我想从家里通过 VPN 访问我大学的个人网络驱动器。过去我一直用NetworkManager这个效果很好。然而,最近我搬到了那里ConnMan,我不太知道如何在那里设置。
谢谢GAD3RConnMan我发现有一个图形输入掩码可用于在的界面中设置 VPN 连接CMST。
之前的(成功运行的)VPN 配置NetworkManager如下所示:
[openconnect]
Description=My Company
Host=vpngw2-out.net.provider.com
CACert=(null)
Protocol=anyconnect
Proxy=
CSDEnable=1
CSDWrapper=/home/user/.cisco/csd-wrapper.sh
UserCertificate=(null)
PrivateKey=(null)
FSID=0
StokenSource=disabled
StokenString=
然而,这个成功运行的 VPN 配置NetworkManager使用的是来自 Cisco 的所谓的VPN 配置CSD-wrapper。
现在的挑战ConnMan是:在创建必要的 VPN 配置文件时,我必须选择 OpenConnect 的哪种变体来匹配较高的规格?通过ConnMan-创建新的配置文件时,CMST有几个OpenConnect可用的 - 选项:
Provider OpenConnectOpenConnect.ServerCertOpenConnect.CACertOpenConnect.ClientCertOpenConnect.MTUOpenConnect.CookieOpenConnect.VPNHost
我必须选择哪一个来匹配之前的配置配置NetworkManager?我是否需要提及一些特殊的内容才能将CSD-Wrapper文件包含在其中ConnMan?
答案1
感谢一个来自 GAD3R 的评论和Connman 开发者邮件列表,一位朋友弄清楚了如何设置 VPN 连接。尽管仍然存在一个小错误,但我们基本上可以正常工作了。
1. 初始情况
必须在要访问主机服务器的客户端计算机上安装以下软件包:
connmanconnman-vpncmstopenconnect
此外,该脚本csd-wrapper.sh在您的客户端目录中运行,并使用您计算机的多个身份验证文件/home创建了该目录。/home/.cisco
2. 通过参与生成必要的 VPN 身份验证信息OpenConnect
在第二步中,您必须执行OpenConnect身份验证请求以获取服务器证书 ( FINGERPRINT) 和COOKIE将Connman用于连接到 VPN 的证书。该信息将通过利用OpenConnect稍后在终端中显示服务器证书和 cookie 的包来创建。我们通过运行在终端中生成此信息
$ sudo openconnect --csd-wrapper=/home/user/.cisco/csd-wrapper.sh --authenticate --user <username> <hostname>
此后该命令将显示四个变量:POST、COOKIE和HOST。FINGERPRINT因此,指纹(以 开头sha256:...)充当服务器证书,而 正是COOKIE它听起来的样子。
3. 创建 VPN 配置文件Connman
NetworkManager与此相反的是,Connman每个 VPN 连接都使用所谓的 VPN 配置文件,从该文件获取有关如何连接到 VPN 主机的信息。因此,在第三步中,必须将之前生成的身份验证数据粘贴到Connman将用于连接到服务器的VPN 配置文件中。为此,我们/var/lib/connman-vpn/<connection-name>.config根据以下结构创建文件:
[global]
Name = VPN name, for example "My Company VPN" (without quotes)
[provider_openconnect]
Type = OpenConnect
Name = VPN Provider name, for example "My Company Cisco VPN" (without quotes)
Host = <VPN host IP address>
Domain = <VPN host domain>
OpenConnect.ServerCert = <paste the output of FINGERPRINT from the previous openconnect command>
OpenConnect.Cookie = <paste the output of COOKIE from the previous openconnect command>
然后保存并关闭文件。
4. 重新启动计算机并检查 VPN 连接
重新启动您的系统,您将发现您现在创建的 VPN 连接列在VPNConnman 系统托盘 ( CMST) GUI 的附加程序中。标记它,单击“连接”,几秒钟后将建立与您的 VPN 主机的 VPN 连接。现在您可以在您选择的文件管理器中轻松访问 VPN 主机。
5. 碍眼:生成的cookie仅在几个小时内有效
几个小时后,您之前成功工作的 VPN 连接将不再工作。检查/var/log/syslog连接方法时会抱怨服务器证书验证失败:
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 2 ipconfig method 1
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {create} index 23 type 65534 <NONE>
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {update} flags 4240 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {newlink} index 23 address 00:00:00:00:00:00 mtu 1500
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {newlink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {create} index 23 type 65534 <NONE>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {update} flags 4240 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {newlink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 2 ipconfig method 1
Aug 24 00:14:51 <hostname> openconnect[4476]: Connected to <VPN server IP>:443
Aug 24 00:14:51 <hostname> openconnect[4476]: SSL negotiation with <VPN server IP>
Aug 24 00:14:51 <hostname> openconnect[4476]: Server certificate verify failed: signer not found
Aug 24 00:14:51 <hostname> openconnect[4476]: Connected to HTTPS on <VPN server IP>
Aug 24 00:14:51 <hostname> openconnect[4476]: Got inappropriate HTTP CONNECT response: HTTP/1.1 401 Unauthorized
Aug 24 00:14:51 <hostname> connmand[444]: vpn0 {dellink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connmand[444]: (null) {remove} index 23
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {dellink} index 23 operstate 2 <DOWN>
Aug 24 00:14:51 <hostname> connman-vpnd[365]: vpn0 {remove} index 23
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 7 ipconfig method 1
Aug 24 00:14:51 <hostname> connmand[444]: ipconfig state 6 ipconfig method 1
因此,初始身份验证COOKIE已更改,因此之前生成的 cookie 不再有效。因此,您必须在几个小时内重复上面的过程来创建一个新的COOKIE并将此新文件粘贴到您的 VPN 配置文件 ( /var/lib/connman-vpn/<yourvpnname>.config) 中,同时覆盖旧的 cookie。然后重新启动Connman,您的 VPN 将在接下来的几个小时内再次正常工作。
重要的:
似乎可以自己NetworkManager推动新内容的重新创建,同时需要将新内容输入到其 VPN 配置文件中。可能缺少某种接口来自行启动命令。COOKIEConnmancookieConnmanOpenConnect
6. 使新 cookie 的重新创建更加舒适的解决方法
您可以使用 bash 脚本生成新的 cookie 并覆盖旧的。只需将以下文本复制到一个*.sh文件中,使其可执行并运行它。新的 cookie 将自动放置/var/lib/connman-vpn/vpnname.config在正确的位置。之后重新启动Connman,VPN 就可以正常工作了。
#!/bin/bash
sed -i "s/^OpenConnect.Cookie =.*$/$( echo '<YOUR-VPN-PASSWORD>' | openconnect --csd-wrapper=/home/user/.cisco/csd-wrapper.sh --authenticate --user=<USERNAME> --authgroup="<YOURGROUP>" --passwd-on-stdin <VPN-HOST-DOMAIN> | grep 'COOKIE=' | sed "s/COOKIE='//; s/'//g; s/^/OpenConnect.Cookie = /")/" <EXTERNAL-FILENAME>
该脚本将:
- 启动OpenConnect并执行
OpenConnect身份验证请求以获取服务器证书(FINGERPRINT)和COOKIE - 将您的内容插入
username到用户提示符中 - 将您的内容插入
password到用户提示符中 group在用户提示中插入您想要的内容- 生成一个新的
cookie - 用新的
cookie覆盖旧的/var/lib/connman-vpn/vpnname.configcookie
之后您可以毫无问题地重新连接到您的 VPN 主机。多亏了这个脚本cookies,在必要时重新创建新的脚本变得更加舒适和快捷。