Cisco anyconnect mac os не подключается

Обновлено: 05.07.2024

Добрый день! Возникла такая же проблема с Cisco Anyconnect на нескольких ПК. На версии annyconnect 4.7 постоянный рекконект, на версии 4,8 вообще не подключается. Шлюз сбрасывает соединение. Отключение ICS не помогло. В чём еще может быть причина?

Вложения

Surf_rider

Администратор

После ядерного апокалипсиса останутся только тараканы и Кит Ричардс

Apossum

Участник

Komissar

Почетный гость

К сожалению сказать не могу. Anyconnect используется для подключения к vpn мосрег. Там сотрудники обрабатывают письма и жалобы от населения. Из мосрега только присылают логин и пароль на вход. В тех поддержку мосрега обращались, они ничем помочь не смогли. Проблема возникла около недели назад только на нескольких пк.

Apossum

Участник

Инструкция по подключению VPN Вы по ней настраивали ? Если исключить вероятность плохого или низкоскоростного интернета то тут только им писать в . Так все что угодно может быть. Можно попробовать поставить на другом компе и посмотреть будет ли ошибка. Еще можно посмотреть журнал вашего ПК - пуск выполнить - eventvwr.msc , может там что то более конкретное будет

Komissar

Почетный гость

Настраивалось по инструкции и больше года все нормально работало. И вот около недели назад начались проблемы на нескольких пк, не на всех. Если ставить на свежий, чистый комп, где раньше anyconnect не было, то работает, если поставить приложение anyconnect на телефон, то тоже работает. Проблема получается именно в пк, шлюзу что-то не нравится и он сбрасывает соединение. Пробовал и из разных сетей, и из домена выводил, и адаптеры сетевые отключал/удалял/переустанавливал, проблема остается. Помогает только переустановка винды. Но это не выход. Хотелось бы разобраться в чем причина.

Была проблема: имеется компьютер с macos 10.15 Catalina
1. Пробовал подключиться к корпоративному VPN c помощью Cisco Any Connect c помощью рутокен S
2. Драйвер установил, пробую подключиться - Cisco ругается что "No valid certificates avalaible for authentication"
3. Нашел на вашем сайте, что рутокен S под macos не работает с Cisco AnyConnect, поменял на работе на рутокен ЕЦП 2.0.
4. Установил драйвер рутокен ЕЦП 2.0.
5. Попытка соединения, ошибка та же: Cisco ругается что "No valid certificates avalaible for authentication"

Решил проверить через сайт ключ под виндой - пишет зашит RSA ключ.
Решил проверить чтение RSA ключей под мак - sc_auth identities - не выводит ничего, хотя должен,
так как коллега с мак написал что у него выводит на своем токене: код ФИО токен.

Написал в техподдержку своей компании - выдали:
Необходимо получить токен ЭЦП 2.0, скачать дарйвера Рутокен для macOS,
запустить драйвер, откроется окно "Система сконфигурирована".
После это вставить токен.
Система может предложить создать пару (выскочит предупрежедние). нажать ОК и ввести пин-код.
Далее запустить Cisco AnyConnect и подключить VPN. Для подулючения к ПК использовать ПО Microsoft Remote (скачать из AppStore).

Отметил что у меня система не предлагала создать пару и не было окошка ввода пин кода.
Пробовал отключать брандмауер не помогает.

В итоге решил так - снес вручную драйвер Rutoken S, перезагрузка, и все заработало,
и ключевая пара нашлась и sc_auth identities и cisco заработала.

Вывод: драйвера Rutoken S и Rutoken ЭЦП 2.0 одновременно стоять на mac не могут - верно ?

Ксения Шаврова
Администратор
Неактивен

Нашел на вашем сайте, что рутокен S под macos не работает, поменял на работе на рутокен ЕЦП 2.0.

Уточните, пожалуйста, где вы нашли эту информацию?
Рутокен S работает под macOS. Иначе бы не было бы драйверов на нашем сайте. Но с Cisco, действительно Рутокен S работать не будет, потому что для Cisco требуется аппаратная криптография, которой нет в этой модели.

Решил проверить чтение RSA ключей под мак - sc_auth identities - не выводит ничего, хотя должен,
так как коллега с мак написал что у него выводит на своем токене: код ФИО токен.

Скорее всего, Рутокен ЭЦП 2.0 не отображался в системе как смарт-карта.
Очень интересно было бы узнать видно ли было устройство в окне "Информация о системе" и в Terminal после ввода команды pcsctest.

В итоге решил так - снес вручную драйвер Rutoken S, перезагрузка, и все заработало,
и ключевая пара нашлась и sc_auth identities и cisco заработала.
Вывод: драйвера Rutoken S и Rutoken ЭЦП 2.0 одновременно стоять на mac не могут - верно ?

Есть два предположения, возможно, требовалось переподключить Рутокен ЭЦП 2.0 или перезагрузить компьютер и всё должно было заработать.
Драйверы для Рутокен S и Рутокен для macOS могут быть установлены одновременно.

Добрый день Ксения,
1) По пункту
Нашел на вашем сайте, что рутокен S под macos не работает, поменял на работе на рутокен ЕЦП 2.0.
Уточнил
3. Нашел на вашем сайте, что рутокен S под macos не работает с Cisco AnyConnect, поменял на работе на рутокен ЕЦП 2.0.
2) Отвечаю
Скорее всего, Рутокен ЭЦП 2.0 не отображался в системе как смарт-карта.
Очень интересно было бы узнать видно ли было устройство в окне "Информация о системе" и в Terminal после ввода команды pcsctest.
Токен был виден в системе "Информация о системе" и в Terminal после ввода команды pcsctest проходил все тесты успешно, и ваш веб сервис через плагин в FireFox успешно отображал RSA ключ.
3) По этому пункту
Есть два предположения, возможно, требовалось переподключить Рутокен ЭЦП 2.0 или перезагрузить компьютер и всё должно было заработать.
Пробовал и перезагружаться и менять usb порты, не помогало, пока не снес вручную драйвер Рутокен S -
/usr/local/libexec/SmartCardServices/drivers/отсюда
И перезагрузился.

Ксения Шаврова
Администратор
Неактивен

Спасибо за подробное описание.
Нам бы очень хотелось разобраться в проблеме. Никогда ранее мы не сталкивались с подобной ситуацией.
Попробовали воспроизвести у себя описанное, но не получилось.
Вы можете для теста попробовать установить Драйверы для Рутокен S и проверить перестанет ли работать Рутокен ЭЦП 2.0? Будем признательны.

я попробовал установить драйвер Rutoken S после драйвера Rutoken ЭЦП,
при установке был вопрос - перезатереть файл - я ответил да.

После этого Рутокен ЭЦП перестал работать.
Удалил из приложений Рутокен.
Поставил драйвер Рутокен ЭЦП - Все заработало.

Ксения Шаврова
Администратор
Неактивен

Ксения Шаврова
Администратор
Неактивен

Lev, из отдела тестирования так же получаем комментарии, что проблема не воспроизводится.
Правильно ли я понимаю, что неработоспособность Рутокен ЭЦП проявляется только в том, что при наличии Драйвера для Рутокен S "Cisco ругается что "No valid certificates avalaible for authentication"?

Cisco AnyConnect Secure Mobility Clientэто решение VPN широко используется компаниями, чьи сотрудники нуждаются доступ к ресурсам и приложениям компании с мобильных устройств. Ноутбуки, смартфоны, планшеты и т. Д.
Cisco AnyConnect упрощает безопасный доступ к конечным точкам и обеспечивает безопасность, необходимую для защиты вашей организации или компании.
Очень полезное решение также в ситуациях, когда работа на дому становится необходимостью, и сотрудники должны работать, чтобы получить доступ к инфраструктуре компании через VPN в условиях максимальной безопасности.

Теоретически, это решение VPN (виртуальная частная сеть) должно бесперебойно работать в любой беспроводной или мобильной сети 4G / 3G, независимо от используемого маршрутизатора.
Многие пользователи Cisco AnyConnect столкнулись проблемы с подключением к инфраструктуре компании, когда мобильное устройство подключено к беспроводной сети, поддерживаемой маршрутизатором Apple Базовая станция AirPort Extreme или Time Capsule.

В большинстве случаев эта проблема возникает, если маршрутизатор неправильно активирован или настроен IPv6 общее соединение, Чтобы включить эту опцию и сделать возможным подключение Cisco AnyConnect, вам потребуется доступ к приложению AirPort-Утилиты, чтобы внести незначительные изменения в конфигурацию вашего маршрутизатора.

Как решить «Cisco AnyConnect не подключается к Apple Маршрутизатор AirPort »

1. открытый Утилита AirPort и мы аутентифицируем себя.

2. В приложении мы идем Интернет → Свойства браузера.

3. Конфигурация IPv6 задавать "Только локальная ссылка

4. "Сохраните"А"Обновить Settings».

Подождите, пока роутер уйдет restarta, после чего вы можете подключиться со своего мобильного устройства через Cisco AnyConnect.

Еще одна конфигурация, в которой мы работали:

Настройка IPv6: Автоматически
Режим IPv6: Родной
Включить общий доступ к соединению IPv6.

Если вышеуказанные настройки не работают, пожалуйста, оставьте нам комментарии.

Wireless Comprehensive Advanced Technology. Build your network now.

Прошу снова помочь, вчера поменял старый роутер на вновь купленный, проблему спец символов в пароле с вашей помощью победил.

Сегодня внезапно новая проблема, дочь с ноутом не может подключиться к рабочей VPN сети через Cisco AnyConnect

На роутере ничего не настраивал кроме PPPoE и DHCP

Сегодня внезапно новая проблема, дочь с ноутом не может подключиться к рабочей VPN сети через Cisco AnyConnect

На роутере ничего не настраивал кроме PPPoE и DHCP

Последний раз редактировалось 30/07/2020, 21:14 : sfstudio

При подключении кабелем, всё работает без проблем., отключил Шифрование управляющих фреймов (PMF)в настройках WiFi, без вопросов заработало!

Если PMF включено Cisco софт не может получить IP адрес.

Интересно что скажете? Корпоративный ноут Лабаратории Касперского с полной лицензией на всё установленное ПО

Если PMF включено Cisco софт не может получить IP адрес.

Последний раз редактировалось 29/07/2020, 20:38 : Plohish

Может пригодится инфа - у меня древний планшет на кастомной Вин-10, подключенный через wifi-5 с pmf, соединяется через Cisco AnyConnect и отлично работает. Правда прошивку полторы недели не обновлял.

Спасибо, а Cisco AnyConnect может иметь какую нибудь настройку для корректной работы с PMF ?

какой Режим безопасности и WPA алгоритм используете? хорошо бы скрин настроек

Последний раз редактировалось 30/07/2020, 00:42 : Plohish

По идее, pmf это на уровне физического канала, на уровень ip он вообще никак не должен влиять. Так что конечно никаких настроек на эту тему нет в cisco.

На роутере настроено все по дефолту - wpa2-psk с вкл pmf

На планшете в anyconnect тоже ничего вообще не настраивал, кроме адреса, логина и пароля.

Если pmf клиентом не поддерживается - вообще не подключится. Если поддерживается - то дальше уже он никак на ip влиять не может, теоретически. Ждем магию sfstudio

На роутере настроено все по дефолту - wpa2-psk с вкл pmf

На планшете в anyconnect тоже ничего вообще не настраивал, кроме адреса, логина и пароля.

На этом планшете у меня другой прикол - если pmf активен, то подключиться могу только к 5 ггц, на 2 не пускает, и это тоже какая то мистика.

Скажу что обращайтесь к поставщику ноута.

Могу ещё пример подкинуть. Iphone XS в обновлениях сломали работу WPA2+PMF зато заработал WPA3 где PMF обязателен. А на WPA2 без PMF терь маты стоят что не безопасно.

Со следующих версий дефолтовый режим будет WPA2/3 PSK + PMF capable. И эта музыка будет ещё долго длиться пока пльянс и все вендоры не подтянут логику на своих клиентах.

Было лет 8мь у вендоров клиентских устройств что бы это сделать до того как PMF стал обязательной частью WPA (начиная с 3), никто не почесался.

Скажу что обращайтесь к поставщику ноута.

Скажу что обращайтесь к поставщику ноута

Сам ноут без проблем штатными средствами подключается! Не подключается при помощи программы Cisco AnyConnect

Скажу что обращайтесь к поставщику ноута

Сам ноут без проблем штатными средствами подключается! Не подключается при помощи программы Cisco AnyConnect

Подскажите вашу версию cisco

PMF работает не поверх физики хоть и ниже IP. Но any connect это не просто VPN, а такая вещь в себе лезущая к радиомодулю напрямую. И в зависимости от связки конкретного модуля на клиенте и версии any connect меняются и чудеса последнего.

Ну как пример конкретно по PMF

Последний раз редактировалось 30/07/2020, 08:32 : sfstudio

Кстати попробуйте да, таки включить WPA2/3 mixed + PMF capable со стороны роутера, вполне возможно циска накосячила аналогично яблофонам или вообще накосячил броадком в дровах у себя (радио у вас какое стоит в ноуте?) и те же чудеса что и на iphone XS в итоге вылезли, что PMF у них терь работает только в паре с WPA3 и только 256 бит вариант.

Я так понимаю это снизит совместимость остальных устройств? WPA3 это ещё более новая вещь и ее поддерживают ещё меньше устройств?

Нет Mixed режим на то и Mixed что подключаться могут и WPA2 и WPA3 клиенты. А WPA3 Only специально пока в UI не выносили.

Переключение в Mixed позволит "новым устройствам" работать в режиме WPA3. На самом деле вопрос поддержки WPA3 на клиентском оборудовании лежит в ключе их драйверов и только.

Как и поддержка PMF и прочего.

PMF Capable так же разрешает устройствам без поддержки PMF работать без PMF а тем кто умеет использовать PMF.

Т.е. если реализации на клиентах нет - будет использоваться конрктено для них более старый вариант.

Проблема возникает тогда когда клиент заявляет и запрашивает режим с PMF, а по факту пытается работать без и наоборот. Чистой воды глюк клиентской стороны.

И репортить нужно вендорам клиентов на эту тему дабы починили и если просят соединение с PMF то и использовали PMF как то определено в "стандарте".

Нет Mixed режим на то и Mixed что подключаться могут и WPA2 и WPA3 клиенты. А WPA3 Only специально пока в UI не выносили.

Как и поддержка PMF и прочего.

PMF Capable так же разрешает устройствам без поддержки PMF работать без PMF а тем кто умеет использовать PMF.

Т.е. если реализации на клиентах нет - будет использоваться конрктено для них более старый вариант.

macOS использует anyconnect. Times AnyConnect не может подтвердить, что он подключен к вашему защищенному шлюзу. Локальная сеть

При использовании annyconnect в macOS anyConnect не может подтвердить, что он подключен к вашему защищенному шлюзу. Локальная сеть может быть ненадежной. Попробуйте другую сетевую ошибку, или любая попытка подключения к подключению не удалась. Этот метод подходит для ubuntu и macos

AnyConnect cannot confirm it is connected to your secure gateway. The local network may not be trustworthy. Please try another network.

Официальное объяснение

Another user has logged into your computer, and only one user is allowed. The VPN
connection has been disconnected. Close all sensitive networked applications.
Description AnyConnect disconnected from the VPN because another user logged into the local console, the AnyConnect client profile Retain VPN on Logoff parameter is enabled, and the associated User Enforcement parameter is set to “Same user only.” Thus, the client is configured to retain the VPN connection following the logoff of the local console user, and to disconnect from the VPN if a different user logs into the local console. The different user was not authenticated by the secure gateway for access to the private network, so the VPN connection has been disconnected to ensure the protection of the private network.
Recommended User Response Ask the unauthenticated user to log off, then try a new VPN connection.

Это означает, что сертификат не может быть использован, когда шлюз безопасности подключен; локальное хранилище сертификатов ExcludeMacNativeCertStore по умолчанию является ложным;

Скриншот файла AnyConnectLocalPolicy.xml cisico anyconnect

Решение

Измените стратегию связи cisco anyconnect на этот раз, конкретный метод работы выглядит следующим образом:

В основном смотрите:

Проверка эффекта

Переподключите после модификации, проблема решена!

Читайте также: