openconnect ne peut pas se connecter au groupe VPN Anyconnect à l'aide de -g

J'utilise pour me openconnectconnecter à un VPN. Lors du démarrage du client en tant que sudo openconnect -v -u anaphory vpn-gw1.somewhere.net, je peux me connecter après avoir entré le GROUPE et le mot de passe.

# openconnect -v -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE
POST https://vpn-gw1.somewhere.net
Got HTTP response: HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
[…]

Cependant, lorsque je spécifie ce même nom de groupe sur la ligne de commande, la connexion échoue avec un message «Entrée d'hôte non valide».

# openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net
[…]
XML POST enabled
Please enter your username and password.
Password:XML POST enabled
Invalid host entry. Please re-enter.
Failed to obtain WebVPN cookie

Dois-je faire de la magie au nom du groupe, ou comment puis-je savoir comment faire fonctionner cela?

Essayez --authgroupau lieu de-g

openconnect -v --authgroup CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net

Cordialement

En fait, la non réponse donnée par user2000606 mène au succès.

Les messages HTTP envoyés à l'ASA diffèrent, selon la façon dont vous sélectionnez un groupe et les passerelles VPN peuvent être difficiles à ce sujet.

Ceci est mon appel de base à openconnect

openconnect -v --printcookie --dump-http-traffic \
 --passwd-on-stdin \
 -u johnsmith \
 vpn.ssl.mydomain.tld 

Émettre cette commande et fournir mon groupe VPN souhaité après avoir été invité entraîne le chat HTTP suivant (je n'ai inclus que les parties apparemment pertinentes des documents XML):

[Certificate error, I tell openconnect to continue]
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld</group-access>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/</group-access><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK
Me >> ASA:  POST / HTTP/1.1
            [...]<auth><username>johnsmith</username><password>secret</password></auth><group-select>AnyConnect-MyGroup</group-select>
ASA << ME:  HTTP/1.1 200 OK

Remarquez les group-selectgroupes et que toutes les demandes le sont POST / HTTP/1.1. Le même résultat est obtenu en fournissant --authgroup AnyConnect-MyGroupl'appel de base à openconnect.

Lors de l'utilisation -g AnyConnect-MyGroupau lieu de --authgroup AnyConnect-MyGroupce qui suit se produit:

Me >> ASA:  POST /AnyConnect-MyGroup HTTP/1.1
            [...]<group-access>https://vpn.ssl.mydomain.tld/AnyConnect-MyGroup</group-access>
ASA << ME:  HTTP/1.1 200 OK
            [...] <error id="91" param1="" param2="">Invalid host entry. Please re-enter.</error>

Notez que cette fois, nous ne le disons pas au serveur, group-selectmais simplement pressons le nom de notre groupe avec group-accesset la requête HTTP. Le même résultat négatif est provoqué lors de l'ajout du nom de groupe à l'adresse de la passerelle, c'est-à-dire en utilisantvpn.ssl.mydomain.tld/AnyConnect-MyGroup comme dernière ligne de l'appel de base vers openconnect.