Seguridad : Cliente de movilidad Cisco AnyConnect Secure

Clientes VPN para Mac OS X FAQ

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Comentarios

Introducción

Este documento contesta las preguntas más frecuentes sobre las soluciones del cliente VPN de Cisco disponibles en Mac OS X.

Consejo: Cisco recomienda que usted emigra al cliente VPN de AnyConnect para Secure Sockets Layer (SSL) así como el IPSec. El cliente IPSec incorporado en el Mac OS es producto de Apple, así que cualesquiera preguntas/actualizaciones/arreglo del bug y otros problemas en el lado del cliente necesitan ser abordados por Apple mientras que el cliente VPN de acceso remoto de Cisco es EOS. Por lo tanto, no se introducirá ningunos arreglos para este cliente.

Contribuido por los ingenieros de Cisco TAC.

Preguntas generales

Q. ¿Qué opciones tengo para proporcionar el Acceso Remoto a los usuarios de Mac?

R.

Hay tres soluciones del cliente VPN que pueden ser implementadas, dependientes sobre la versión del Mac OS.

Cliente VPN
Tecnología/protocolo

Mac OS X 10.5
Leopardo

Mac OS X 10.6
Snow Leopard

Mac OS X 10.7
León

Mac OS X 10.8
Mountain Lion

Mac OS X 10.9
Rebeldes

Mac OS X 10.10
Yosemite
Mac OS X 10.11
EL Capitan 
Cliente VPN del accesorio del macIPSec XXX X X X
Cliente IPSec del Acceso Remoto de CiscoIPSecXX     
Cliente de movilidad Cisco AnyConnect SecureSSL, IKEv2/IPsecX*XX **X *** X ****

* Mac OS X 10.5 (leopardo) se soporta no más en la versión 3.1 de AnyConnect. También, el soporte de PowerPC fue caído en el 3.0 de la versión y posterior.
** Mac OS X 10.7 (león) se soporta en las versiones 2.5.3051 y 3.0.3054 de AnyConnect y posterior.
El *** Mac OS X 10.8 (Mountain Lion) se soporta en las versiones 3.0.08057 y 3.1 de AnyConnect y posterior.
El **** MAC OS X 10.11 (EL Capitan) se soporta en Anyconnect 4.1.04011 y posterior. El soporte EL Capitan no será proporcionado en AnyConnect 3.x como el nuevo soporte OS terminó en julio 2015. Refiera al Fin de la Venta y al anuncio de fin de vida útil para la versión 3.x del Cliente de movilidad Cisco AnyConnect Secure.

Q. ¿Cómo desinstalo al Cliente Cisco VPN en Mac OS X?

R.

Para desinstalar al Cliente Cisco VPN, complete estos pasos:

  1. Ingrese estos comandos para limpiar la vieja extensión del corazón del Cisco VPN y reiniciar el sistema.
    sudo -s
    rm -rf /System/Library/StartupItems/CiscoVPN
    rm -rf /Library/StartupItems/CiscoVPN
    rm -rf /System/Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Receipts/vpnclient-kext.pkg
    rm -rf /Library/Receipts/vpnclient-startup.pkg
    reboot
  2. Si usted instaló el Cisco VPN para el paquete de la versión de la MAC 4.9.01.0180, ingrese estos comandos para borrar los archivos equivocados. La cancelacíon de estos archivos no afectará a su sistema, puesto que las aplicaciones no utilizan estos archivos equivocados en su ubicación actual.
    sudo -s
    rm -rf /Cisco\ VPN\ Client.mpkg
    rm -rf /com.nexUmoja.Shimo.plist
    rm -rf /Profiles
    rm -rf /Shimo.app
    exit
  3. Ingrese estos comandos si usted necesita no más el Cliente Cisco VPN o el Shimo viejo.
    sudo -s
    rm -rf /Library/Application\ Support/Shimo
    rm -rf /Library/Frameworks/cisco-vpnclient.framework
    rm -rf /Library/Extensions/tun.kext
    rm -rf /Library/Extensions/tap.kext
    rm -rf /private/opt/cisco-vpnclient
    rm -rf /Applications/VPNClient.app
    rm -rf /Applications/Shimo.apprm -rf /private/etc/opt/cisco-vpnclient
    rm -rf /Library/Receipts/vpnclient-api.pkg
    rm -rf /Library/Receipts/vpnclient-bin.pkg
    rm -rf /Library/Receipts/vpnclient-gui.pkg
    rm -rf /Library/Receipts/vpnclient-profiles.pkg
    rm -rf ~/Library/Preferences/com.nexUmoja.Shimo.plist
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Preferences/com.cisco.VPNClient.plist
    rm -rf ~/Library/Application\ Support/SyncServices/Local/TFSM/com.
    nexumoja.Shimo.Profiles
    rm -rf ~/Library/Logs/Shimo*
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Application\ Support/Growl/Tickets/Shimo.growlTicket
    exit

Q. ¿Cuáles son las diferencias de funciones entre el cliente VPN de acceso remoto de Cisco y el cliente VPN de AnyConnect?

R.

Esto está fuera del alcance de este documento, pero el SSL VPN tiene fundamental más características que el cliente VPN del software del Acceso Remoto de Cisco pues es una más nueva tecnología y las nuevas funciones se ruedan en cada nueva versión de AnyConnect. El último cliente de la movilidad de AnyConnect, versión 3.0, incluye el mismo soporte de los ricos de la característica para SSL VPN e IKEv2.

Preguntas del IPSec VPN

Q. ¿Si quiero utilizar el IPSec, debo utilizar el cliente VPN incorporado del mac o al cliente VPN de acceso remoto de Cisco?

A. Aunque sea posible utilizar a cualquier cliente VPN, las ventajas de cada uno se explican aquí.

Nota: Cisco recomienda que usted utiliza AnyConnect, que permite que usted se aproveche de las cifras y de los adelantos del cifrado de la última generación (NGE) en el protocolo IKEv2.

Cliente VPN del mac

  • + el cliente incorporado de Apple asegura el soporte mientras que el Mac OS se desarrolla.
  • + el cliente es integrado en Mac OS X 10.6 y posterior.
  • más rápidamente configurar como él no requiere la instalación de otra aplicación.
  • No incorporado a Mac OS X 10.5.

Cliente VPN de acceso remoto de Cisco

Q. ¿Cómo configuro al cliente VPN del accesorio del mac?

R.

En Mac OS X 10.6 y posterior:

  1. Elija las preferencias > la red del sistema.
  2. Haga clic el botón de bloqueo para desbloquearlo y realizar los cambios.
  3. Haga clic el signo más sobre el botón de bloqueo desbloqueado para agregar una interfaz.
  4. De la lista desplegable de la interfaz, elija el VPN.
  5. De la lista desplegable del tipo VPN, elija el IPSec de Cisco.
  6. En el cuadro de texto del nombre del servicio, teclee un fácil recordar el nombre de la interfaz tal como “IPSec VPN Corp”.
  7. El Haga Click en OK y entonces selecciona esta nueva interfaz.
  8. Haga clic la nueva interfaz VPN para configurar la interfaz.
    • Dirección IP de la interfaz exterior del headend del servidor Direccionamiento-VPN (IP Address ruteable WAN/publicly)
    • Nombre-nombre de usuario de la cuenta
    • La contraseña de los Contraseña-usuarios de la cuenta
  9. Configuraciones de la autenticación del tecleo.
    • Bajo autenticación de la máquina, haga clic el botón de radio para su mecanismo de autenticación respectivo (clave previamente compartida o autenticación certificada).
    • Si se utiliza una clave previamente compartida que hace juego la clave previamente compartida definida en la cabecera VPN, teclee la clave en el cuadro de diálogo del secreto compartido.
    • Ingrese el nombre del grupo que corresponde con el que está definido en la configuración del EZVPN en la cabecera VPN “grupo de túnel” del dispositivo (ASA, grupo del EzVPN IOS “crypto ipsec client ").

Q. Intenté utilizar al cliente MAC incorporado en el león, pero recibo una discordancía de la fase 2. ¿Qué debo hacer?

R.

Si sus clientes de Microsoft Windows trabajan o sus mac más viejos que utilicen a los clientes VPN de acceso remoto de Cisco trabaje, y solamente el león que las máquinas no parecen poder conectar, después es probable un problema de la discordancía de la fase 2. Usted ve este mensaje de error si usted habilita el “IPSec del debug crypto” en el ASA. Esto esencialmente significa que los conjuntos de la transformación usados probablemente no soportan el cifrado usado por el cliente del accesorio del mac. Para el león, el cliente utiliza el 3DES o el AES. No soporta el DES. Para trabajar alrededor de este problema, conmutar el conjunto de la transformación para utilizar el 3DES totalmente o agregar el múltiplo transforme los conjuntos como se muestra aquí:

crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535
set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
ESP-DES-SHA ESP-DES-MD5

Este problema es causado generalmente funcionando con una versión de software ASA anterior que la versión 8.4. El software posterior ASA viene con todo transforma los conjuntos definidos por abandono, así que la configuración adicional no se requiere para hacer que trabaja.

Q. ¿Hay problemas de compatibilidad con el cliente VPN de acceso remoto de Cisco?

R.

Refiera a las notas de versión de software primero para las guías de consulta de la compatibilidad. Observe los problemas de compatibilidad del error 51 entre el cliente VPN de acceso remoto de Cisco y el corazón 64-bit del mac mencionados más adelante en este documento.

Q. ¿Dónde puedo descargar al cliente VPN de acceso remoto de Cisco?

R.

  1. Abra la página de soporte de Cisco.
  2. Haga clic el software de la descarga.
  3. Elija el > Security (Seguridad) > el Redes Privadas Virtuales (VPN) > los Clientes Cisco VPN > al Cliente Cisco VPN de los Productos.
  4. Elija al Cliente Cisco VPN v4.x.
  5. Elija el Mac OS.

Nota: Liberaron al cliente VPN v5.x solamente para Windows PC. La última versión del mac es v4.9.

Q. Intenté utilizar al Cliente Cisco VPN, pero recibí el error 51. ¿Qué debo hacer?

R.

Refiera al cliente VPN del IPSec de Cisco en MAC OS X genera error 51 del error el “: Incapaz de comunicar con el subsistema VPN”.

Q. ¿El cliente VPN incorporado del mac soporta ESP-NULL transforma?

R.

No, el cliente incorporado no soporta esto transforma el conjunto.

Preguntas SSL VPN

Q. ¿Hay problemas de compatibilidad con el cliente de AnyConnect?

R.

Refiera a las notas de versión de software para las guías de consulta de la compatibilidad. La referencia de la compatibilidad ASA VPN es otra gran referencia. AnyConnect es compatible con cualquier Versión de ASA 8.0 o más adelante y Cisco IOS Release 12.4(15)T o Posterior.

Nota: En agosto 2011, las versiones 3.0.3054 y 2.5.3054 de AnyConnect son compatibles con el león OS X 10.7 del mac. Si usted encuentra un problema, el bug Cisco ID CSCtl43150 de la referencia, CSCtq62860, CSCtr64798, y CSCto09628 (clientes registrados solamente) para las soluciones alternativas/los arreglos.

Q. ¿Dónde puedo descargar al Cliente Cisco AnyConnect VPN?

R.

  1. Abra la página de soporte de Cisco.
  2. Haga clic el software de la descarga.
  3. Elija el > Security (Seguridad) > el Redes Privadas Virtuales (VPN) > a los Clientes Cisco VPN de los Productos.
    • Para la versión 3.0, elija al Cliente de movilidad Cisco AnyConnect Secure.
    • Para las versiones 2.5 y anterior, elija al Cliente Cisco AnyConnect VPN.
  4. Seleccione el paquete necesario para cargar a su ASA. Busque “mac” y “.package” en el nombre de fichero y elija el archivo “.dmg” para el software para instalar directamente en el mac.

Nota: Los nuevos mac todos tienen procesadores de Intel, pero ordenadores más viejos del mac tienen un procesador de PowerPC.  Hay un paquete separado de AnyConnect para cada arquitectura de hardware, así que mucha atención de la paga al nombre del paquete que usted descarga.

Q. Puedo conectar con AnyConnect en Windows, pero no el mac. ¿Por qué no?

R.

Un paquete de software separado de AnyConnect se debe cargar sobre el ASA para cada sistema operativo del cliente que usted soporte. Hay varios errores comunes en los cuales los usuarios se ejecutan cuando hojean al portal del webvpn de un OS sin apoyo e intentan iniciar AnyConnect. Estos incluyen:

  • Paquete de AnyConnect inasequible en el par. Entre en contacto a su administrador de sistema.
  • Paquete de AnyConnect inasequible o corrompido. Entre en contacto a su administrador de sistema.

Nota: Si usted ve el mensaje “el instalador no podía comenzar al Cliente Cisco VPN. ”, hay probablemente problemas de compatibilidad. Más concretamente, las últimas versiones de AnyConnect (por ejemplo, 2.5 y 3.0) no son compatibles con Versiones de ASA anteriores tales como 8.0.3.  Refiera a la referencia de la compatibilidad ASA VPN para más información.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.