Lemana VPN

CLI-установка корпоративного VPN vpn.lemanapro.ru для macOS.

Модули по умолчанию: Core: включён; Bitwarden: включён; Touch ID: включён; DNS cleanup: включён; Swift Menu Bar app: включён; автозапуск приложения: включён; runtime-патчи: применяются автоматически перед подключением.

Репозиторий собирает в один воспроизводимый пакет то, что раньше было ручной локальной настройкой:

• openconnect как VPN-клиент;
• openconnect-lite для SAML SSO через Keycloak;
• опциональный Bitwarden CLI для LDAP-пароля и TOTP seed;
• опциональный Touch ID helper для мастер-пароля Bitwarden;
• Swift Menu Bar app LemanaVPN.app;
• безопасный DNS cleanup через root-owned wrapper;
• алиасы vpn, vpn-debug, vpn-fix-dns.

Быстрая установка

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh

Если установка запущена из терминала, скрипт сначала проверит, что уже стоит, и спросит по отсутствующим опциональным модулям.

После установки открой новый shell или выполни:

exec zsh
vpn

Варианты установки

Полная установка, режим по умолчанию:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh

Без Touch ID, но с Bitwarden:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --without-touchid

Минимальная установка без Bitwarden и Touch ID. В macOS Keychain вручную будут записаны LDAP-пароль и TOTP secret. Не текущий 30-секундный TOTP-код, а постоянный seed из настройки 2FA.

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --minimal --configure-keychain

Проверить действия без изменений:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --dry-run

Принудительно включить интерактивные вопросы:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --interactive

Запустить без вопросов, с выбранными флагами и дефолтами:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --non-interactive

Если raw URL отличается, переопредели базовый адрес:

curl -fsSL https://example.org/dokril/lemana-vpn/raw/branch/main/install.sh \
  | LEMANA_VPN_RAW_BASE_URL=https://example.org/dokril/lemana-vpn/raw/branch/main sh

Что ставится

Путь	Назначение
~/bin/vpn-lemanapro.sh	Основной CLI для подключения, статуса и sync секретов
~/bin/uninstall-lemana-vpn.sh	Локальный uninstall helper
~/bin/keychain-fingerprint	Опциональный Touch ID helper для мастер-пароля Bitwarden
~/Applications/LemanaVPN.app	Swift Menu Bar app для подключения из status bar
~/Library/LaunchAgents/ru.dokops.LemanaVPN.plist	Автозапуск Menu Bar app при логине
~/.config/lemana-vpn/env	Локальная конфигурация модулей
~/.config/lemana-vpn/patch-backups/	Backup исходника openconnect-lite перед runtime-патчами
~/.config/openconnect-lite/config.toml	Профиль SSO и auto-fill правила Keycloak
/usr/local/sbin/lemana-vpn-dns-cleanup	Root-owned wrapper для сброса только корпоративных DNS
/etc/sudoers.d/lemana-vpn-openconnect	NOPASSWD только для openconnect
/etc/sudoers.d/lemana-vpn-dns	NOPASSWD только для DNS cleanup wrapper
~/.zshrc	Идемпотентный блок алиасов vpn, vpn-debug, vpn-fix-dns

Статус модулей

vpn и vpn --status первой строкой показывают, какие модули включены в конфиге и реально установлены на машине:

vpn --status
Modules: ✅ core=ok, ✅ bitwarden=on, ✅ touchid=on, ✅ dns=on, ✅ app=on, ✅ autostart=on, ✅ patches=active, ✅ keychain=password:yes/totp_seed:yes
VPN disconnected

Emoji в human-выводе помогают быстро отличать норму, отключённый опциональный модуль и проблему:

• ✅ — модуль установлен или состояние готово;
• ⏭️ — модуль осознанно отключён;
• ⚠️ — модуль включён, но чего-то не хватает.

Значения:

Поле	Значение
core=ok	Есть openconnect, openconnect-lite и config
bitwarden=on	Модуль включён и bw установлен
bitwarden=off	Модуль отключён через --without-bitwarden или LEMANA_VPN_USE_BITWARDEN=0
bitwarden=missing	Модуль включён, но bw не найден
touchid=on/off/missing	Состояние Touch ID helper
dns=on/missing	Наличие DNS cleanup wrapper
app=on/missing	Установлен ли ~/Applications/LemanaVPN.app
autostart=on/off	Есть ли LaunchAgent для запуска приложения при логине
patches=active/pending	Применены ли runtime-патчи openconnect-lite
keychain=password:yes/totp_seed:yes	Есть ли LDAP-пароль и TOTP seed в Keychain

JSON-режим тоже отдаёт модульный статус:

vpn --status --json

Интерактивная установка

Перед установкой install.sh печатает текущее состояние:

Detected state:
  openconnect:       yes
  pipx:              yes
  openconnect-lite:  yes
  Bitwarden CLI:     no
  Touch ID helper:   no
  DNS cleanup:       no
  sudoers:           no/no
  shell aliases:     no
  Swift:             yes
  Menu Bar app:      no
  LaunchAgent:       no
  Keychain password: no
  Keychain TOTP seed: no

Если доступен терминал (/dev/tty), скрипт спросит только по тому, чего не хватает:

• поставить ли Bitwarden CLI, если bw не найден;
• собрать ли Touch ID helper, если его нет и Bitwarden включён;
• собрать ли Swift Menu Bar app, если ~/Applications/LemanaVPN.app не найден;
• включить ли автозапуск Menu Bar app при логине;
• настроить ли sudoers для openconnect и DNS cleanup;
• добавить ли алиасы в ~/.zshrc;
• записать ли LDAP-пароль и TOTP seed в Keychain, если Bitwarden отключён.

Флаги имеют приоритет над вопросами. Например, --without-bitwarden не будет спрашивать про Bitwarden, а --no-shell не будет предлагать алиасы.

В неинтерактивной среде скрипт не задаёт вопросов и использует выбранные флаги/дефолты. Для CI или повторяемой установки лучше явно указывать --non-interactive.

Логи установщика и удаления

Установщик и uninstall script печатают пошаговый лог с emoji, цветом в интерактивном терминале и коротким пояснением, зачем нужен каждый шаг. Например, перед сборкой Swift-приложения установщик отдельно пишет, что swift build может занять время и что строки компилятора вида [2/5] Write swift-version... являются нормальным выводом. При удалении отдельно показывается откат runtime-патчей openconnect-lite, удаление sudoers/DNS wrapper, приложения, aliases и config.

Отключить цвет:

NO_COLOR=1 sh install.sh
NO_COLOR=1 sh uninstall.sh

Отключить emoji:

LEMANA_VPN_NO_EMOJI=1 sh install.sh
LEMANA_VPN_NO_EMOJI=1 sh uninstall.sh

Модули

Core

Всегда устанавливается:

• openconnect через Homebrew;
• pipx через Homebrew;
• openconnect-lite через pipx;
• CLI vpn-lemanapro.sh;
• openconnect-lite config;
• DNS cleanup wrapper.

Bitwarden

Включён по умолчанию. CLI при каждом запуске vpn пытается получить LDAP-пароль и TOTP seed из записи Bitwarden LM LDAP, затем записывает их в macOS Keychain для openconnect-lite.

TOTP seed — это постоянный секрет 2FA. Сам одноразовый TOTP-код меняется каждые 30 секунд и генерируется openconnect-lite в момент входа.

Если vault заблокирован и Touch ID helper не смог его открыть, CLI спросит Bitwarden master password. Это пароль от хранилища Bitwarden, а не корпоративный LDAP-пароль. Он нужен только чтобы достать LDAP password/TOTP seed из item LM LDAP и переложить их в macOS Keychain.

Отключить:

sh install.sh --without-bitwarden

В этом режиме credentials нужно положить в Keychain вручную:

vpn-lemanapro.sh --configure-keychain

Если credentials уже лежат в Keychain, подключение без Bitwarden не будет спрашивать пароль заново. CLI явно напишет, что Bitwarden отключён и используются сохранённые LDAP password/TOTP seed из macOS Keychain.

Если Bitwarden нет

Bitwarden не обязателен. Без него установка работает как обычный openconnect-lite profile с секретами в macOS Keychain.

Установка:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh \
  | sh -s -- --without-bitwarden --without-touchid --configure-keychain

Что понадобится:

• LDAP username;
• LDAP password: корпоративный LDAP/domain пароль, не мастер-пароль Bitwarden;
• TOTP secret из корпоративной 2FA настройки.

Важно: вводить нужно не текущие 6 цифр из authenticator-приложения, а постоянный secret. Обычно он есть в QR-коде как secret=BASE32... или может быть показан при ручной настройке TOTP.

Если запуск идёт из LemanaVPN.app, приложение не может безопасно показать интерактивный terminal prompt для ввода LDAP/TOTP. Если Keychain пустой, приложение покажет ошибку. В этом случае один раз выполни в Terminal:

vpn --configure-keychain

Если secret есть только в QR-коде:

1. Открой QR-код в приложении/на портале, где настраивалась 2FA.
2. Найди режим ручной настройки, где показывается secret.
3. Если доступен только QR, его нужно расшифровать любым локальным QR-сканером и взять параметр secret.
4. Вставь secret в prompt TOTP secret (BASE32...).

Если TOTP secret получить нельзя, автоматический headless-вход невозможен: openconnect-lite не сможет сам генерировать свежий TOTP-код на каждом входе.

Touch ID

Включён по умолчанию. Установщик собирает keychain-fingerprint из https://github.com/dss99911/keychain-fingerprint.git и кладёт бинарник в ~/bin/keychain-fingerprint.

Важно: этот helper показывает системный Touch ID prompt перед чтением мастер-пароля Bitwarden, но это не аппаратный Keychain ACL. Это удобный локальный гейт поверх записи Keychain.

Отключить:

sh install.sh --without-touchid

Swift Menu Bar app

Включён по умолчанию. Установщик собирает Swift-приложение из исходников в репозитории и кладёт bundle в:

~/Applications/LemanaVPN.app

Приложение живёт в macOS status bar, запускает ~/bin/vpn-lemanapro.sh --json, показывает состояние VPN, IP, оставшееся время сессии, health-check тоннеля и строку состояния модулей.

Строка состояния модулей в меню приложения использует те же маркеры, что CLI: ✅ для готового модуля, ⏭️ для отключённого опционального модуля и ⚠️ для проблемы. Иконка строки тоже меняется: checkmark.circle для полностью готового набора и exclamationmark.triangle для неполной установки.

Если в меню видно modules unavailable: update CLI, значит запущенное приложение обращается к старому ~/bin/vpn-lemanapro.sh, который ещё не умеет отдавать модульный статус. Повтори установку через curl; установщик обновит CLI и перезапустит уже запущенное LemanaVPN.app.

Для сборки нужен Swift 5.9+ из Xcode Command Line Tools:

xcode-select --install

Отключить установку приложения:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --without-app

Оставить приложение, но отключить автозапуск:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh -s -- --without-autostart

Ручной запуск:

open ~/Applications/LemanaVPN.app

Использование

vpn                 # подключиться
vpn --status        # статус без нового подключения
vpn --status --json # статус в JSON
vpn-debug           # видимый браузер и debug-логи
vpn-fix-dns         # сбросить корпоративные DNS после аварийного завершения
open ~/Applications/LemanaVPN.app  # открыть Swift-приложение в menu bar

Первый запуск с Bitwarden:

1. CLI проверит bw.
2. Если vault locked, попросит мастер-пароль.
3. Если установлен Touch ID helper, предложит сохранить мастер-пароль за Touch ID prompt.
4. Достанет LM LDAP, запишет LDAP-пароль и TOTP seed в Keychain.
5. Запустит openconnect-lite и пройдёт Keycloak SSO.

Настройка

Файл ~/.config/lemana-vpn/env:

LEMANA_VPN_USERNAME="60103293"
LEMANA_VPN_BW_ITEM="LM LDAP"
LEMANA_VPN_USE_BITWARDEN="1"
LEMANA_VPN_USE_TOUCHID="1"
LEMANA_VPN_DNS_CLEANUP="/usr/local/sbin/lemana-vpn-dns-cleanup"

Для другого логина:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh \
  | sh -s -- --username 12345678

Bitwarden item

Нужна запись:

• название: LM LDAP;
• username: корпоративный LDAP логин;
• password: LDAP пароль;
• TOTP: otpauth://...secret=BASE32... или raw BASE32 secret.

Это не 6-значный одноразовый код. В Bitwarden должен лежать постоянный TOTP secret, из которого коды генерируются автоматически.

Почему DNS wrapper, а не wildcard sudoers

Старый вариант давал NOPASSWD на networksetup -setdnsservers *. Это слишком широкое право: любой локальный процесс пользователя мог поменять DNS на произвольный сервер.

Новый вариант разрешает sudo только на /usr/local/sbin/lemana-vpn-dns-cleanup. Wrapper сбрасывает DNS только если текущий DNS начинается с 10., то есть похож на корпоративный VPN DNS.

Runtime-патчи openconnect-lite

openconnect-lite работает, но для текущей macOS + Keycloak SSO цепочки ему нужны runtime-патчи. CLI применяет их перед подключением в файле:

~/.local/pipx/venvs/openconnect-lite/lib/python*/site-packages/openconnect_lite/browser/webengine_process.py

Патчи:

Патч	Что меняет	Зачем
minimal -> offscreen	Меняет Qt platform mode для скрытого браузера	minimal падает с Qt WebEngine на macOS
input/change events	После value = ... отправляет DOM events	Keycloak не реагирует на прямую запись value
URL guard	Проверяет location.href через new RegExp(...) перед auto-fill	Qt игнорирует @include, без guard auto-fill может кликнуть Cisco ACS и сломать SAML
submit click guard	Кликает submit один раз на страницу и только после заполнения поля	Без guard hidden-браузер может зациклиться на Keycloak login-actions/authenticate

Перед первым изменением CLI сохраняет оригинальный файл:

~/.config/lemana-vpn/patch-backups/webengine_process.py.before-lemana-vpn

Откат патчей выполняет uninstall script. Если backup отсутствует, автоматического rollback нет: значит файл был уже патчен старой ручной установкой или openconnect-lite переустановили после backup.

Диагностика

Проверить установку:

command -v vpn-lemanapro.sh
openconnect --version
~/.local/bin/openconnect-lite --help
sudo -n /usr/local/sbin/lemana-vpn-dns-cleanup
vpn --status

Обычный vpn теперь пишет путь к подробному логу openconnect-lite:

~/Library/Logs/LemanaVPN-openconnect-lite.log

Если после Connecting to VPN (lemanapro)... SSO завис или не видно, что происходит, смотри этот файл:

tail -f ~/Library/Logs/LemanaVPN-openconnect-lite.log

В обычном режиме CLI также печатает heartbeat Still waiting for SSO/openconnect-lite..., чтобы было понятно, что процесс живой. В vpn-debug дополнительно показываются raw-логи и видимый браузер.

Если в логе повторяется один и тот же URL вида employee.auth.lemanapro.ru/realms/employee/login-actions/authenticate, значит hidden-браузер застрял на Keycloak до перехода в Cisco ACS. Сначала обнови и примени runtime-патчи без подключения:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh | sh
vpn-lemanapro.sh --patch-only

Если SSO ломается после обновления openconnect-lite, запусти:

vpn-debug

Если установка падает на строке install: /usr/local/sbin/...: No such file or directory, значит на машине не было /usr/local/sbin. Актуальный install.sh создаёт эту директорию сам; достаточно повторить установку свежей командой curl.

CLI перед подключением патчит openconnect-lite:

• minimal -> offscreen, чтобы Qt WebEngine не падал на macOS;
• добавляет input и change events для Keycloak auto-fill;
• добавляет URL guard, чтобы auto-fill не кликал submit на Cisco ACS.
• добавляет submit click guard, чтобы auto-fill не отправлял одну и ту же Keycloak форму бесконечно.

Удаление

Рекомендуемый способ:

curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/uninstall.sh | sh

Или локально:

uninstall-lemana-vpn.sh

Что делает uninstall:

• восстанавливает openconnect-lite из backup, если backup есть;
• удаляет vpn-lemanapro.sh и uninstall-lemana-vpn.sh;
• удаляет sudoers rules и DNS cleanup wrapper;
• удаляет блок lemana-vpn из ~/.zshrc;
• удаляет ~/.config/openconnect-lite/config.toml;
• останавливает уже запущенный процесс LemanaVPN, удаляет ~/Applications/LemanaVPN.app и LaunchAgent автозапуска;
• удаляет ~/.config/lemana-vpn, если не передан --keep-config.

Опциональные режимы:

uninstall-lemana-vpn.sh --dry-run
uninstall-lemana-vpn.sh --keep-config
uninstall-lemana-vpn.sh --keep-app
uninstall-lemana-vpn.sh --remove-keychain
uninstall-lemana-vpn.sh --remove-touchid-helper
uninstall-lemana-vpn.sh --remove-openconnect-lite

Ручной вариант, если нужен полный контроль:

rm -f ~/bin/vpn-lemanapro.sh ~/bin/uninstall-lemana-vpn.sh
rm -rf ~/.config/lemana-vpn
rm -f ~/.config/openconnect-lite/config.toml
sudo rm -f /usr/local/sbin/lemana-vpn-dns-cleanup
sudo rm -f /etc/sudoers.d/lemana-vpn-openconnect /etc/sudoers.d/lemana-vpn-dns

Из ~/.zshrc удалить блок:

# >>> lemana-vpn
...
# <<< lemana-vpn