Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Клиенты VPN для часто задаваемых вопросов MAC OS X

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ отвечает на часто задаваемые вопросы о решениях Клиента VPN Cisco, доступных на MAC OS X.

Совет: Cisco рекомендует мигрировать на Клиента AnyConnect VPN Client для обоих Уровней защищенных сокетов (SSL), а также IPsec. Встроенный Клиент IPSEC на Mac OS является продуктом Apple, таким образом, любые вопросы/обновления/исправления ошибки и другие проблемы на клиентской стороне должны быть обращены Apple, в то время как клиентом Cisco VPN для удаленного доступа является EOS. Поэтому никакой исправления не будет вставлен для этого клиента.

Внесенный специалистами службы технической поддержки Cisco.

Общие вопросы

Вопрос. Какие опции я имею для обеспечения удаленного доступа Пользователям MAC?

О.

Существует три решения Клиента VPN, которые могут быть внедрены, зависеть от Версии Mac OS.

VPN-клиент
Технология/Протокол

Mac OS X 10.5
Leopard

MAC OS X 10.6
Snow Leopard

MAC OS X 10.7
Lion

MAC OS X 10.8
Пума

MAC OS X 10.9
Индивидуалисты

MAC OS X 10.10
Йосемити
MAC OS X 10.11
El Capitan 
Встроенный VPN-клиент MacIPsec X X X  X  X  X
Клиент IPSEC удаленного доступа CiscoIPsecX X      
Защищенный мобильный клиент Cisco AnyConnect Secure MobilitySSL, IKEv2/IPsecX X X X X  X   X

*MAC OS X 10.5 (Leopard) больше не поддерживается в Выпуске 3.1 AnyConnect. Кроме того, поддержка PowerPC была отброшена в Выпуске 3.0 и позже.
** MAC OS X 10.7 (Lion) поддерживается в Версиях 2.5.3051 и 3.0.3054 AnyConnect и позже.
*** MAC OS X 10.8 (Пума) поддерживается в Версиях 3.0.08057 и 3.1 AnyConnect и позже.
**** MAC OS X 10.11 (El Capitan) поддерживается в Anyconnect 4.1.04011 и позже. Поддержка El Capitan не будет оказана в AnyConnect 3.x как новая поддержка ОС, законченная в июле 2015. См. окончание продаж и Уведомление об окончании срока службы для Версии 3 защищенного мобильного клиента Cisco AnyConnect Secure Mobility. x .

Вопрос. Как я деинсталлирую Cisco VPN Client на MAC OS X?

О.

Для удаления Cisco VPN Client выполните эти шаги:

  1. Введите эти команды, чтобы вычистить старое расширение ядра VPN Cisco и перезагрузить систему.
    sudo -s
    rm -rf /System/Library/StartupItems/CiscoVPN
    rm -rf /Library/StartupItems/CiscoVPN
    rm -rf /System/Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Receipts/vpnclient-kext.pkg
    rm -rf /Library/Receipts/vpnclient-startup.pkg
    reboot
  2. При установке VPN Cisco для пакета Версии MAC 4.9.01.0180 введите эти команды для удаления неуместных файлов. Удаление этих файлов не будет влиять на вашу систему, так как приложения не используют эти неуместные файлы в своем текущем расположении.
    sudo -s
    rm -rf /Cisco\ VPN\ Client.mpkg
    rm -rf /com.nexUmoja.Shimo.plist
    rm -rf /Profiles
    rm -rf /Shimo.app
    exit
  3. Введите эти команды, если вам больше не нужны старый Cisco VPN Client или Shimo.
    sudo -s
    rm -rf /Library/Application\ Support/Shimo
    rm -rf /Library/Frameworks/cisco-vpnclient.framework
    rm -rf /Library/Extensions/tun.kext
    rm -rf /Library/Extensions/tap.kext
    rm -rf /private/opt/cisco-vpnclient
    rm -rf /Applications/VPNClient.app
    rm -rf /Applications/Shimo.apprm -rf /private/etc/opt/cisco-vpnclient
    rm -rf /Library/Receipts/vpnclient-api.pkg
    rm -rf /Library/Receipts/vpnclient-bin.pkg
    rm -rf /Library/Receipts/vpnclient-gui.pkg
    rm -rf /Library/Receipts/vpnclient-profiles.pkg
    rm -rf ~/Library/Preferences/com.nexUmoja.Shimo.plist
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Preferences/com.cisco.VPNClient.plist
    rm -rf ~/Library/Application\ Support/SyncServices/Local/TFSM/com.
    nexumoja.Shimo.Profiles
    rm -rf ~/Library/Logs/Shimo*
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Application\ Support/Growl/Tickets/Shimo.growlTicket
    exit

Вопрос. Каковы Функциональные различия между клиентом Cisco VPN для удаленного доступа и Клиентом AnyConnect VPN Client?

О.

Это выходит за рамки этого документа, но существенно VPN SSL имеет больше функций, чем Клиент VPN программного обеспечения Удаленного доступа Cisco, поскольку это - более новая технология, и новые характеристики включаются в каждый новый выпуск AnyConnect. Последний Клиент Мобильности AnyConnect, Версия 3.0, включает то же, с расширенными возможностями поддерживают и для VPN SSL и для IKEv2.

Вопросы о IPSec VPN

Вопрос. Если я хочу использовать IPsec, я должен использовать встроенный Клиент VPN Mac или клиента Cisco VPN для удаленного доступа?

О. Несмотря на то, что возможно использовать любой Клиент VPN, преимущества каждого объяснены здесь.

Примечание: Cisco рекомендует использовать AnyConnect, который позволяет вам использовать преимущества шифров Шифрования следующего поколения (NGE) и продвижений в протоколе IKEv2.

Клиент VPN Mac

  • + Apple, который встроенный клиент гарантирует поддержке как Mac OS, развивается.
  • + Клиент интегрирован в MAC OS X 10.6 и позже.
  • + Быстрее для настройки, поскольку это не требует установки другого приложения.
  • - Не встроенный в MAC OS X 10.5.

Клиент Cisco VPN для удаленного доступа

Вопрос. Как я настраиваю встроенного VPN-клиента Mac?

О.

В MAC OS X 10.6 и позже:

  1. Выберите System Preferences> Network.
  2. Нажмите кнопку блокировки, чтобы разблокировать ее и внести изменения.
  3. Нажмите знак "плюс"  выше незамкнутой кнопки блокировки для добавления интерфейса.
  4. От Интерфейсного выпадающего списка выберите VPN.
  5. От выпадающего списка Типа VPN выберите Cisco IPSec.
  6. В текстовом поле Имени сервиса введите легкое для запоминания имени интерфейса, такого как 'IPSec VPN Корпорации'.
  7. Нажмите OK и затем выберите этот новый интерфейс.
  8. Нажмите новый интерфейс VPN для настройки интерфейса.
    • IP-адрес внешнего интерфейса ГОЛОВНОЙ СТАНЦИИ VPN АДРЕСА СЕРВЕРА (маршрутизируемый IP - адрес глобальной сети (WAN)/публично)
    • Имя пользователя учетного имени
    • Пароль Пользователя пароля учетной записи
  9. Нажмите Authentication Settings.
    • При Аутентификации компьютера нажмите кнопку с зависимой фиксацией для своего соответствующего механизма аутентификации (предварительный общий ключ или проверка подлинности сертификата).
    • Если предварительный общий ключ, который совпадает с предварительным общим ключом, определенным на головной станции VPN, используется, введите ключ в диалоговое окно Shared Secret.
    • Введите Имя группы, которое совпадает с тем, определенным в конфигурации EZVPN на устройстве головной станции VPN (ASA 'туннельная группа', IOS 'группа ezvpn клиента Crypto IPSEC').

Вопрос. Я пытался использовать встроенного Клиента MAC на Lion, но я получаю несоответствие фазы 2. Какие действия следует предпринять?

О.

Если ваши клиенты Microsoft Windows работают или ваши более старые Macs, которые используют клиентов Cisco VPN для удаленного доступа, работают, и только машины Lion, кажется, не в состоянии соединиться, то это вероятно проблема несоответствия фазы 2. Вы видите это сообщение об ошибках при включении 'debug crypto ipsec' на ASA. Это по существу означает, что наборы преобразований, используемые, вероятно, не поддерживают шифрование, используемое Mac встроенный клиент. Для Lion клиент использует 3DES или AES. Это не поддерживает DES. Для обхождения, эта проблема, или коммутируют набор преобразований, чтобы использовать 3DES полностью или добавить множественные наборы преобразований как показано здесь:

crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535
set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
ESP-DES-SHA ESP-DES-MD5

Эта проблема обычно вызывается путем выполнения выпуска ПО ASA ранее, чем Выпуск 8.4. Более позднее программное обеспечение ASA идет со всеми, преобразовывает наборы, определенные по умолчанию, таким образом, дополнительная настройка не требуется, чтобы заставлять его работать.

Вопрос. Есть ли какие-либо проблемы совместимости с клиентом Cisco VPN для удаленного доступа?

О.

См. Примечания Выпуска ПО сначала для совместимости рекомендации. Обратите внимание на Ошибку 51 проблема совместимости между клиентом Cisco VPN для удаленного доступа и 64-разрядным ядром Mac, упомянутым позже в этом документе.

Вопрос. Где я могу загрузить клиента Cisco VPN для удаленного доступа?

О.

  1. Откройте страницу технической поддержки Cisco.
  2. Нажмите Download Software.
  3. Выберите> Security Products> Виртуальные частные сети (VPN)> клиенты Cisco VPN> Cisco VPN Client.
  4. Выберите Cisco VPN Client v4. x .
  5. Выберите Mac OS.

Примечание: Клиент VPN v5.x был только освобожден для Компьютеров с операционной системой Windows. Последний выпуск Mac является v4.9.

Вопрос. Я пытался использовать Cisco VPN Client, но полученную Ошибку 51. Какие действия следует предпринять?

О.

См. Клиент VPN Cisco IPSec на MAC OS X генерирует ошибку "Ошибка 51: Неспособный связаться с подсистемой VPN".

Вопрос. Встроенный Клиент VPN Mac поддерживает NULL ESP, преобразовывает?

О.

Нет, встроенный клиент не поддерживает этот набор преобразований.

Вопросы о VPN SSL

Вопрос. Есть ли проблемы совместимости с Клиентом AnyConnect?

О.

См. Примечания Выпуска ПО для совместимости рекомендации. Ссылка Совместимости VPN ASA является другой большой ссылкой. AnyConnect совместим с любой Версией ASA 8.0 или позже и Cisco IOS Release 12.4 (15) T или позже.

Примечание: По состоянию на август 2011 Версии 3.0.3054 и 2.5.3054 AnyConnect совместимы с OS X Lion Mac 10.7. Если вы встречаетесь с проблемой, ссылочные идентификаторы ошибок Cisco CSCtl43150CSCtq62860, CSCtr64798, и CSCto09628 (только зарегистрированные клиенты) для обходит/исправляет.

Вопрос. Где я могу загрузить Cisco AnyConnect VPN Client?

О.

  1. Откройте страницу технической поддержки Cisco.
  2. Нажмите Download Software.
  3. Выберите> Security Products> Виртуальные частные сети (VPN)> клиенты Cisco VPN.
    • Для версии 3.0 выберите Cisco AnyConnect Secure Mobility Client.
    • Для версий 2.5 и ранее, выберите Cisco AnyConnect VPN Client.
  4. Выберите необходимый пакет для загрузки к ASA. Ищите 'Mac' и '.pkg' в имени файла и выберите '.dmg' файл для программного обеспечения для установки непосредственно на Mac.

Примечание: Новый Macs у всех есть процессоры Intel, но более старые компьютеры Mac имеют процессор PowerPC. Существует отдельный пакет AnyConnect для каждой архитектуры аппаратного обеспечения, поэтому обратите пристальное внимание на название пакета, который вы загружаете.

Вопрос. Я могу соединиться с AnyConnect в Windows, но не Mac. Почему?

О.

Отдельный пакет ПО AnyConnect должен быть загружен на ASA для каждой клиентской операционной системы, которую вы поддерживаете. Существует несколько распространенных ошибок, с которыми сталкиваются пользователи, когда они переходят к порталу webvpn от неподдерживаемого ОС и пытаются запустить AnyConnect. К этой категории относятся:

  • Пакет AnyConnect, недоступный на Узле. Свяжитесь со своим системным администратором.
  • Пакет AnyConnect, недоступный или поврежденный. Свяжитесь со своим системным администратором.

Примечание: Если вы видите, что сообщение 'Установщик не смогло запустить Cisco VPN Client'. существует, вероятно, проблема совместимости. Более в частности последние версии AnyConnect (например, 2.5 и 3.0) не совместимы с более ранними версиями ASA такой как 8.0.3. См. Ссылку Совместимости VPN ASA для получения дополнительной информации.

Дополнительные сведения



Document ID: 116080