Segurança : Cliente de mobilidade Cisco AnyConnect Secure

Clientes VPN para Mac OS X FAQ

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Introdução

Este documento responde a perguntas mais frequentes sobre as soluções do cliente VPN de Cisco disponíveis em Mac OS X.

Dica: Cisco recomenda que você migra ao cliente VPN de AnyConnect para o secure sockets layer (SSL) assim como o IPsec. O cliente de IPSec incorporado no Mac OS é um produto de Apple, assim que todas as perguntas/elevações/correções de bug e outras edições no lado do cliente precisam de ser endereçadas por Apple quando o cliente VPN de acesso remoto de Cisco for EOS. Consequentemente, nenhum reparo será posto dentro para este cliente.

Contribuído por engenheiros de TAC da Cisco.

Perguntas gerais

Q. Que opções eu tenho a fim fornecer o Acesso remoto aos usuários do Mac?

R.

Há três soluções do cliente VPN que podem ser executadas, dependentes da versão do Mac OS.

Cliente de VPN
Tecnologia/protocolo

Mac OS X 10.5
Leopardo

Mac OS X 10.6
Snow Leopard

Mac OS X 10.7
Leão

Mac OS X 10.8
Mountain Lion

Mac OS X 10.9
Independentes

Mac OS X 10.10
Yosemite
Mac OS X 10.11
EL Capitan 
Cliente VPN do acessório do MacIPsec XXX X X X
Cliente de IPSec do Acesso remoto de CiscoIPsecXX     
Cliente de mobilidade Cisco AnyConnect SecureSSL, IKEv2/IPsecX*XX **X *** X ****

* Mac OS X 10.5 (leopardo) é apoiado já não na liberação 3.1 de AnyConnect. Também, o apoio de PowerPC foi deixado cair no 3.0 da liberação e mais tarde.
** Mac OS X 10.7 (leão) é apoiado nas liberações 2.5.3051 e 3.0.3054 de AnyConnect e mais atrasado.
O *** Mac OS X 10.8 (Mountain Lion) é apoiado nas liberações 3.0.08057 e 3.1 de AnyConnect e mais atrasado.
O **** MAC OS X 10.11 (EL Capitan) é apoiado em Anyconnect 4.1.04011 e mais atrasado. O apoio EL Capitan não será fornecido em AnyConnect 3.x como o apoio novo do OS terminou em julho 2015. Refira a Fim--venda e o anúncio End-of-Life para a versão 3.x do Cliente de mobilidade Cisco AnyConnect Secure.

Q. Como eu desinstalo o Cisco VPN Client em Mac OS X?

R.

A fim desinstalar o Cisco VPN Client, termine estas etapas:

  1. Incorpore estes comandos a fim limpar para fora a extensão velha do núcleo de Cisco VPN e recarregar o sistema.
    sudo -s
    rm -rf /System/Library/StartupItems/CiscoVPN
    rm -rf /Library/StartupItems/CiscoVPN
    rm -rf /System/Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Receipts/vpnclient-kext.pkg
    rm -rf /Library/Receipts/vpnclient-startup.pkg
    reboot
  2. Se você instalou Cisco VPN para o pacote da versão 4.9.01.0180 do Mac, incorpore estes comandos a fim suprimir dos arquivos coloqns mal. O supressão destes arquivos não afetará seu sistema, desde que os aplicativos não usam estes arquivos coloqns mal em seu local atual.
    sudo -s
    rm -rf /Cisco\ VPN\ Client.mpkg
    rm -rf /com.nexUmoja.Shimo.plist
    rm -rf /Profiles
    rm -rf /Shimo.app
    exit
  3. Incorpore estes comandos se você já não precisa o Cisco VPN Client ou o Shimo velho.
    sudo -s
    rm -rf /Library/Application\ Support/Shimo
    rm -rf /Library/Frameworks/cisco-vpnclient.framework
    rm -rf /Library/Extensions/tun.kext
    rm -rf /Library/Extensions/tap.kext
    rm -rf /private/opt/cisco-vpnclient
    rm -rf /Applications/VPNClient.app
    rm -rf /Applications/Shimo.apprm -rf /private/etc/opt/cisco-vpnclient
    rm -rf /Library/Receipts/vpnclient-api.pkg
    rm -rf /Library/Receipts/vpnclient-bin.pkg
    rm -rf /Library/Receipts/vpnclient-gui.pkg
    rm -rf /Library/Receipts/vpnclient-profiles.pkg
    rm -rf ~/Library/Preferences/com.nexUmoja.Shimo.plist
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Preferences/com.cisco.VPNClient.plist
    rm -rf ~/Library/Application\ Support/SyncServices/Local/TFSM/com.
    nexumoja.Shimo.Profiles
    rm -rf ~/Library/Logs/Shimo*
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Application\ Support/Growl/Tickets/Shimo.growlTicket
    exit

Q. Que são as diferenças de recurso entre o cliente VPN de acesso remoto de Cisco e o cliente VPN de AnyConnect?

R.

Isto é além do alcance deste documento, mas fundamentalmente o SSL VPN tem mais características do que o cliente VPN do software do Acesso remoto de Cisco porque é uma tecnologia mais nova e os novos recursos são rolados em cada liberação nova de AnyConnect. O cliente o mais atrasado da mobilidade de AnyConnect, versão 3.0, inclui o mesmo apoio rico em características para SSL VPN e IKEv2.

Perguntas do IPSec VPN

Q. Se eu quero usar o IPsec, devo eu usar o cliente VPN incorporado do Mac ou o cliente VPN de acesso remoto de Cisco?

A. Embora seja possível usar um ou outro cliente VPN, as vantagens de cada um são explicadas aqui.

Nota: Cisco recomenda que você usa AnyConnect, que permite que você se aproveite de cifras e de avanços da criptografia da próxima geração (NGE) no protocolo IKEv2.

Cliente VPN do Mac

  • + o cliente incorporado de Apple assegura o apoio enquanto o Mac OS evolui.
  • + o cliente é integrado em Mac OS X 10.6 e mais atrasado.
  • mais rapidamente configurar como ele não exige a instalação de um outro aplicativo.
  • Não construído em Mac OS X 10.5.

Cliente VPN de acesso remoto de Cisco

Q. Como eu configuro o cliente VPN do acessório do Mac?

R.

Em Mac OS X 10.6 e mais atrasado:

  1. Escolha preferências > rede do sistema.
  2. Clique o botão de fechamento a fim destravá-lo e fazer mudanças.
  3. Clique o sinal positivo acima do botão de fechamento destravado a fim adicionar uma relação.
  4. Da lista de drop-down da relação, escolha o VPN.
  5. Do VPN datilografe a lista de drop-down, escolhem o Cisco IPSEC.
  6. Na caixa de texto do nome do serviço, datilografe um fácil recordar o nome da relação tal como “o IPSec VPN Corp”.
  7. Clique a APROVAÇÃO e selecione então esta relação nova.
  8. Clique a relação nova VPN a fim configurar a relação.
    • Endereço IP de Um ou Mais Servidores Cisco ICM NT da interface externa do final do cabeçalho do server Endereço-VPN (endereço IP roteável WAN/publicly)
    • Nome-username da conta
    • Senha da conta Senha-USER
  9. Ajustes da autenticação do clique.
    • Sob a autenticação da máquina, clique o botão de rádio para seu mecanismo da autenticação respectivo (chave pré-compartilhada ou certificado de autenticação).
    • Se uma chave pré-compartilhada que combine a chave pré-compartilhada definida no fim de cabeçalho de VPN é usada, datilografe a chave na caixa de diálogo secreta compartilhada.
    • Dê entrada com o nome do grupo que combina esse definido na configuração do EZVPN no dispositivo do fim de cabeçalho de VPN (ASA “grupo de túneis”, de cliente de IPSec de criptografia dos IO grupo do EzVPN ").

Q. Eu tentei usar o cliente incorporado do Mac no leão, mas eu recebo uma má combinação da fase 2. O que devo fazer?

R.

Se seus clientes de Microsoft Windows trabalham ou seus Mac mais velhos que usam os clientes VPN de acesso remoto de Cisco trabalhe, e somente o leão que as máquinas não parecem poder conectar, a seguir é provável uma edição da má combinação da fase 2. Você vê este Mensagem de Erro se você permite do “o IPsec debug crypto” no ASA. Isto significa essencialmente que os grupos da transformação usados provavelmente não apoiam a criptografia usada pelo cliente do acessório do Mac. Para o leão, o cliente usa o 3DES ou o AES. Não apoia o DES. A fim trabalhar em torno desta edição, um ou outro interruptor o grupo da transformação para usar completamente o 3DES ou para adicionar o múltiplo transforma grupos como mostrado aqui:

crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535
set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
ESP-DES-SHA ESP-DES-MD5

Esta edição é causada geralmente executando um software release ASA mais cedo do que a liberação 8.4. Todo o software mais atrasado ASA vem com transforma os grupos definidos à revelia, assim que a configuração adicional não é exigida para fazê-lo trabalhar.

Q. Há algum problema de compatibilidade com o cliente VPN de acesso remoto de Cisco?

R.

Refira os Release Note do Software primeiramente para diretrizes da compatibilidade. Note o problema de compatibilidade do erro 51 entre o cliente VPN de acesso remoto de Cisco e o núcleo 64-bit do Mac mencionados mais tarde neste documento.

Q. Onde posso eu transferir o cliente VPN de acesso remoto de Cisco?

R.

  1. Abra a página de suporte de Cisco.
  2. Clique o software da transferência.
  3. Escolha o > segurança > o Virtual Private Networks (VPN) > os Cisco VPN Client > o Cisco VPN Client do Produtos.
  4. Escolha o Cisco VPN Client v4.x.
  5. Escolha o Mac OS.

Nota: O cliente VPN v5.x foi liberado somente para Windows PC. A liberação a mais atrasada do Mac é v4.9.

Q. Eu tentei usar o Cisco VPN Client, mas recebi o erro 51. O que devo fazer?

R.

Refira o cliente VPN do Cisco IPSEC em MAC OS X gerencie erro 51 do erro o “: Incapaz de comunicar-se com o subsistema VPN”.

Q. O cliente VPN incorporado do Mac apoia ESP-NULL transforma?

R.

Não, o cliente incorporado não apoia este transforma o grupo.

Perguntas SSL VPN

Q. Há uns problemas de compatibilidade com o cliente de AnyConnect?

R.

Refira os Release Note do Software para diretrizes da compatibilidade. A referência da compatibilidade ASA VPN é uma outra grande referência. AnyConnect é compatível com toda a versão ASA 8.0 ou mais atrasado e Cisco IOS Release 12.4(15)T ou Mais Recente.

Nota: Em agosto 2011, as liberações 3.0.3054 e 2.5.3054 de AnyConnect é compatíveis com o OS X 10.7 do leão do Mac. Se você encontra uma edição, um Bug da Cisco ID CSCtl43150 da referência, um CSCtq62860, um CSCtr64798, e um CSCto09628 (clientes registrados somente) para ações alternativas/reparos.

Q. Onde posso eu transferir o Cisco AnyConnect VPN Client?

R.

  1. Abra a página de suporte de Cisco.
  2. Clique o software da transferência.
  3. Escolha o > segurança > o Virtual Private Networks (VPN) > os Cisco VPN Client do Produtos.
    • Para a versão 3.0, escolha o Cliente de mobilidade Cisco AnyConnect Secure.
    • Para versões 2.5 e anterior, escolha o Cisco AnyConnect VPN Client.
  4. Selecione o pacote necessário para transferir arquivos pela rede a seu ASA. Procure “Mac” e “.package” no nome de arquivo e escolha o arquivo “.dmg” para que o software instale diretamente no Mac.

Nota: Os Mac novos todos têm processadores de Intel, mas uns computadores mais velhos do Mac têm um processador de PowerPC.  Há um pacote separado de AnyConnect para cada arquitetura de hardware, assim que uma toda atenção do pagamento ao nome do pacote que você transfere.

Q. Eu posso conectar com o AnyConnect em Windows, mas não o Mac. Por que não?

R.

Um pacote de softwares separado de AnyConnect deve ser carregado no ASA para cada sistema operacional do cliente que você apoia. Há diversos erros comuns em que os usuários são executado quando consultam ao portal do webvpn de um OS unsupported e tentam lançar AnyConnect. Eles incluem:

  • Pacote de AnyConnect não disponível no par. Contacte seu administrador de sistema.
  • Pacote de AnyConnect não disponível ou corrompido. Contacte seu administrador de sistema.

Nota: Se você vê a mensagem “o instalador não podia começar o Cisco VPN Client. ”, há provavelmente um problema de compatibilidade. Mais especificamente, as versões as mais atrasadas de AnyConnect (por exemplo, 2.5 e 3.0) não são compatíveis com versões ASA mais adiantadas tais como 8.0.3.  Refira a referência da compatibilidade ASA VPN para mais informação.

Informações Relacionadas



Document ID: 116080