Sécurité : Client à mobilité sécurisé Cisco AnyConnect

Clients vpn pour la Foire aux questions de Mac OS X

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (21 avril 2016) | Commentaires

Introduction

Ce document répond à des forums aux questions au sujet des solutions du client vpn de Cisco disponibles sur le Mac OS X.

ConseilCisco recommande que vous migriez vers l'AnyConnect VPN Client pour Secure Sockets Layer (SSL) aussi bien qu'IPsec. Le client intégré d'IPsec sur Mac OS est un produit d'Apple, ainsi tous les questions/mises à jour/correctifs de bogue et d'autres questions sur le côté client doivent être abordés par Apple tandis que le client à distance Cisco de VPN d'accès est EOS. Par conséquent, aucune difficulté ne sera mise dedans pour ce client.

Contribué par des ingénieurs TAC Cisco.

Questions générales

Q. Quelles options ai-je afin de permettre d'accéder l'Accès à distance aux utilisateurs de Mac ?

R.

Il y a trois solutions de client vpn qui peuvent être mises en application, dépendantes sur la version de Mac OS.

Client VPN
Technologie/Protocol

Mac OS X 10.5
Léopard

Mac OS X 10.6
Snow Leopard

Mac OS X 10.7
Lion

Mac OS X 10.8
Mountain Lion

Mac OS X 10.9
Francs-tireurs

Mac OS X 10.10
Yosemite
Mac OS X 10.11
EL Capitan 
Client vpn de fonction intégrée de MACIPsec XXX X X X
Client d'Access à distance Cisco IPsecIPsecXX     
Client à mobilité sécurisé Cisco AnyConnectSSL, IKEv2/IPsecX*XX **X *** X ****

* Le Mac OS X 10.5 (léopard) n'est plus pris en charge dans la version 3.1 d'AnyConnect. En outre, le support de PowerPC a été abandonné dans la version 3.0 et ultérieures.
** Le Mac OS X 10.7 (Lion) est pris en charge dans des versions 2.5.3051 et 3.0.3054 d'AnyConnect et plus tard.
Le Mac OS X 10.8 (Mountain Lion) de *** est pris en charge dans des versions 3.0.08057 et 3.1 d'AnyConnect et plus tard.
le MAC OS X 10.11 (EL Capitan) de **** est pris en charge dans Anyconnect 4.1.04011 et plus tard. Le support EL Capitan ne sera pas fourni dans AnyConnect 3.x comme le nouveau support système d'exploitation a fini en juillet 2015. Référez-vous à l'annonce de fin de commercialisation et de fin de vie pour la version 3.x de Client à mobilité sécurisé Cisco AnyConnect.

Q. Comment est-ce que je désinstalle le Client VPN Cisco sur le Mac OS X ?

R.

Afin de désinstaller le Client VPN Cisco, terminez-vous ces étapes :

  1. Sélectionnez ces commandes afin de nettoyer la vieille extension du noyau de Cisco VPN et redémarrer le système.
    sudo -s
    rm -rf /System/Library/StartupItems/CiscoVPN
    rm -rf /Library/StartupItems/CiscoVPN
    rm -rf /System/Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Receipts/vpnclient-kext.pkg
    rm -rf /Library/Receipts/vpnclient-startup.pkg
    reboot
  2. Si vous installiez Cisco VPN pour le module de version 4.9.01.0180 de MAC, sélectionnez ces commandes afin de supprimer les fichiers mal placés. La suppression de ces fichiers n'affectera pas votre système, puisque les applications n'utilisent pas ces fichiers mal placés dans leur position actuelle.
    sudo -s
    rm -rf /Cisco\ VPN\ Client.mpkg
    rm -rf /com.nexUmoja.Shimo.plist
    rm -rf /Profiles
    rm -rf /Shimo.app
    exit
  3. Sélectionnez ces commandes si vous n'avez besoin plus du vieux Client VPN Cisco ou Shimo.
    sudo -s
    rm -rf /Library/Application\ Support/Shimo
    rm -rf /Library/Frameworks/cisco-vpnclient.framework
    rm -rf /Library/Extensions/tun.kext
    rm -rf /Library/Extensions/tap.kext
    rm -rf /private/opt/cisco-vpnclient
    rm -rf /Applications/VPNClient.app
    rm -rf /Applications/Shimo.apprm -rf /private/etc/opt/cisco-vpnclient
    rm -rf /Library/Receipts/vpnclient-api.pkg
    rm -rf /Library/Receipts/vpnclient-bin.pkg
    rm -rf /Library/Receipts/vpnclient-gui.pkg
    rm -rf /Library/Receipts/vpnclient-profiles.pkg
    rm -rf ~/Library/Preferences/com.nexUmoja.Shimo.plist
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Preferences/com.cisco.VPNClient.plist
    rm -rf ~/Library/Application\ Support/SyncServices/Local/TFSM/com.
    nexumoja.Shimo.Profiles
    rm -rf ~/Library/Logs/Shimo*
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Application\ Support/Growl/Tickets/Shimo.growlTicket
    exit

Q. Quelles sont les différences de caractéristique entre le client de VPN d'accès et l'AnyConnect VPN Client à distance Cisco ?

R.

C'est hors de portée de ce document, mais fondamentalement le VPN SSL a plus de caractéristiques que le client vpn de logiciel d'Access à distance Cisco car c'est une technologie plus récente et de nouvelles caractéristiques sont roulées dans chaque nouvelle release d'AnyConnect. Le plus défunt client de mobilité d'AnyConnect, version 3.0, inclut le même soutien riche en caractéristique du VPN SSL et de l'IKEv2.

Questions d'IPsec VPN

Q. Si je veux utiliser IPsec, est-ce que je devrais utiliser le client vpn intégré de MAC ou le client à distance Cisco de VPN d'accès ?

A. Bien qu'il soit possible d'utiliser l'un ou l'autre de client vpn, les avantages de chacun sont expliqués ici.

Remarque: Cisco recommande que vous utilisiez AnyConnect, qui te permet pour tirer profit des chiffrements et des avancements du cryptage de nouvelle génération (NGE) dans le protocole IKEv2.

Client vpn de MAC

  • + le client intégré d'Apple assure le support pendant que le Mac OS évolue.
  • + le client est intégré dans le Mac OS X 10.6 et plus tard.
  • plus rapide configurer en tant que lui n'exige pas l'installation d'une autre application.
  • Non construit dans le Mac OS X 10.5.

Client à distance Cisco de VPN d'accès

Q. Comment est-ce que je configure le client vpn de fonction intégrée de MAC ?

R.

En Mac OS X 10.6 et plus tard :

  1. Choisissez les Préférences Système > le réseau.
  2. Cliquez sur le bouton de verrouillage afin de le déverrouiller et l'apporter des modifications.
  3. Cliquez sur le plus au-dessus du bouton de verrouillage déverrouillé afin d'ajouter une interface.
  4. De la liste déroulante d'interface, choisissez le VPN.
  5. De la liste déroulante de type VPN, choisissez Cisco IPSec.
  6. Dans la zone de texte de nom de service, tapez un facile de se souvenir le nom d'interface tel que la « Corp. IPsec VPN ».
  7. Cliquez sur OK et puis sélectionnez cette nouvelle interface.
  8. Cliquez sur la nouvelle interface VPN afin de configurer l'interface.
    • Headend du serveur Adresse-VPN en dehors de l'adresse IP d'interface (adresse IP routable WAN/publicly)
    • Nom-nom d'utilisateur de compte
    • Le mot de passe des Mot de passe-utilisateurs de compte
  9. Configurations d'authentification de clic.
    • Sous l'authentification de machine, cliquez sur la case d'option pour votre mécanisme d'authentification respectif (le pre-shared-key ou délivrent un certificat l'authentification).
    • Si une clé pré-partagée qui apparie le pre-shared-key défini sur le headend VPN est utilisée, tapez la clé dans la boîte de dialogue secrète partagée.
    • Écrivez le nom de groupe qui apparie celui défini dans la configuration d'EZVPN sur le headend VPN groupe d'EzVPN de client d'ipsec de « groupe de tunnels » du périphérique (ASA crypto, IOS « ").

Q. J'ai essayé d'utiliser le client intégré de MAC sur le Lion, mais je reçois une non-concordance de la phase 2. Que dois-je faire ?

R.

Si vos clients de Microsoft Windows travaillent ou vos MACs plus anciens qui utilisent les clients à distance Cisco de VPN d'accès travaillez, et seulement le Lion que les ordinateurs ne semblent pas pouvoir se connecter, alors il est probable une question de non-concordance de la phase 2. Vous voyez ce message d'erreur si vous activez le « debug crypto ipsec » sur l'ASA. Ceci signifie essentiellement que les jeux de transformations utilisés probablement ne prennent en charge pas le cryptage utilisé par le client de fonction intégrée de MAC. Pour le Lion, le client utilise 3DES ou AES. Il ne prend en charge pas le DES. Afin de fonctionner autour de cette question, l'un ou l'autre de commutateur le jeu de transformations pour utiliser 3DES complètement ou pour ajouter de plusieurs jeux de transformations comme affiché ici :

crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535
set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
ESP-DES-SHA ESP-DES-MD5

Cette question est habituellement provoquée en exécutant une version logicielle ASA plus tôt que la version 8.4. Tout le logiciel postérieur ASA est livré avec transforme des positionnements définis par défaut, ainsi la configuration supplémentaire n'est pas exigée pour le faire fonctionner.

Q. Y a-t-il des problèmes de compatibilité avec le client à distance Cisco de VPN d'accès ?

R.

Référez-vous aux notes en version logicielle d'abord pour des instructions de compatibilité. Notez le problème de compatibilité de l'erreur 51 entre le client à distance Cisco de VPN d'accès et le noyau 64-bit de MAC mentionnés plus tard dans ce document.

Q. Où peux-je télécharger le client à distance Cisco de VPN d'accès ?

R.

  1. Ouvrez la page de support de Cisco.
  2. Cliquez sur Download le logiciel.
  3. Choisissez les Produits > la Sécurité > le Réseaux privés virtuels (VPN) > les Clients VPN Cisco > le Client VPN Cisco.
  4. Choisissez le Client VPN Cisco v4.x.
  5. Choisissez Mac OS.

Remarque: Le client vpn v5.x a été seulement libéré pour des PC de Windows. La dernière release de MAC est v4.9.

Q. J'ai essayé d'utiliser le Client VPN Cisco, mais ai reçu l'erreur 51. Que dois-je faire ?

R.

Référez-vous au client vpn de Cisco IPsec sur le MAC OS X erreur 51 génère erreur la « : Incapable de communiquer avec le sous-système VPN ».

Q. Le client vpn intégré de MAC prend en charge-il ESP-NULL transforme-t-il ?

R.

Non, le client intégré ne prend en charge pas ce jeu de transformations.

Questions de VPN SSL

Q. Y a-t-il des problèmes de compatibilité avec le client d'AnyConnect ?

R.

Référez-vous aux notes en version logicielle pour des instructions de compatibilité. La référence de compatibilité ASA VPN est une autre grande référence. AnyConnect est compatible avec n'importe quelle version 8.0 ou ultérieures et Cisco IOS version 12.4(15)T ou ultérieures ASA.

Remarque: À partir d'août 2011, versions 3.0.3054 et 2.5.3054 d'AnyConnect sont compatibles avec l'OS X 10.7 de Lion de MAC. Si vous rencontrez une question, les id CSCtl43150 de bogue Cisco de référence, le CSCtq62860, le CSCtr64798, et le CSCto09628 (clients enregistrés seulement) pour des contournements/difficultés.

Q. Où peux-je télécharger le Cisco AnyConnect VPN Client ?

R.

  1. Ouvrez la page de support de Cisco.
  2. Cliquez sur Download le logiciel.
  3. Choisissez les Produits > la Sécurité > le Réseaux privés virtuels (VPN) > les Clients VPN Cisco.
    • Pour la version 3.0, choisissez le Client à mobilité sécurisé Cisco AnyConnect.
    • Pour des versions 2.5 et antérieures, choisissez le Cisco AnyConnect VPN Client.
  4. Sélectionnez le module nécessaire pour le télécharger à votre ASA. Recherchez « MAC » et « .package » dans le nom du fichier et choisissez le fichier « .dmg » pour le logiciel pour installer directement sur le MAC.

Remarque: Les nouveaux MACs tous ont des processeurs d'Intel, mais des ordinateurs plus anciens de MAC ont un processeur PowerPC.  Il y a un module distinct d'AnyConnect pour chaque architecture de matériel, ainsi grande attention de paiement au nom du module que vous téléchargez.

Q. Je peux me connecter à AnyConnect dans Windows, mais pas à MAC. Pourquoi pas ?

R.

Un progiciel distinct d'AnyConnect doit être chargé sur l'ASA pour chaque système d'exploitation de client que vous prenez en charge. Il y a plusieurs erreurs communes dans lesquelles les utilisateurs s'exécutent quand ils parcourent au portail de webvpn d'un SYSTÈME D'EXPLOITATION et d'un essai sans support pour lancer AnyConnect. Ceux-ci incluent :

  • Module d'AnyConnect indisponible sur le pair. Contactez votre administrateur système.
  • Module d'AnyConnect indisponible ou corrompu. Contactez votre administrateur système.

Remarque: Si vous voyez le message « l'installateur ne pouvait pas commencer le Client VPN Cisco.  », il y a probablement un problème de compatibilité. Plus spécifiquement, les dernières versions d'AnyConnect (par exemple, 2.5 et 3.0) ne sont pas compatibles avec des versions plus tôt ASA telles que 8.0.3.  Référez-vous au pour en savoir plus de référence de compatibilité ASA VPN.

Informations connexes



Document ID: 116080