VPNへの接続にopenconnect
を使用しています。クライアントをSudo openconnect -v -u anaphory vpn-gw1.somewhere.net
として起動すると、グループとパスワードを入力した後に接続できます。
# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]
ただし、コマンドラインで同じグループ名を指定すると、「無効なホストエントリ」メッセージで接続が失敗します。
# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid Host entry. Please re-enter.
Failed to obtain WebVPN cookie
グループ名に魔法をかける必要がありますか、またはこれを機能させる方法を見つけるにはどうすればよいですか?
--authgroup
ではなく-g
をお試しください
openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
よろしく
実際のところ、user2000606によって与えられたnot answerが成功につながります。
ASAに送信されるHTTPメッセージは、グループの選択方法に応じて異なり、VPNゲートウェイはそのグループを選択することができます。
これはopenconnect
への私の基本的な呼び出しです
openconnect -v --printcookie --dump-http-traffic \
--passwd-on-stdin \
-u johnsmith \
vpn.ssl.mydomain.tld
このコマンドを発行し、プロンプトが表示された後に目的のVPNグループを提供すると、次のHTTPチャットが発生します(XMLドキュメントの見かけ上関連する部分のみを含めました)。
[Certificate error, I tell openconnect to continue]
Me >> ASA: POST / HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME: HTTP/1.1 200 OK
Me >> ASA: POST / HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME: HTTP/1.1 200 OK
Me >> ASA: POST / HTTP/1.1
[...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME: HTTP/1.1 200 OK
group-select
- groupsと、すべてのリクエストがPOST / HTTP/1.1
であることに注意してください。 openconnect
への基本的な呼び出しで--authgroup AnyConnect-MyGroup
を提供しても、同じ結果が得られます。
-g AnyConnect-MyGroup
の代わりに--authgroup AnyConnect-MyGroup
を使用すると、次のことが起こります。
Me >> ASA: POST /AnyConnect-MyGroup HTTP/1.1
[...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME: HTTP/1.1 200 OK
[...] <error id="91" param1="" param2="">Invalid Host entry. Please re-enter.</error>
今回はサーバーにgroup-select
ではなく、group-access
とHTTPリクエストを使用してグループ名を絞り込みます。ゲートウェイアドレスにグループ名を追加するとき、つまりopenconnect
への基本的な呼び出しの最後の行としてvpn.ssl.mydomain.tld/AnyConnect-MyGroup
を使用するとき、同じ否定的な結果が引き起こされます。