Connessione a Cisco AnyConnect VPN senza certificato memorizzato o segreto condiviso

16

Molte persone hanno discusso la configurazione del client VPN integrato OS X per connettersi alle VPN Cisco al posto del client AnyConnect. Tuttavia, tutte le discussioni si concentrano sulla copia delle informazioni di configurazione critiche (segreto condiviso o certificato, in particolare) da un file PCF o Profile.xml incluso in un programma di installazione AnyConnect specifico del sito.

Il programma di installazione AnyConnect in cui mi trovo ora (versione 4.2.01035) sembra non distribuire alcuna informazione sul profilo. /opt/cisco/anyconnect/profile contiene solo AnyConnectProfile.xsd (una definizione di schema standard, non qualcosa di specifico per questa configurazione). Non ci sono segni di file XML o PCF di profilo che trovo in /opt/cisco , /Library o $HOME/Library .

Ciò corrisponde all'esperienza dell'interfaccia utente: non sembrano esserci profili preconfigurati. Invece, al primo avvio ottengo solo un campo VPN vuoto in cui inserisco semplicemente un nome host a mano (in questo caso, ucbvpn.berkeley.edu ) e premi connect. Questo fornisce una richiesta di accesso che include un elenco a discesa per la selezione di gruppo e campi per nome utente e password. Basta inserire un nome utente e una password per avviare la connessione nella modalità specificata dal "gruppo", e tutto funziona correttamente.

Tuttavia, non riesco a capire come questa configurazione possa essere completamente trasferita al client VPN nativo di OS X. Trasferimento del nome di un gruppo scelto dall'elenco apparentemente rilevato automaticamente dal client AnyConnect, ma la configurazione di OS X VPN sembra richiedere anche l'inserimento esplicito di un segreto condiviso o di un certificato.

La mia ipotesi migliore è che il client Cisco stia operando in una modalità forse nuova in cui è possibile negoziare direttamente con il server per rilevare automaticamente tutte le informazioni di configurazione necessarie e che non è memorizzato su disco in nessun punto. Qualcuno ha qualche esperienza con un setup come questo, o ha qualche suggerimento su che altro provare?

    
posta jrk 27.09.2016 - 23:36
fonte

1 risposta

4

Credo che il client AnyConnect possa essere utilizzato per connettersi a una serie di diversi tipi di VPN offerti da Cisco. Il processo che descrivi sopra mi porta a credere che ti stai connettendo a una VPN SSL. SSL-VPN non richiede l'uso di un segreto condiviso per il primo livello di crittografia. Invece, il client e il server negoziano automaticamente la crittografia di primo livello utilizzando SSL. Ti verranno quindi richieste le credenziali e l'appartenenza al gruppo. Il resto della tua sessione VPN è crittografato in modo univoco dopo l'autenticazione.

Potresti eseguire lo script della connessione in modo che, invece di dover inserire le tue credenziali ogni volta, puoi memorizzarle nel tuo portachiavi e iniziare semplicemente la connessione dalla shell o da altro script. L'ho fatto alcuni anni fa qui: link

Ho notato che con ogni aggiornamento di AnyConnect, ho dovuto modificare questo script, quindi usarlo come esempio e andare da lì. È passato circa un anno dall'ultima volta che avevo bisogno di connettermi tramite AnyConnect.

    
risposta data 03.05.2017 - 17:41
fonte

Leggi altre domande sui tag