Herstellen einer Verbindung mit Cisco AnyConnect VPN ohne gespeichertes Zertifikat oder gemeinsames Geheimnis

19

Viele Leute haben die Konfiguration des in OS X integrierten VPN-Clients für die Verbindung mit Cisco-VPNs anstelle des AnyConnect-Clients erörtert. Im Mittelpunkt aller Diskussionen steht jedoch das Kopieren kritischer Konfigurationsinformationen (insbesondere gemeinsamer Geheimnisse oder Zertifikate) aus einer PCF- oder Profile.xml-Datei, die in einem standortspezifischen AnyConnect-Installationsprogramm enthalten ist.

Das AnyConnect-Installationsprogramm (Version 4.2.01035) scheint keine Profilinformationen bereitzustellen. /opt/cisco/anyconnect/profileenthält nur AnyConnectProfile.xsd(eine Standard - Schema - Definition, nichts spezifisch für diese Konfiguration). Es gibt keine Anzeichen für jedes Profil XML oder PCF - Dateien , die wir finden in können /opt/cisco, /Libraryoder $HOME/Library.

Dies entspricht der Benutzeroberfläche: Es scheinen keine vorkonfigurierten Profile zu existieren. Stattdessen erhalte ich beim ersten Start nur ein leeres VPN-Feld, in das ich einfach von Hand einen Hostnamen eingebe (in diesem Fall ucbvpn.berkeley.edu) und drücke auf Verbinden. Daraufhin wird eine Anmeldeaufforderung angezeigt, die ein Dropdown-Menü für die Gruppenauswahl sowie Felder für Benutzername und Kennwort enthält. Durch die einfache Eingabe eines Benutzernamens und eines Kennworts wird die Verbindung in dem von der angegebenen "Gruppe" angegebenen Modus hergestellt, und alles funktioniert einwandfrei.

Ich kann jedoch nicht herausfinden, wie diese Konfiguration vollständig auf den nativen VPN-Client von OS X übertragen werden kann. Das Übertragen eines ausgewählten Gruppennamens aus der Liste, der vom AnyConnect-Client anscheinend automatisch erkannt wurde, erfordert jedoch anscheinend auch die explizite Eingabe eines gemeinsamen Geheimnisses oder eines Zertifikats.

Ich gehe davon aus, dass der Cisco-Client in einem möglicherweise neuen Modus ausgeführt wird, in dem er direkt mit dem Server verhandeln kann, um alle erforderlichen Konfigurationsinformationen automatisch zu ermitteln, und dass er nirgendwo auf der Festplatte gespeichert ist. Hat jemand Erfahrung mit einem solchen Setup oder Vorschläge, was Sie sonst noch ausprobieren sollten?

jrk
quelle
Leider kann ich auch keine Konfigurationsdatei finden. Es scheint wirklich so, als ob der Client nur die Informationen vom Server abruft. Vielleicht ist es irgendwie möglich, den Verkehr zu riechen? Haben Sie Neuigkeiten dazu?
Benjamin Herzog
Es gibt zwei POST-Anforderungen, wenn eine Verbindung zum VPN-Server hergestellt wird. Die erste enthält die Informationen für das angezeigte Formular, die zweite nach dem Absenden dieses Formulars. Es wird ein Session- [ID | Token] erstellt, aber ich sehe dort keine VPN-Konfigurationsdateien / Informationen: /
Benjamin Herzog
3
Irgendwelche interessanten Updates?
Flindeberg
In meinem Fall habe ich ein Verzeichnis voller Profil- und anderer XML-Dateien, und ich weiß einfach nicht, was ich auswählen soll - mein Ziel ist dasselbe -, um den Cisco Anyconnect-Client loszuwerden. Es ist schrecklich und nervig, und seine Integration in das Betriebssystem ist wirklich schlecht. Ich würde wirklich gerne den nativen Client des Betriebssystems verwenden, wenn dies möglich ist. Haben Sie eine Idee, wonach Sie suchen sollen? Ich kenne die "Benutzergruppe", aber ich kenne auch nicht das "gemeinsame Geheimnis" oder "Zertifikat" und wie man sie bekommt
Motti Shneor

Antworten:

3

Ich glaube, dass der AnyConnect-Client verwendet werden kann, um eine Verbindung zu einer Reihe verschiedener VPN-Typen herzustellen, die von Cisco angeboten werden. Der oben beschriebene Prozess lässt mich glauben, dass Sie eine Verbindung zu einem SSL-VPN herstellen. SSL-VPN erfordert nicht die Verwendung eines gemeinsamen Geheimnisses für die erste Verschlüsselungsebene. Stattdessen handeln der Client und der Server die Verschlüsselung der ersten Ebene automatisch mit SSL aus. Sie werden dann nach Anmeldeinformationen und einer Gruppenmitgliedschaft gefragt. Der Rest Ihrer VPN-Sitzung wird nach der Authentifizierung eindeutig verschlüsselt.

Sie können die Verbindung skripten, sodass Sie Ihre Anmeldeinformationen nicht jedes Mal eingeben müssen, sondern in Ihrem Schlüsselbund speichern und die Verbindung einfach über die Shell oder ein anderes Skript initiieren können. Das habe ich vor ein paar Jahren hier gemacht: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Ich habe festgestellt, dass ich bei jedem Update von AnyConnect dieses Skript optimieren musste. Verwenden Sie es also als Beispiel und gehen Sie von dort aus. Es ist ungefähr ein Jahr her, seit ich das letzte Mal eine Verbindung über AnyConnect herstellen musste.

TheWellington
quelle
3
Eigentlich war ich am meisten interessiert, weil ich gehofft hatte, eine Verbindung nur mit der nativen VPN-Implementierung von macOS zu konfigurieren und AnyConnect überhaupt nicht installieren oder ausführen zu müssen. Aber danke für den Input.
jrk
@jrk gleiche, und auch TheWellington wie Sie ist tot
Max Coplan