Menghubungkan ke Cisco AnyConnect VPN tanpa sertifikat tersimpan atau rahasia bersama

Banyak orang telah membahas mengkonfigurasi klien VPN bawaan OS X untuk tersambung ke Cisco VPN sebagai pengganti klien AnyConnect. Namun, semua diskusi berfokus pada penyalinan informasi konfigurasi kritis (rahasia bersama atau sertifikat, khususnya) dari file PCF atau Profile.xml yang disertakan dalam penginstal AnyConnect khusus situs.

Pemasang AnyConnect di mana saya sekarang (versi 4.2.01035) tampaknya tidak menyebarkan informasi profil apa pun. /opt/cisco/anyconnect/profilehanya berisi AnyConnectProfile.xsd(definisi skema standar, bukan sesuatu yang spesifik untuk konfigurasi ini). Tidak ada tanda-tanda profil XML atau PCF file yang saya dapat menemukan di /opt/cisco, /Library, atau $HOME/Library.

Ini sesuai dengan pengalaman UI: sepertinya tidak ada profil yang telah dikonfigurasikan sebelumnya. Sebaliknya, pada peluncuran pertama saya hanya mendapatkan bidang VPN kosong di mana saya cukup memasukkan nama host dengan tangan (dalam hal ini, ucbvpn.berkeley.edu) dan tekan connect. Ini memberikan prompt login termasuk dropdown pilihan grup, dan bidang nama pengguna dan kata sandi. Dengan memasukkan nama pengguna dan kata sandi, memulai koneksi dalam mode yang ditentukan oleh "grup" yang diberikan, dan semuanya berfungsi dengan baik.

Namun, saya tidak bisa mengetahui bagaimana konfigurasi ini dapat ditransfer sepenuhnya ke klien VPN asli OS X. Mentransfer nama grup yang dipilih dari daftar yang tampaknya ditemukan secara otomatis oleh klien AnyConnect, tetapi konfigurasi OS X VPN tampaknya juga mengharuskan secara eksplisit memasukkan rahasia bersama atau sertifikat.

Dugaan terbaik saya adalah bahwa klien Cisco beroperasi dalam mode yang mungkin baru di mana ia dapat bernegosiasi langsung dengan server untuk secara otomatis menemukan informasi konfigurasi yang diperlukan, dan bahwa itu tidak disimpan pada disk di mana pun. Adakah yang punya pengalaman dengan pengaturan seperti ini, atau punya saran tentang apa lagi yang harus dicoba?

Saya percaya bahwa klien AnyConnect dapat digunakan untuk terhubung ke sejumlah jenis VPN yang ditawarkan oleh Cisco. Proses yang Anda jelaskan di atas membuat saya percaya bahwa Anda terhubung ke SSL-VPN. SSL-VPN tidak memerlukan penggunaan rahasia bersama untuk enkripsi lapis pertama. Sebagai gantinya, klien dan server melakukan negosiasi otomatis enkripsi lapisan pertama menggunakan SSL. Anda kemudian diminta kredensial dan keanggotaan grup. Sisa sesi VPN Anda dienkripsi secara unik setelah Otentikasi.

Anda dapat membuat skrip koneksi sehingga alih-alih harus memasukkan kredensial Anda setiap kali, Anda dapat menyimpannya di gantungan kunci, dan cukup memulai koneksi dari shell, atau skrip lainnya. Saya melakukannya beberapa tahun yang lalu di sini: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Saya perhatikan bahwa dengan setiap pembaruan AnyConnect, saya harus mengubah skrip ini, jadi gunakan sebagai contoh dan mulai dari sana. Sudah sekitar satu tahun sejak saya terakhir kali perlu terhubung melalui AnyConnect.