Conexão à VPN Cisco AnyConnect sem certificado armazenado ou segredo compartilhado

Muitas pessoas discutiram sobre a configuração do cliente VPN embutido no OS X para conectar-se às VPNs da Cisco no lugar do cliente AnyConnect. No entanto, toda a discussão concentra-se em copiar informações críticas de configuração (segredo ou certificado compartilhado, em particular) de um arquivo PCF ou Profile.xml incluído em um instalador AnyConnect específico do site.

O instalador do AnyConnect onde estou agora (versão 4.2.01035) parece não implantar nenhuma informação de perfil. /opt/cisco/anyconnect/profilecontém apenas AnyConnectProfile.xsd(uma definição de esquema padrão, nada específico para esta configuração). Não há nenhum sinal de qualquer XML perfil ou PCF arquivos que posso encontrar em /opt/cisco, /Libraryou $HOME/Library.

Isso corresponde à experiência da interface do usuário: não parece haver nenhum perfil pré-configurado. Em vez disso, no primeiro lançamento, recebo um campo VPN em branco no qual simplesmente digito um nome de host manualmente (nesse caso ucbvpn.berkeley.edu) e pressiono connect. Isso fornece um prompt de login, incluindo uma lista suspensa de seleção de grupo e campos de nome de usuário e senha. Basta digitar um nome de usuário e senha para iniciar a conexão no modo especificado pelo "grupo" especificado e tudo funciona bem.

No entanto, não consigo descobrir como essa configuração pode ser totalmente transferida para o cliente VPN nativo do OS X. A transferência de um nome de grupo escolhido da lista aparentemente descoberta automaticamente pelo cliente AnyConnect, mas a configuração da VPN do OS X também parece exigir a inserção explícita de um segredo compartilhado ou de um certificado.

Meu melhor palpite é que o cliente Cisco esteja operando em um modo talvez novo, em que possa negociar diretamente com o servidor para descobrir automaticamente todas as informações de configuração necessárias e que não esteja armazenado em disco em nenhum lugar. Alguém tem alguma experiência com uma configuração como esta, ou tem alguma sugestão do que mais tentar?

Acredito que o cliente AnyConnect pode ser usado para conectar-se a vários tipos diferentes de VPN oferecidos pela Cisco. O processo que você descreve acima me leva a acreditar que você está se conectando a uma VPN SSL. O SSL-VPN não requer o uso de um segredo compartilhado para a primeira camada de criptografia. Em vez disso, o cliente e o servidor negociam automaticamente a criptografia de primeira camada usando SSL. Você será solicitado a obter credenciais e uma associação ao grupo. O restante da sua sessão VPN é criptografado exclusivamente após a autenticação.

Você pode criar um script da conexão para que, em vez de precisar digitar suas credenciais a cada vez, possa armazená-las em suas chaves e simplesmente iniciar a conexão a partir do shell ou de outro script. Eu fiz isso há alguns anos aqui: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

Eu notei que com cada atualização do AnyConnect, eu tive que ajustar este script, então use-o como um exemplo e vá a partir daí. Faz cerca de um ano desde a última vez que eu precisei me conectar via AnyConnect.