Herstellen einer Verbindung mit Cisco AnyConnect VPN ohne gespeichertes Zertifikat oder gemeinsames Geheimnis

Viele Leute haben die Konfiguration des in OS X integrierten VPN-Clients für die Verbindung mit Cisco-VPNs anstelle des AnyConnect-Clients erörtert. Im Mittelpunkt aller Diskussionen steht jedoch das Kopieren kritischer Konfigurationsinformationen (insbesondere gemeinsamer Geheimnisse oder Zertifikate) aus einer PCF- oder Profile.xml-Datei, die in einem standortspezifischen AnyConnect-Installationsprogramm enthalten ist.

Das AnyConnect-Installationsprogramm (Version 4.2.01035) scheint keine Profilinformationen bereitzustellen. /opt/cisco/anyconnect/profileenthält nur AnyConnectProfile.xsd(eine Standard - Schema - Definition, nichts spezifisch für diese Konfiguration). Es gibt keine Anzeichen für jedes Profil XML oder PCF - Dateien , die wir finden in können /opt/cisco, /Libraryoder $HOME/Library.

Dies entspricht der Benutzeroberfläche: Es scheinen keine vorkonfigurierten Profile zu existieren. Stattdessen erhalte ich beim ersten Start nur ein leeres VPN-Feld, in das ich einfach von Hand einen Hostnamen eingebe (in diesem Fall ucbvpn.berkeley.edu) und drücke auf Verbinden. Daraufhin wird eine Anmeldeaufforderung angezeigt, die ein Dropdown-Menü für die Gruppenauswahl sowie Felder für Benutzername und Kennwort enthält. Durch die einfache Eingabe eines Benutzernamens und eines Kennworts wird die Verbindung in dem von der angegebenen "Gruppe" angegebenen Modus hergestellt, und alles funktioniert einwandfrei.

Ich kann jedoch nicht herausfinden, wie diese Konfiguration vollständig auf den nativen VPN-Client von OS X übertragen werden kann. Das Übertragen eines ausgewählten Gruppennamens aus der Liste, der vom AnyConnect-Client anscheinend automatisch erkannt wurde, erfordert jedoch anscheinend auch die explizite Eingabe eines gemeinsamen Geheimnisses oder eines Zertifikats.

Ich gehe davon aus, dass der Cisco-Client in einem möglicherweise neuen Modus ausgeführt wird, in dem er direkt mit dem Server verhandeln kann, um alle erforderlichen Konfigurationsinformationen automatisch zu ermitteln, und dass er nirgendwo auf der Festplatte gespeichert ist. Hat jemand Erfahrung mit einem solchen Setup oder Vorschläge, was Sie sonst noch ausprobieren sollten?

Ich glaube, dass der AnyConnect-Client verwendet werden kann, um eine Verbindung zu einer Reihe verschiedener VPN-Typen herzustellen, die von Cisco angeboten werden. Der oben beschriebene Prozess lässt mich glauben, dass Sie eine Verbindung zu einem SSL-VPN herstellen. SSL-VPN erfordert nicht die Verwendung eines gemeinsamen Geheimnisses für die erste Verschlüsselungsebene. Stattdessen handeln der Client und der Server die Verschlüsselung der ersten Ebene automatisch mit SSL aus. Sie werden dann nach Anmeldeinformationen und einer Gruppenmitgliedschaft gefragt. Der Rest Ihrer VPN-Sitzung wird nach der Authentifizierung eindeutig verschlüsselt.

Sie können die Verbindung skripten, sodass Sie Ihre Anmeldeinformationen nicht jedes Mal eingeben müssen, sondern in Ihrem Schlüsselbund speichern und die Verbindung einfach über die Shell oder ein anderes Skript initiieren können. Das habe ich vor ein paar Jahren hier gemacht: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Ich habe festgestellt, dass ich bei jedem Update von AnyConnect dieses Skript optimieren musste. Verwenden Sie es also als Beispiel und gehen Sie von dort aus. Es ist ungefähr ein Jahr her, seit ich das letzte Mal eine Verbindung über AnyConnect herstellen musste.