Juniper Network Connect si blocca su "Stabilire la sessione sicura" dopo l'aggiornamento a OS X Yosemite

16

So che è una cattiva idea aggiornare un sistema operativo così presto quando si esegue qualsiasi software aziendale, in particolare relativo a sicurezza / VPN ecc.

Ma l'ho fatto! E vorrei evitare il downgrade, se possibile.

Da quando ho effettuato l'aggiornamento a OS X Yosemite, la connessione di rete di Juniper (client VPN) ha smesso di funzionare. Per prima cosa non si avviava. Mi sono reso conto che era a causa del problema di compatibilità Java 7 su Yosemite. Quindi ho aggiornato all'ultima versione di Java 8 (e installato il JDK).

Ora, sebbene Network Connect venga avviato, si blocca al passaggio "Stabilire la sessione sicura". Sembra che la connessione sia stata stabilita (poiché in questo periodo perdo l'accesso a Internet) ma non è possibile creare un tunnel.

Registro di connessione di rete

2014-10-17 19:21:06.144 ncproxyd[p64363.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] DSIPCHandler.info Saving the system routing table: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (handler.cpp:345)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config.info Setting key "ncproxyd_saved_routes" to value "0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000;" in the persistent store (config.cpp:273)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config_macos.info Setting value of ncproxyd_saved_routes to: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (config_macos.objcpp:63)
2014-10-17 19:21:18.821 ncproxyd[p64463.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] DSIPCHandler.info Saving the system routing table:

Nota come ci sono ripetuti tentativi di creare un tunnel, e questo succede continuamente. Ho incollato i registri solo dagli ultimi due tentativi effettuati da Network Connect.

Ho anche provato Junos Pulse in alternativa, è un po 'meglio nel riferire errori. Mostra che esiste una connessione, ma dice "tunnel non abilitato" e non riesco nemmeno a collegarmi a Internet.

La VPN con connessione di rete ha funzionato bene fino a poche ore fa (quando non avevo eseguito l'aggiornamento a Yosemite).

network  vpn  yosemite 
Faraaz Khan
fonte

Risposte:

10

Capito. Primo downgrade di JAVA ad Apple 1.6, come menzionato da Joe L. Farina sopra. Funziona effettivamente in alcune situazioni, ma se il tuo provider VPN supporta solo una versione precedente di Network Connect, continuerà a bloccarsi.

Per risolvere il problema, eseguire sul terminale sul computer quanto segue, quindi riavviare il computer: 

sudo nvram boot-args="kext-dev-mode=1"

Per alcuni utenti potrebbe essere necessario farlo: https://discussions.apple.com/thread/6546349

Aggiornamento: alcune persone hanno chiesto cosa fa il comando sopra e abbastanza. Il comando sopra disabilita sostanzialmente la firma del kext sull'apparecchiatura OS X. La firma Kext è una funzione di sicurezza (firma del codice), che verifica se i driver e altri software installati sul computer sono stati modificati in qualsiasi modo rispetto a quanto originariamente rilasciato dallo sviluppatore dell'applicazione / driver. Le vecchie applicazioni sviluppate per OS X (pre Yosemite) non disponevano di questa funzionalità, poiché la funzionalità è stata introdotta con Yosemite. Presenta un rischio teorico per la sicurezza, ma se sai cosa stai installando e lo fai da fonti autentiche (come l'app store o sviluppatori noti di cui ti fidi), allora dovresti andare bene. Altrimenti astenersi. Per ulteriori informazioni sulla firma kext, consultare: https://developer.apple.com/developer-id/

Faraaz Khan
fonte
Ho visitato questa pagina periodicamente. La soluzione suggerita funziona bene ma non sono riuscito a trovare indizi su cosa kext-dev-modefaccia esattamente . Quindi ho dei dubbi sugli effetti collaterali. Se mi aiuti a capire cos'è veramente, il tuo aiuto è apprezzato.
sceneggiatore
Risposta aggiornata con alcune informazioni sulla firma di kext @scriptmonster. Dovresti anche considerare qualcosa come cindori.org/trim-enabler-and-yosemite se vuoi controllarlo senza linea di comando / riavvii.
Faraaz Khan,
Ignora la parte relativa al controllo senza riga di comando / riavvii sopra, ciò è errato, il link sopra contiene ancora alcune informazioni utili sulla firma kext.
Faraaz Khan,
4

Quindi, ecco cosa ha funzionato per me: disabilitare Oracle Java e ripristinare la versione 6 di RE Java di Apple:

  1. Scarica Apple Java 2014-001 da qui
  2. Eseguilo e installalo
  3. Segui le note qui per disabilitare Java di Oracle e riattivare Java di Apple

Capisco che RE v6 di Apple potrebbe essere meno flessibile ma, per ora, ho fatto in modo che Juniper VPN funzionasse correttamente. Si stava ancora connettendo, ma si disconnetteva ogni paio di minuti.

Se hai bisogno di avere l'ultimo Oracle Java 8.25 in esecuzione fammi sapere - ci sono alcuni passaggi che possono produrre risultati misti, come: scaricare e installare manualmente l'applet Network Connect (dal tuo gateway sicuro), avviando sempre la connessione da all'interno del browser Safari (anziché dall'applet, poiché non si collegherà mai correttamente) e, inoltre, all'interno di Safari / Preferenze / Sicurezza / Consenti plug-in> Impostazioni sito Web impostando Java / il tuo gateway VPN su "Esegui in modalità non sicura" (scegli due volte, altrimenti non verrà registrato).

Joe L. Farina
fonte
Ho provato questi passaggi, ma purtroppo non sembra funzionare per me. Qualche altro suggerimento? Grazie!
Non funziona neanche per me :( Sono in grado di connettermi alla VPN da un laptop Mavericks. Ma su Yosemite si blocca semplicemente. Ho provato anche le altre opzioni menzionate, permettendo al plugin di funzionare in modalità non sicura ecc.
Faraaz Khan
2

Ottieni la tua connessione di rete da https://vpn.gaikai.com/dana-cached/nc/NetworkConnect.dmg

Questo, insieme al suggerimento di Faraaz di riavviare dopo

sudo nvram boot-args="kext-dev-mode=1"

Mi ha risolto il problema

Brian
fonte
La modalità di avvio sicuro non ricostruirà la stessa estensione del kernel della modalità kext-dev?
bmike
1
È un URL sicuro da usare? E se questo fosse un pacchetto compromesso?
nwinkler,
2
@nwinkler, basta sostituire il nome host con il tuo.
Rubens Mariuzzo,
Sì, giusto - ha funzionato una volta effettuato l'accesso. Ho sostituito il nome host con quello della nostra VPN e sono stato in grado di scaricare NetworkConnect.dmg da lì. Non ho ancora provato il riavvio per vedere se risolve il problema di connessione.
nwinkler,
Ho modificato il nome host in questo URL e questo risolve il problema di sicurezza, grazie.
Marek R,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.