主页 / unix / 问题 / 449174
Accepted
Dave
Asked: 2018-06-12 10:07:39 +0800 CST

ConnMan:如何使用 CSD-Wrapper 正确设置 OpenConnect VPN?

  • 772

我想在家中通过 VPN 访问我在大学的个人网络驱动器。在过去,我一直在使用NetworkManager这个完全正常的方法。但是,最近我搬到了那里ConnMan,我不太清楚如何在那里设置它。

感谢GAD3RConnMan ,我发现有一个图形输入掩码可用于在的界面中设置 VPN 连接CMST

之前的(成功运行的)VPN 配置NetworkManager如下所示:

[openconnect]
Description=My Company
Host=vpngw2-out.net.provider.com
CACert=(null)
Protocol=anyconnect
Proxy=
CSDEnable=1
CSDWrapper=/home/user/.cisco/csd-wrapper.sh
UserCertificate=(null)
PrivateKey=(null)
FSID=0
StokenSource=disabled
StokenString=

但是,这个成功运行的 VPN 配置是使用CiscoNetworkManager的所谓的。CSD-wrapper

现在的挑战ConnMan是:在创建必要的 VPN 配置文件时,我必须选择哪个 OpenConnect 变体来匹配上层规范?通过ConnMan-创建新的配置文件时,CMST有几个-OpenConnect选项可用:

  • Provider OpenConnect
  • OpenConnect.ServerCert
  • OpenConnect.CACert
  • OpenConnect.ClientCert
  • OpenConnect.MTU
  • OpenConnect.Cookie
  • OpenConnect.VPNHost

我必须选择哪一个来匹配之前的配置NetworkManager配置?我是否必须提及一些特别的东西才能将CSD-Wrapper文件包含在其中ConnMan

networking debian

1 个回答

  1. Best Answer

    感谢GAD3RConnman 开发者邮件列表的评论,一位朋友想出了如何设置 VPN 连接。尽管仍然存在一个小错误,但我们大部分时间都可以正常工作。

    一、初始情况

    以下软件包必须安装在您要访问主机服务器的客户端计算机上:

    • connman
    • connman-vpn
    • cmst
    • openconnect

    此外,该脚本csd-wrapper.sh在您的客户端目录中运行,/home并创建了/home/.cisco包含您机器的多个身份验证文件的目录。

    2. 通过参与生成必要的 VPN 身份验证信息OpenConnect

    在第二步中,您必须执行OpenConnect身份验证请求以获取服务器证书 ( FINGERPRINT) 和COOKIE用于Connman连接到 VPN 的证书。此信息将通过使用OpenConnect包创建,该包稍后会在终端中显示服务器证书和 cookie。我们通过运行在终端中生成此信息

    $ sudo openconnect --csd-wrapper=/home/user/.cisco/csd-wrapper.sh --authenticate --user <username> <hostname>

    之后此命令将显示四个变量:POSTCOOKIE和。因此,指纹(以 开头)充当服务器证书,而这听起来像。HOSTFINGERPRINTsha256:...COOKIE

    3. 创建 VPN 配置文件Connman

    与之相反NetworkManagerConnman是,它为每个 VPN 连接使用所谓的 VPN 配置文件,从那里获取有关如何连接到 VPN 主机的信息。因此,在第三步中,必须将先前生成的身份验证数据粘贴到此 VPN 配置文件中,该文件Connman将用于连接到服务器。为此,我们/var/lib/connman-vpn/<connection-name>.config基于以下结构创建文件:

    [global]
Name = VPN name, for example "My Company VPN" (without quotes)

[provider_openconnect]
Type = OpenConnect
Name = VPN Provider name, for example "My Company Cisco VPN" (without quotes)
Host = <VPN host IP address>
Domain = <VPN host domain>
OpenConnect.ServerCert = <paste the output of FINGERPRINT from the previous openconnect command>
OpenConnect.Cookie = <paste the output of COOKIE from the previous openconnect command>

    然后保存并关闭文件。

    4.重启你的机器并检查VPN连接

    重新启动您的系统,您将在VPNConnman System Tray ( CMST) GUI 的附加程序中找到您现在创建的 VPN 连接。标记它,单击“连接”,几秒钟后将建立与您的 VPN 主机的 VPN 连接。现在您可以在您选择的文件管理器中轻松访问 VPN 主机。

    5. Eyesore:生成的 cookie 仅在几个小时内有效

    几个小时后,您之前成功运行的 VPN 连接将不再有效。检查/var/log/syslog连接方式时会报错服务器证书验证失败:

    Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 2 ipconfig method 1
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {create} index 23 type 65534 <NONE>
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {update} flags 4240 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {newlink} index 23 address 00:00:00:00:00:00 mtu 1500
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {newlink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {create} index 23 type 65534 <NONE>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {update} flags 4240 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {newlink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 2 ipconfig method 1
Aug 24 00:14:51 <hostname> openconnect[4476]: Connected to <VPN server IP>:443
Aug 24 00:14:51 <hostname> openconnect[4476]: SSL negotiation with <VPN server IP>
Aug 24 00:14:51 <hostname> openconnect[4476]: Server certificate verify failed: signer not found
Aug 24 00:14:51 <hostname> openconnect[4476]: Connected to HTTPS on <VPN server IP>
Aug 24 00:14:51 <hostname> openconnect[4476]: Got inappropriate HTTP CONNECT response: HTTP/1.1 401 Unauthorized
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {dellink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: (null) {remove} index 23
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {dellink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {remove} index 23
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 7 ipconfig method 1
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 6 ipconfig method 1

    因此,初始身份验证COOKIE已更改,因此先前生成的 cookie 不再有效。因此,您必须在几个小时内重复上面的过程来创建一个新的COOKIE并将这个新的粘贴到您的 VPN 配置文件 ( /var/lib/connman-vpn/<yourvpnname>.config) 中,同时覆盖旧的 cookie。之后重新启动Connman,您的 VPN 将在接下来的几个小时内再次正常工作。

    重要的:

    似乎NetworkManager可以自己推动新的重建COOKIE,同时Connman需要将新的cookie输入到其 VPN 配置文件中。可能Connman缺少某种界面来自行启动OpenConnect-command。

    6. 使新 cookie 的重新创建更舒适的解决方法

    您可以使用 bash 脚本生成新的 cookie 并覆盖旧的。只需将以下文本复制到*.sh-file 中,使其可执行并运行它。新的 cookie 将自动放置/var/lib/connman-vpn/vpnname.config在正确的位置。之后重新启动Connman,VPN 将再次正常工作。

    #!/bin/bash

sed -i "s/^OpenConnect.Cookie =.*$/$( echo '<YOUR-VPN-PASSWORD>' | openconnect --csd-wrapper=/home/user/.cisco/csd-wrapper.sh --authenticate --user=<USERNAME> --authgroup="<YOURGROUP>" --passwd-on-stdin <VPN-HOST-DOMAIN> | grep 'COOKIE=' | sed "s/COOKIE='//; s/'//g; s/^/OpenConnect.Cookie = /")/" <EXTERNAL-FILENAME>

    该脚本将:

    1. 启动 OpenConnect 并执行OpenConnect身份验证请求以获取服务器证书 ( FINGERPRINT) 和COOKIE
    2. 将您的插入username到用户提示中
    3. 将您的插入password到用户提示中
    4. 将您想要group的插入用户提示中
    5. 生成一个新的cookie
    6. 用新的覆盖旧cookie/var/lib/connman-vpn/vpnname.configcookie

    之后,您可以毫无问题地重新连接到您的 VPN 主机。多亏了这个脚本,cookies在必要时重新创建新脚本更加舒适和快捷。

    • 3

相关问题