安全 : Cisco AnyConnect 安全移动客户端

Mac OS X的FAQ VPN客户端

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 6 月 2 日) | 反馈

简介

本文档回答有关在 Mac OS X 上使用 Cisco VPN 客户端解决方案时遇到的常见问题。

提示: 对于安全套接字层 (SSL) 和 IPSec,思科建议您迁移到 AnyConnect VPN 客户端。Mac OS 上的内置 IPSec 客户端是苹果公司的一款产品,因此有关此客户端的任何疑问/升级/漏洞修复及其他问题都由苹果公司解决,而 Cisco Remote Access VPN Client 是 EOS。因此,将不为此客户端提供修复。

由思科 TAC 工程师撰稿。

一般问题

Q. 向 Mac 用户提供远程访问时有哪些选项?

A.

有三种 VPN 客户端解决方案可以实现,具体取决于 Mac OS 版本。

VPN 客户
技术/协议

Mac OS X 10.5
Leopard

Mac OS X 10.6
Snow Leopard

Mac OS X 10.7
Lion

Mac OS X 10.8
Mountain Lion

内置 Mac VPN ClientIPsec XXX
Cisco Remote Access IPsec ClientIPsecXX  
Cisco AnyConnect 安全移动客户端SSL、IKEv2/IPsecX*XX**X***

*AnyConnect 版本 3.1 不再支持 Mac OS X 10.5 (Leopard)。 此外,3.0 及更高版本中已删除 PowerPC 支持。
**AnyConnect 2.5.3051 和 3.0.3054 及更高版本支持 Mac OS X 10.7 (Lion)。
***AnyConnect 3.0.08057 和 3.1 及更高版本支持 Mac OS X 10.8 (Mountain Lion)。

Q. 如何卸载 Mac OS X 上的 Cisco VPN 客户端?

A.

要卸载 Cisco VPN 客户端,请完成以下步骤:

  1. 输入以下命令清除旧的 Cisco VPN 内核扩展并重新启动系统。
    sudo -s
    rm -rf /System/Library/StartupItems/CiscoVPN
    rm -rf /Library/StartupItems/CiscoVPN
    rm -rf /System/Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Receipts/vpnclient-kext.pkg
    rm -rf /Library/Receipts/vpnclient-startup.pkg
    reboot
  2. 如果安装了 Cisco VPN for Mac 4.9.01.0180 版本,请输入以下命令删除错放的文件。删除这些文件并不会给系统带来影响,因为应用程序不使用在当前位置的错放文件。
    sudo -s
    rm -rf /Cisco\ VPN\ Client.mpkg
    rm -rf /com.nexUmoja.Shimo.plist
    rm -rf /Profiles
    rm -rf /Shimo.app
    exit
  3. 如果不再需要旧的 Cisco VPN 客户端或 Shimo,请输入以下命令。
    sudo -s
    rm -rf /Library/Application\ Support/Shimo
    rm -rf /Library/Frameworks/cisco-vpnclient.framework
    rm -rf /Library/Extensions/tun.kext
    rm -rf /Library/Extensions/tap.kext
    rm -rf /private/opt/cisco-vpnclient
    rm -rf /Applications/VPNClient.app
    rm -rf /Applications/Shimo.apprm -rf /private/etc/opt/cisco-vpnclient
    rm -rf /Library/Receipts/vpnclient-api.pkg
    rm -rf /Library/Receipts/vpnclient-bin.pkg
    rm -rf /Library/Receipts/vpnclient-gui.pkg
    rm -rf /Library/Receipts/vpnclient-profiles.pkg
    rm -rf ~/Library/Preferences/com.nexUmoja.Shimo.plist
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Preferences/com.cisco.VPNClient.plist
    rm -rf ~/Library/Application\ Support/SyncServices/Local/TFSM/com.
    nexumoja.Shimo.Profiles
    rm -rf ~/Library/Logs/Shimo*
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Application\ Support/Growl/Tickets/Shimo.growlTicket
    exit

Q. Cisco Remote Access VPN Client 与 AnyConnect VPN 客户端在功能上有什么区别?

A.

此问题超出了本文档的内容范围,但根本上 SSL VPN 的功能要多于 Cisco Remote Access Software VPN Client 的功能,因为 SSL VPN 是一项更新的技术,每个 AnyConnect 新版本中都正在增加新功能。最新的 AnyConnect 移动客户端版本 3.0 包含功能同样丰富的 SSL VPN 和 IKEv2 支持。

IPSec VPN 问题

Q. 如果要使用 IPsec,是否应使用内置 Mac VPN Client 或 Cisco Remote Access VPN Client?

A. 虽然可以使用其中任一种 VPN 客户端,但仍在此介绍各自的好处。

注意: 思科建议使用 AnyConnect,因为它能让您利用下一代加密 (NGE) 技术和 IKEv2 协议中的改进功能。

Mac VPN Client

  • + 苹果内置客户端保证能随着 Mac OS 的发展提供相应的支持。
  • + 该客户端集成到 Mac OS X 10.6 及更高版本。
  • + 配置速度更快,因为它无需安装其他应用。
  • -- 不用内置到 Mac OS X 10.5。

Cisco Remote Access VPN Client

   

Q. 如何配置内置 Mac VPN Client?

A.

在 Mac OS X 10.6 及更高版本中:

  1. 选择 System Preferences > Network
  2. 点击 Lock 按钮解锁并进行更改。
  3. 点击解锁按钮上面的加号 添加接口。
  4. 从 Interface 下拉列表中选择 VPN
  5. 从 VPN Type 下拉列表中选择 Cisco IPSec
  6. 在 Service Name 文本框中,键入容易记住的接口名称,例如“Corp IPsec VPN”。
  7. 点击 OK ,然后选择这个新接口。
  8. 点击新的 VPN 接口以配置该接口。
    • 服务器地址 - VPN 前端的外部接口 IP 地址(WAN/公共可路由的 IP 地址)
    • 帐户名称 - 用户名
    • 帐户口令 - 用户口令
  9. 点击 Authentication Settings
    • 在 Machine Authentication 下,点击各个身份验证机制对应的单选按钮(pre-shared-key 或证书身份验证)。
    • 如果使用与 VPN 前端上定义的 pre-shared-key 相匹配的预共享密钥,请在 Shared Secret 对话框中键入此密钥。
    • 在 Group Name 中输入与在 VPN 前端设备上的 EZVPN 配置中定义的秘钥相匹配的组名称(ASA“tunnel-group”、IOS“crypto ipsec client ezvpn group”)。

Q. 我尝试了在 Lion 上使用内置 Mac Client,却收到错误消息 phase 2 mismatch。我该怎么办?

A.

如果您的 Microsoft Windows 客户端可正常运行,或使用 Cisco Remote Access VPN Client 的旧版本 Mac 可正常运行,并且好像只有 Lion 机器无法连接,那么您可能遇到的是 phase 2 mismatch 问题。如果在 ASA 上启用“debug crypto ipsec”,就会看到这个错误消息。从根本上讲,这意味着使用的转换集可能不支持 Mac 内置客户端使用的加密。对于 Lion,该客户端使用 3DES 或 AES。它不支持 DES。为了解决这个问题,请切换转换集以便完全使用 3DES 或添加多个转换集,如下所示:

crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535
set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
ESP-DES-SHA ESP-DES-MD5

此问题通常是由于运行低于版本 8.4 的 ASA 软件版本造成的。默认情况下,较高版本的 ASA 软件配有定义的所有转换集,因此无需其他配置也能正常运行。

Q. Cisco Remote Access VPN Client 是否存在任何兼容性问题?

A.

有关兼容性指南,首先请参阅 Software Release Notes。请注意,本文档后续部分会提到 Cisco Remote Access VPN Client 与 64 位 Mac 内核之间的 Error 51 兼容性问题。

Q. 在哪里可以下载 Cisco Remote Access VPN Client?

A.

  1. 打开Cisco Support Page
  2. 点击 Download Software
  3. 选择 Products > Security > Virtual Private Networks (VPN) > Cisco VPN Clients > Cisco VPN Client
  4. 选择 Cisco VPN Client v4.x
  5. 选择 Mac OS

注意:仅发行适用于 Windows PC 的 VPN Client v5.x。最新的 Mac 版本是 v4.9。

Q. 我尝试了使用 Cisco VPN 客户端,却收到错误消息 Error 51。我该怎么办?

A.

请参阅 Cisco IPsec VPN Client on MAC OS X generates the error "Error 51:Unable to communicate with the VPN subsystem"

Q. 内置 Mac VPN Client 是否支持 ESP-NULL 转换?

A.

不,内置客户端不支持这个转换集。

SSL VPN 问题

Q. AnyConnect 客户端是否存在任何兼容性问题?

A.

有关兼容性指南,请参阅 Software Release NotesASA VPN Compatibility Reference 也是一份重要的参考资料。AnyConnect 与任何 ASA 8.0 或更高版本以及 Cisco IOS 12.4(15)T 或更高版本兼容。

注意: 从 2011 年 8 月开始,AnyConnect 版本 3.0.3054 和 2.5.3054 与 Mac Lion OS X 10.7 兼容。如果您遇到问题,请参考思科漏洞 ID CSCtl43150CSCtq62860CSCtr64798CSCto09628 (仅针对注册用户)寻求解决/修复方法。

Q. 在哪里可以下载 Cisco AnyConnect VPN 客户端?

A. 

  1. 打开Cisco Support Page
  2. 点击 Download Software
  3. 选择 Products > Security > Virtual Private Networks (VPN) > Cisco VPN Clients
    • 对于版本 3.0,请选择 Cisco AnyConnect Secure Mobility Client
    • 对于 2.5 及更早版本,请选择 Cisco AnyConnect VPN Client
  4. 选择上传到 ASA 的必要软件包。在文件名中查找“mac”和“.pkg”,为直接在 Mac 上安装的软件选择“.dmg”文件。

注意: 新的 Mac 都使用 Intel 处理器,但以前的 Mac 计算机使用的是 PowerPC 处理器。各个硬件架构都有单独的 AnyConnect 软件包,因此请密切注意您下载的软件包的名称。

Q. 在 Windows 下,我可以连接 AnyConnect,但在 Mac 下不能。原因是什么?

A.

对于支持的每个客户端操作系统,都必须将单独的 AnyConnect 软件包加载到 ASA。用户从不受支持的 OS 浏览到 webvpn 门户并尝试启动 AnyConnect 时,他们会遇到几个常见错误。这些新发展包括:

  • 对等体上没有 AnyConnect 软件包。请与您的系统管理员联系。
  • AnyConnect 软件包不可用或损坏。请与您的系统管理员联系。

注意: 如果您看到消息“The installer was not able to start the Cisco VPN Client.”,可能是发生了兼容性问题。更具体地说,最新的 AnyConnect 版本(例如 2.5 和 3.0)与更早的 ASA 版本(例如 8.0.3)不兼容。 有关详细信息,请参阅 ASA VPN Compatibility Reference

相关信息




相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116080