Conectándose a Cisco AnyConnect VPN sin el certificado almacenado o el secreto compartido

Navega tus respuestas
16

Muchas personas han discutido la configuración del cliente VPN incorporado en OS X para conectarse a las VPN de Cisco en lugar del cliente AnyConnect. Sin embargo, toda la discusión se centra en copiar información de configuración crítica (secreto compartido o certificado, en particular) de un archivo PCF o Profile.xml incluido en un instalador de AnyConnect específico del sitio.

El instalador de AnyConnect donde estoy ahora (versión 4.2.01035) parece no implementar ninguna información de perfil. /opt/cisco/anyconnect/profile contiene solo AnyConnectProfile.xsd (una definición de esquema estándar, no algo específico de esta configuración). No hay signos de ningún archivo XML o PCF de perfil que pueda encontrar en /opt/cisco , /Library o $HOME/Library .

Esto coincide con la experiencia de la interfaz de usuario: no parece haber ningún perfil preconfigurado. En cambio, en el primer lanzamiento, solo obtengo un campo VPN en blanco en el que simplemente ingrese un nombre de host a mano (en este caso, ucbvpn.berkeley.edu ) y presiono conectar. Esto da un mensaje de inicio de sesión que incluye un menú desplegable de selección de grupo y campos de nombre de usuario y contraseña. Simplemente ingresando un nombre de usuario y contraseña inicia la conexión en el modo especificado por el "grupo" dado y todo funciona bien.

No puedo, sin embargo, descubrir cómo esta configuración se puede transferir completamente al cliente VPN nativo de OS X. Transfiriendo un nombre de grupo elegido de la lista aparentemente descubierto automáticamente por el cliente de AnyConnect, pero la configuración VPN de OS X también requiere que se ingrese explícitamente un secreto compartido o un certificado.

Mi mejor suposición es que el cliente de Cisco está operando en un modo quizás nuevo donde puede negociar directamente con el servidor para descubrir automáticamente la información de configuración necesaria, y que no está almacenado en el disco en ningún lugar. ¿Alguien tiene alguna experiencia con una configuración como esta, o tiene alguna sugerencia de qué más probar?

    
pregunta jrk 27.09.2016 - 23:36

1 respuesta

4

Creo que el cliente de AnyConnect puede usarse para conectarse a una serie de tipos diferentes de VPN ofrecidos por Cisco. El proceso que describió anteriormente me lleva a creer que se está conectando a una SSL-VPN. SSL-VPN no requiere el uso de un secreto compartido para la primera capa de cifrado. En su lugar, el cliente y el servidor negocian automáticamente el cifrado de la primera capa utilizando SSL. A continuación, se le solicitarán las credenciales y una membresía de grupo. El resto de su sesión de VPN se cifrará de forma exclusiva después de la autenticación.

Puede hacer un script de la conexión para que, en lugar de tener que ingresar sus credenciales cada vez, pueda almacenarlas en su llavero e simplemente iniciar la conexión desde el shell u otro script. Lo hice hace algunos años aquí: enlace

Me he dado cuenta de que con cada actualización de AnyConnect, he tenido que modificar este script, así que utilícelo como ejemplo y continúe desde allí. Ha pasado aproximadamente un año desde la última vez que necesité conectarme a través de AnyConnect.

    
respondido por el TheWellington 03.05.2017 - 17:41

Lea otras preguntas en las etiquetas

Recuperar partición eliminada ahora Espacio libre después de la eliminación de Yosemite vm_compressor_mode (vm.compressor_mode) valores para la memoria comprimida habilitada en OS X