Openconnect для Cisco VPN не распознает файл закрытого ключа-подпрограммы кодирования asn1: проверка ASN1 TLEN: неправильный тег

Я пытаюсь использовать Synology DS212 NAS box также выступает в качестве VPN-шлюза для VPN моих компаний. К сожалению, они используют только Cisco ASA и чтобы еще больше усложнить ситуацию, мы должны использовать личные сертификаты (что, конечно, более безопасно, но сложнее...).

Итак, я составил OpenConnect В4.06 от http://www.infradead.org/openconnect/. Как очень простой тест, я попробовал создать подключение вручную, вызвав openconnect, передавая файлы ключей и сертификатов, вот так:

/lib/ld-linux.so.3 --library-path /opt/lib 
 /opt/openconnect/sbin/openconnect 
  --certificate=$VPN_CFG/alexander.crt 
  --sslkey=$VPN_CFG/alexander.key 
  --cafile=$VPN_CFG/Company_VPN_CA.crt 
  --user=alexander --verbose <ip>:443

Это не удается 🙁

Attempting to connect to <ip>:443
Using certificate file $VPN_CFG/alexander.crt
Using client certificate '/CN=alexander@tech.doma.in/OU=Company VPN'
5919:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1315:
Loading private key failed (see above errors)
Loading certificate failed. Aborting.
Failed to open HTTPS connection to <ip>
Failed to obtain WebVPN cookie

когда я запускаю ту же команду с теми же файлами сертификатов / ключей на коробке Ubuntu 12.04, она работает:

openconnect 
 --certificate=$VPN_CFG/alexander.crt 
  --sslkey=$VPN_CFG/alexander.key 
  --cafile=$VPN_CFG/Company_VPN_CA.crt 
  --user=alexander --verbose <ip>:443
Attempting to connect to <ip>:443
Using certificate file $VPN_CFG/alexander.crt
Extra cert from cafile: '/CN=Company AG VPN CA/O=Company AG/L=Zurich/ST=ZH/C=CH'
SSL negotiation with <ip>
Server certificate verify failed: self signed certificate

Certificate from VPN server "<ip>" failed verification.
Reason: self signed certificate
Enter 'yes' to accept, 'no' to abort; anything else to view: yes
Connected to HTTPS on <ip>
GET https://<ip>/
[…]

ну ... ошибка на NAS такова:

5919:ошибка:0D0680A8:процедуры кодирования является asn1:ASN1_CHECK_TLEN:неправильный тег:tasn_dec.c: 1315:

любые идеи, что вызывает это?

на Syno, я использую OpenConnect 4.06. На Ubuntu я просто скомпилировал и установил в пользовательское расположение OpenConnect 4.06.

спасибо,
Александр

21
задан Hennes
27.04.2023 19:21 Количество просмотров материала 2549
Распечатать страницу

2 ответа

У меня была такая же проблема, и я мог бы решить ее, немного манипулируя файлом PEM с закрытым ключом. Он содержал обычный верхний и Нижний колонтитулы

"-----НАЧАТЬ ЗАКРЫТЫЙ КЛЮЧ-----"

" - - - - - - КОНЕЦ ЗАКРЫТОГО КЛЮЧА - - - - -"

Это было совершенно справедливо для проверки с помощью openssl; я мог получить нормальный вывод из команды openssl.

openssl rsa -in private.key -noout -text

но для openconnect это было недостаточно конкретно.

I изменен шаблон на

"-----НАЧАТЬ ЗАКРЫТЫЙ КЛЮЧ-----"ОГА

"-----КОНЕЦ ЗАКРЫТЫЙ КЛЮЧ RSA-----"

т. е. я добавил идентификатор "RSA". (конечно, без кавычек в файле PEM).

1
отвечен tseeling 2023-04-29 03:09

Я бы рекомендовал сначала попробовать подключиться к сети Cisco AnyConnect через обычный дистрибутив Linux, например Ubuntu.

$ sudo openconnect http: / / $gateway / полный доступ -- script файл /etc/vpnc/vpnc-скрипта-пользователю $имя пользователя

, Как я войти через openconnect в мою установку AnyConnect.

для этого необходимо установить openconnect и vpnc.

0
отвечен Johan Dahlin 2023-04-29 05:26

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх