Início / unix / Perguntas / 449174
Accepted
Dave
Asked: 2018-06-12 10:07:39 +0800 CST

ConnMan: Como configurar o OpenConnect VPN com CSD-Wrapper corretamente?

  • 772

Quero acessar minha unidade de rede pessoal na minha universidade via VPN de casa. No passado, eu tenho usado NetworkManagerpara isso o que funcionou completamente bem. No entanto, recentemente me mudei para ConnMane não sei muito bem como configurá-lo lá.

Graças ao GAD3R eu descobri que existe uma máscara de entrada gráfica disponível para configurar uma conexão VPN na interface ConnMando .CMST

A configuração VPN anterior (funcionando com sucesso) NetworkManagerparecia assim:

[openconnect]
Description=My Company
Host=vpngw2-out.net.provider.com
CACert=(null)
Protocol=anyconnect
Proxy=
CSDEnable=1
CSDWrapper=/home/user/.cisco/csd-wrapper.sh
UserCertificate=(null)
PrivateKey=(null)
FSID=0
StokenSource=disabled
StokenString=

No entanto, esta configuração de VPN funcionando com sucesso NetworkManagerestava usando um chamado CSD-wrapperda Cisco.

O desafio ConnManagora é: Ao criar o arquivo de provisionamento VPN necessário, qual variante do OpenConnect devo selecionar para corresponder às especificações superiores? Ao criar o novo arquivo de provisionamento via ConnMan- CMSTexistem várias OpenConnect-opções disponíveis:

  • Provider OpenConnect
  • OpenConnect.ServerCert
  • OpenConnect.CACert
  • OpenConnect.ClientCert
  • OpenConnect.MTU
  • OpenConnect.Cookie
  • OpenConnect.VPNHost

Qual devo escolher para corresponder à configuração anterior da NetworkManagerconfiguração? Tenho que mencionar algo especial para incluir o CSD-Wrapperarquivo ConnMan?

networking debian

1 respostas

  1. Best Answer

    Graças a um comentário do GAD3R e da Connman lista de discussão do desenvolvedor , um amigo descobriu como configurar a conexão VPN. Embora ainda exista um pequeno erro, conseguimos funcionar principalmente.

    1. Situação inicial

    Os seguintes pacotes devem ser instalados em sua máquina cliente de onde você deseja acessar o servidor host:

    • connman
    • connman-vpn
    • cmst
    • openconnect

    Além disso, o script csd-wrapper.shfoi executado no /homediretório -clients e criou o diretório /home/.ciscocom vários arquivos de autenticação de sua máquina.

    2. Gerando as informações de autenticação VPN necessárias por meio do envolvimentoOpenConnect

    Em uma segunda etapa, você deve executar a OpenConnectsolicitação de autenticação para obter o certificado do servidor ( FINGERPRINT) e um COOKIEque Connmanusará para se conectar à VPN. Essas informações serão criadas utilizando o OpenConnectpacote que posteriormente exibirá um certificado de servidor e um cookie no terminal. Geramos essas informações no terminal executando

    $ sudo openconnect --csd-wrapper=/home/user/.cisco/csd-wrapper.sh --authenticate --user <username> <hostname>

    Depois, este comando exibirá quatro variáveis: POST, COOKIE, HOSTe FINGERPRINT. Assim, a impressão digital (começando com sha256:...) atua como um certificado de servidor enquanto o COOKIEé o que parece.

    3. Criando o arquivo de provisionamento VPN paraConnman

    Em contraste com NetworkManagero Connmanestá usando os chamados arquivos de provisionamento VPN para cada conexão VPN de onde obtém as informações sobre como se conectar ao host VPN. Portanto, em uma terceira etapa, os dados de autenticação gerados anteriormente devem ser colados nesse arquivo de provisionamento de VPN que Connmanserá utilizado para se conectar ao servidor. Para isso, criamos o arquivo /var/lib/connman-vpn/<connection-name>.configcom base na seguinte estrutura:

    [global]
Name = VPN name, for example "My Company VPN" (without quotes)

[provider_openconnect]
Type = OpenConnect
Name = VPN Provider name, for example "My Company Cisco VPN" (without quotes)
Host = <VPN host IP address>
Domain = <VPN host domain>
OpenConnect.ServerCert = <paste the output of FINGERPRINT from the previous openconnect command>
OpenConnect.Cookie = <paste the output of COOKIE from the previous openconnect command>

    Depois salve e feche o arquivo.

    4. Reinicie sua máquina e verifique a conexão VPN

    Reinicie seu sistema e você encontrará sua conexão VPN agora criada listada no piloto VPNda GUI Connman System Tray ( CMST). Marque-o, clique em "conectar" e após alguns segundos a conexão VPN ao seu host VPN será estabelecida. Agora você pode acessar facilmente o host da VPN no gerenciador de arquivos de sua escolha.

    5. Eyesore: O cookie gerado é válido apenas por algumas horas

    Depois de algumas horas, sua conexão VPN que funcionava com sucesso não funcionará mais. Ao verificar /var/log/sysloga abordagem de conexão irá reclamar sobre a falha na verificação do certificado do servidor:

    Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 2 ipconfig method 1
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {create} index 23 type 65534 <NONE>
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {update} flags 4240 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {newlink} index 23 address 00:00:00:00:00:00 mtu 1500
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {newlink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {create} index 23 type 65534 <NONE>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {update} flags 4240 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {newlink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 2 ipconfig method 1
Aug 24 00:14:51 <hostname> openconnect[4476]: Connected to <VPN server IP>:443
Aug 24 00:14:51 <hostname> openconnect[4476]: SSL negotiation with <VPN server IP>
Aug 24 00:14:51 <hostname> openconnect[4476]: Server certificate verify failed: signer not found
Aug 24 00:14:51 <hostname> openconnect[4476]: Connected to HTTPS on <VPN server IP>
Aug 24 00:14:51 <hostname> openconnect[4476]: Got inappropriate HTTP CONNECT response: HTTP/1.1 401 Unauthorized
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {dellink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: (null) {remove} index 23
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {dellink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {remove} index 23
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 7 ipconfig method 1
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 6 ipconfig method 1

    Com isso, a autenticação inicial COOKIEfoi alterada, portanto, o cookie gerado anteriormente não é mais válido. Portanto, você deve repetir o procedimento superior todas as poucas horas para criar um novo COOKIEe colar este novo em seu arquivo de provisionamento de VPN ( /var/lib/connman-vpn/<yourvpnname>.config) enquanto substitui o cookie antigo. Depois reinicie Connmane sua VPN funcionará muito bem novamente nas próximas horas.

    Importante:

    Parece que ele NetworkManagerpode estimular a recriação do novo COOKIEpor si mesmo, enquanto Connmanprecisa ser alimentado com o novo cookieem seu arquivo de provisionamento de VPN. Provavelmente Connmanestá faltando algum tipo de interface para iniciar o OpenConnect-comando sozinho.

    6. Solução alternativa para tornar a recriação do novo cookie um pouco mais confortável

    Você pode usar um script bash para gerar o novo cookie e substituir o antigo. Basta copiar o seguinte texto em um *.sharquivo -, torná-lo executável e executá-lo. O novo cookie será colocado na /var/lib/connman-vpn/vpnname.configposição correta automaticamente. Depois reinicie Connmane a VPN funcionará bem novamente.

    #!/bin/bash

sed -i "s/^OpenConnect.Cookie =.*$/$( echo '<YOUR-VPN-PASSWORD>' | openconnect --csd-wrapper=/home/user/.cisco/csd-wrapper.sh --authenticate --user=<USERNAME> --authgroup="<YOURGROUP>" --passwd-on-stdin <VPN-HOST-DOMAIN> | grep 'COOKIE=' | sed "s/COOKIE='//; s/'//g; s/^/OpenConnect.Cookie = /")/" <EXTERNAL-FILENAME>

    Este script irá:

    1. Inicie o OpenConnect e execute a OpenConnectsolicitação de autenticação para obter o certificado do servidor ( FINGERPRINT) e umCOOKIE
    2. Insira o seu usernameno prompt do usuário
    3. Insira o seu passwordno prompt do usuário
    4. Insira o seu desejado groupno prompt do usuário
    5. Gere um novocookie
    6. Substituir o antigo cookiepelo /var/lib/connman-vpn/vpnname.confignovocookie

    Depois, você pode se reconectar ao seu host VPN sem problemas. Graças a este script é mais confortável e muito mais rápido recriar novos cookiesquando necessário.

    • 3

relate perguntas