Hallo Leute,
leider kämpfe ich seit einigen Tagen mit OpenConnect unter Arch und dem VPN-Gateway meines Arbeitgebers. Leider kann mir die IT-Abteilung nicht weiterhelfen, da es
a) mit dem Original AnyConnect von Cisco zumindest unter Windows/Mac funktioniert (besteht keine besondere Motivation)
b) ArchLinux als Distribution "nicht unterstützt wird" (von unserer IT)
c) es mit den UBUNTU/CENTOS Rechnern vermeintlich keine Probleme gibt
Ich hatte mich bewußt für OpenConnect entschieden, weil man bei Cisco lesen kann, daß man deren AnyConnect erstens nur für die "großen" Distributionen unterstützt und zweitens x86_64 sowieso nur experimentell. Außerdem findet man massenhaft Anleitungen im Netz, wie Nutzer von Instituten und Unis erfolgreich OpenConnect nutzen, z.B.:
http://www.uni-bremen.de/zfn/netz/vpn/openconnect-linux.html
Unser Server hat derzeit kein gültiges Zertifikat ;-) , was aber außer einer Warnung (wie auch unter Win) keinen Schaden anrichten sollte. Ich habe die aktuellen Versionen (openconnect 1:5.01-1; networkmanager-openconnect 0.9.8.4-1) installiert und kann im NetworkManager auch ganz normal die VPN-Verbindung einrichten.
Doch nun zum Problem:
Nach dem Verbinden und der erwarteten Zertifikat-Meckerei (s.o.) erscheint der Anmeldedialog. Dieser enthält neben einer weiteren Beschwerde über "Certificate Validation Failure" die Zeile "Please enter your username and password." sowie das Eingabefeld "GROUP". Leider fehlen die USERNAME und PASSWORD Felder! Also kommt man nicht weiter.
Zur Illustration hier mal der Aufruf auf der Konsole (anonymisiert, mit Option -v wird es ziemlich lang aber das Problem dürfte auch so deutlich werden):
$ openconnect [Gateway-URL]
POST https://vpn.xxx.xx/
Verbindungsversuch mit Server xxx.xxx.xxx.xxx:443
SSL-Verhandlung mit vpn.xxx.xx
Server certificate verify failed: Signierer nicht gefunden
Gültigkeit des Zertifikats des VPN-Servers »vpn.xxx.xx« konnte nicht bestätigt werden.
Grund: Signierer nicht gefunden
Geben Sie »ja« zum Akzeptieren ein, oder »nein« zum Abbrechen. Alles andere, um Folgendes anzusehen: ja
Verbunden mit HTTPS auf vpn.xxx.xx
Server requested SSL client certificate; none was configured
POST https://vpn.xxx.xx/
XML POST aktiviert
Certificate Validation Failure
Please enter your username and password.
GROUP: [xxxxx|yyyyy|mitarbeiter|zzzzz]:mitarbeiter
POST https://vpn.xxx.xx/
Certificate Validation Failure
Please enter your username and password.
GROUP: [xxxxx|yyyyy|mitarbeiter|zzzzz]:^C
Über den Eintrag bei GROUP kommt man leider nicht hinaus (Endlosschleife).
Soweit, so schlecht. Nachdem mir die IT-Abt. z.B. Ubuntu empfohlen hat und auch die Anleitungen (s.o.) oft diese Distrib. verwenden, habe ich meinen Kollegen gebeten, bei seinem UBUNTU System zu Hause mal zu testen. Interessanterweise hat es bei ihm problemlos funktioniert (natürlich bekam auch er den Hinweis auf das ungültige Zertifikat). Also haben wir die Versionen verglichen. Sein UBUNTU verwendet doch tatsächlich openconnect-1:4.07-1 & networkmanager-openconnect-0.9.6.2-3!
Also habe ich im Netz diese (ur-)alten Pakete gesucht und bei mir mit "pacman -U" installiert (Downgrade). Interessant:
Nun bekomme ich beim Aufruf in der Konsole auch die restlichen beiden Eingabeaufforderungen für USERNAME & PASSWORD!!! Leider ist jetzt im Netzwerkmanager (GUI) die Kategorie "VPN" verschwunden. Offenbar paßt da irgendwas nicht mit den alten OpenConnect Versionen zusammen.
Da das Downgrade, selbst wenn damit alles nutzbar wäre, keine brauchbare Dauerlösung darstellt, bin ich auf der Suche nach einer Lösung.
Hier hat schon einmal jemand soetwas gefragt (
https://forum.archlinux.de/viewtopic.php?id=18733), aber das war schon 2011 und eine Antwort/Lösung hat er damals nicht bekommen. Seine Anregung mit der Zuweisung der Gruppen "network" und "nm-openconnect" habe ich auch noch getestet - leider ebenfalls ohne Erfolg! :-(
Hat jemand irgendeine zündende Idee?
Viele Grüße,
conne802