, как эта конфигурация может быть полностью передана в собственный клиент OS X VPN. Перенос имени выбранной группы из списка, по-видимому, автоматически обнаруживается клиентом AnyConnect, но конфигурация OS X VPN, по-видимому, также требует явного ввода либо общего секрета, либо сертификата.

Мое предположение заключается в том, что клиент Cisco работает, возможно, в новом режиме, в котором он может напрямую договариваться с сервером, чтобы автоматически обнаруживать любую необходимую информацию о конфигурации, и что он нигде не хранится на диске. У кого-нибудь есть опыт работы с подобными настройками, или есть какие-то предложения, что еще попробовать?

JRK
источник
К сожалению, я также не могу найти файл конфигурации. Похоже, что клиент просто получает информацию с сервера. Может быть, как-то можно понюхать трафик? У вас есть новости по этому поводу?
Бенджамин Херцог
При подключении к серверу vpn существует два запроса POST. Первый содержит информацию для показанной формы, второй после отправки этой формы. Он создает сеанс - [id | token], но я не вижу там никаких файлов / информации о конфигурации VPN: /
Бенджамин Херцог
3
Какие-нибудь интересные обновления?
Флиндеберг
В моем случае у меня есть каталог, полный профиля и других XML-файлов, и я просто не знаю, что выбрать - моя цель такая же - избавиться от клиента Cisco Anyconnect. Это ужасно и мучительно, а его интеграция с ОС действительно плохая. Я бы очень хотел использовать родной клиент ОС, если это возможно. Ты хоть представляешь, что искать? Я знаю «Группу пользователей», но опять же - я не знаю «общего секрета» или «Сертификата» и как их получить
Мотти Шнеор

Ответы:

3

Я считаю, что клиент AnyConnect можно использовать для подключения к ряду различных типов VPN, предлагаемых Cisco. Процесс, который вы описали выше, заставляет меня поверить, что вы подключаетесь к SSL-VPN. SSL-VPN не требует использования общего секрета для первого уровня шифрования. Вместо этого клиент и сервер автоматически согласовывают шифрование первого уровня с использованием SSL. Затем вас попросят ввести учетные данные и членство в группе. Остальная часть сеанса VPN уникально шифруется после аутентификации.

Вы можете создать сценарий подключения, чтобы вместо того, чтобы каждый раз вводить свои учетные данные, вы можете сохранять их в цепочке для ключей и просто инициировать подключение из оболочки или другого сценария. Я сделал это несколько лет назад здесь: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Я заметил, что с каждым обновлением AnyConnect мне приходилось настраивать этот скрипт, поэтому используйте его в качестве примера и переходите оттуда. Прошло около года с тех пор, как мне в последний раз нужно было подключаться через AnyConnect.

TheWellington
источник
3
На самом деле меня это больше всего заинтересовало, потому что я надеялся настроить соединение, используя только собственную реализацию MacOS VPN, и вообще не должен был устанавливать или запускать AnyConnect. Но спасибо за вклад.
17
@jrk же, а также TheWellington ваш любимый мертв
Макс