Global protect не подключается mac os
Обновлено: 03.07.2024
Несмотря на все преимущества межсетевых экранов Palo Alto Networks, в рунете не так много материалов по настройке этих устройств, а также текстов, описывающих опыт их внедрения. Мы решили обобщить материалы, накопленные у нас за время работы с оборудованием этого вендора и рассказать об особенностях, с которыми столкнулись в ходе реализации различных проектов.
Для знакомства с Palo Alto Networks в этой статье будут рассмотрены настройки, необходимые для решения одной из самых распространенных задач межсетевого экранирования, — SSL VPN для удаленного доступа. Также мы поговорим о вспомогательных функциях для общей настройки межсетевого экрана, идентификации пользователей, приложений и политик безопасности. Если тема заинтересует читателей, в дальнейшем мы выпустим материалы с разбором Site-to-Site VPN, динамической маршрутизации и централизованного управления с помощью Panorama.
Межсетевые экраны Palo Alto Networks используют ряд инновационных технологий, включая App-ID, User-ID, Content-ID. Применение этого функционала позволяет обеспечить высокий уровень безопасности. Например, с помощью App-ID возможно идентифицировать трафик приложений на основании сигнатур, декодирования и эвристики, вне зависимости от используемого порта и протокола, в том числе внутри SSL-туннеля. User-ID позволяет идентифицировать пользователей сети через интеграцию с LDAP. Content-ID дает возможность сканировать трафик и идентифицировать передаваемые файлы и их содержимое. Среди других функций межсетевых экранов можно выделить защиту от вторжений, защиту от уязвимостей и DoS-атак, встроенный анти-шпион, URL-фильтрацию, кластеризацию, централизованное управление.
Для демонстрации мы будем использовать изолированный стенд, с конфигурацией, идентичной реальной, за исключением имен устройств, имени домена AD и IP-адресов. В реальности все сложнее — филиалов может быть много. На границах центральных площадок в таком случае вместо одного межсетевого экрана будет установлен кластер, также может потребоваться динамическая маршрутизация.
На стенде используется PAN-OS 7.1.9. В качестве типовой конфигурации рассмотрим сеть с межсетевым экраном Palo Alto Networks на границе. Межсетевой экран предоставляет удаленный доступ SSL VPN к головному офису. В качестве базы данных пользователей будет использоваться домен Active Directory (рисунок 1).
Рисунок 1 – Структурная схема сети
- Преднастройка устройства. Задание имени, IP-адреса управления, статических маршрутов, учетных записей администраторов, профилей управления
- Установка лицензий, настройка и установка обновлений
- Настройка зон безопасности, сетевых интерфейсов, политики трафика, трансляции адресов
- Настройка профиля аутентификации LDAP и функции User Identification
- Настройка SSL VPN
1. Преднастройка
Основным инструментом настройки межсетевого экрана Palo Alto Networks является веб-интерфейс, возможно также управление через CLI. По умолчанию у management-интерфейса задан IP-адрес 192.168.1.1/24, login: admin, password: admin.
Изменить адрес можно либо подключившись к веб-интерфейсу из той же сети, либо посредством команды set deviceconfig system ip-address <> netmask <>. Она выполняется в режиме конфигурирования. Для переключения в режим конфигурирования используется команда configure. Все изменения на межсетевом экране происходят только после подтверждения настроек командой commit, как в режиме командной строки, так и в веб-интерфейсе.
Для изменения настроек в веб-интерфейсе используется раздел Device -> General Settings и Device -> Management Interface Settings. Имя, баннеры, часовой пояс и другие настройки можно задать в разделе General Settings (рис. 2).
Рисунок 2 – Параметры интерфейса управления
В случае, если применяется виртуальный межсетевой экран в среде ESXi, в разделе General Settings нужно включить использование MAC-адреса, назначенного гипервизором, либо настроить на гипервизоре MAC-адреса, заданные на интерфейсах межсетевого экрана, либо изменить настройки виртуальных коммутаторов на разрешение изменений MAC-адресов. В противном случае, трафик проходить не будет.
Интерфейс управления настраивается отдельно и не отображается в списке сетевых интерфейсов. В разделе Management Interface Settings указывается шлюз по умолчанию для интерфейса управления. Другие статические маршруты настраиваются в разделе виртуальных маршрутизаторов, об этом будет написано далее.
Для разрешения доступа к устройству через другие интерфейсы необходимо создать профиль управления Management Profile в разделе Network -> Network Profiles -> Interface Mgmt и назначить его на соответствующий интерфейс.
Далее, необходимо настроить DNS и NTP в разделе Device -> Services для получения обновлений и корректного отображения времени (рис. 3). По умолчанию весь трафик, созданный межсетевым экраном, использует в качестве IP-адреса источника IP-адрес интерфейса управления. Назначить другой интерфейс для каждой конкретной службы можно в разделе Service Route Configuration.
Рисунок 3 – Параметры служб DNS, NTP и системных маршрутов
2. Установка лицензий, настройка и установка обновлений
Для полноценной работы всех функций межсетевого экрана необходимо установить лицензию. Можно использовать триальную лицензию, запросив ее у партнеров Palo Alto Networks. Срок ее действия — 30 дней. Активируется лицензия либо через файл, либо с помощью Auth-Code. Настраиваются лицензии в разделе Device -> Licenses (рис. 4).
После установки лицензии необходимо настроить установку обновлений в разделе Device -> Dynamic Updates.
В разделе Device -> Software можно скачать и установить новые версии PAN-OS.
Рисунок 4 – Панель управления лицензиями
3. Настройка зон безопасности, сетевых интерфейсов, политики трафика, трансляции адресов
Межсетевые экраны Palo Alto Networks применяют логику зон при настройке сетевых правил. Сетевые интерфейсы назначаются на определённую зону, и она используется в правилах трафика. Такой подход позволяет в будущем при изменении настроек интерфейсов не менять правила трафика, а вместо этого переназначить нужные интерфейсы в соответствующие зоны. По умолчанию, трафик внутри зоны разрешен, трафик между зонами запрещен, за это отвечают предустановленные правила intrazone-default и interzone-default.
Рисунок 5 – Зоны безопасности
В данном примере интерфейс во внутренней сети назначен в зону internal, а интерфейс, направленный в Интернет, назначен в зону external. Для SSL VPN создан туннельный интерфейс, назначенный в зону vpn (рис. 5).
Сетевые интерфейсы межсетевого экрана Palo Alto Networks могут работать в пяти различных режимах:
- Tap – используется для сбора трафика с целью мониторинга и анализа
- HA – используется для работы кластера
- Virtual Wire – в этом режиме Palo Alto Networks объединяет два интерфейса и прозрачно пропускает трафик между ними, не меняя MAC и IP-адреса
- Layer2 – режим коммутатора
- Layer3 – режим маршрутизатора
В данном примере будет использован режим Layer3 (рис. 6). В параметрах сетевого интерфейса указывается IP-адрес, режим работы и соответствующая зона безопасности. Кроме режима работы интерфейса необходимо назначить его в виртуальный маршрутизатор Virtual Router, это аналог VRF инстанса в Palo Alto Networks. Виртуальные маршрутизаторы изолированы друг от друга и имеют свои таблицы маршрутизации и настройки сетевых протоколов.
В настройках виртуального маршрутизатора указываются статические маршруты и настройки протоколов маршрутизации. В данном примере создан только маршрут по умолчанию для доступа во внешние сети (рис. 7).
Рисунок 7 – Настройка виртуального маршрутизатора
Следующий этап настройки – политики трафика, раздел Policies -> Security. Пример настройки показан на рисунке 8. Логика работы правил такая же, как у всех межсетевых экранов. Правила проверяются сверху вниз, до первого совпадения. Краткое описание правил:
Рисунок 8 — Пример настройки сетевых правил
Для настройки NAT используется раздел Policies -> NAT. Пример настройки NAT показан на рисунке 9.
Рисунок 9 – Пример настройки NAT
Для любого трафика из internal в external можно изменить адрес источника на внешний IP-адрес межсетевого экрана и использовать динамический адрес порта (PAT).
4. Настройка профиля аутентификации LDAP и функции User Identification
Перед подключением пользователей через SSL-VPN необходимо настроить механизм аутентификации. В данном примере аутентификация будет происходить на контроллере домена Active Directory через веб-интерфейс Palo Alto Networks.
Рисунок 10 – LDAP профиль
Для того, чтобы аутентификация работала, нужно настроить LDAP Profile и Authentication Profile. В разделе Device -> Server Profiles -> LDAP (рис. 10) нужно указать IP-адрес и порт контроллера домена, тип LDAP и учетную запись пользователя, входящего в группы Server Operators, Event Log Readers, Distributed COM Users. Затем в разделе Device -> Authentication Profile создаем профиль аутентификации (рис. 11), отмечаем ранее созданный LDAP Profile и во вкладке Advanced указываем группу пользователей (рис. 12), которым разрешен удаленный доступ. Важно отметить в профиле параметр User Domain, иначе авторизация на основе групп не будет работать. В поле должно быть указано NetBIOS имя домена.
Рисунок 11 – Профиль аутентификации
Рисунок 12 – Выбор группы AD
Следующий этап – настройка Device -> User Identification. Здесь нужно указать IP-адрес контроллера домена, учетные данные для подключения, а также настроить параметры Enable Security Log, Enable Session, Enable Probing (рис. 13). В разделе Group Mapping (рис. 14) нужно отметить параметры идентификации объектов в LDAP и список групп, которые будут использоваться для авторизации. Также как в Authentication Profile, здесь нужно задать параметр User Domain.
Рисунок 13 – Параметры User Mapping
Рисунок 14 – Параметры Group Mapping
Последним шагом на этом этапе будет создание VPN-зоны и интерфейса для этой зоны. На интерфейсе нужно включить параметр Enable User Identification (рис. 15).
Рисунок 15 – Настройка VPN-зоны
5. Настройка SSL VPN
Для выпуска сертификата нужно создать запрос на сертификат в разделе Device -> Certificate Management -> Certificates -> Generate. В запросе указываем имя сертификата и IP-адрес или FQDN веб-портала (рис. 16). После генерации запроса скачиваем .csr файл и копируем его содержимое в поле запроса сертификата в веб-форму AD CS Web Enrollment. В зависимости от настройки центра сертификации, запрос на сертификат нужно одобрить и скачать выпущенный сертификат в формате Base64 Encoded Certificate. Дополнительно нужно скачать корневой сертификат центра сертификации. Затем нужно импортировать оба сертификата на межсетевой экран. При импорте сертификата для веб-портала необходимо выделить запрос в статусе pending и нажать import. Имя сертификата должно совпадать с именем, указанным ранее в запросе. Имя корневого сертификата можно указать произвольно. После импорта сертификата необходимо создать SSL/TLS Service Profile в разделе Device -> Certificate Management. В профиле указываем ранее импортированный сертификат.
Рисунок 16 – Запрос на сертификат
Следующий шаг – настройка объектов Glоbal Protect Gateway и Global Protect Portal в разделе Network -> Global Protect. В настройках Glоbal Protect Gateway указываем внешний IP-адрес межсетевого экрана, а также ранее созданные SSL Profile, Authentication Profile, туннельный интерфейс и IP-настройки клиента. Нужно задать пул IP-адресов, из которого будет назначен адрес клиенту, и Access Route – это подсети, к которым будет маршрут у клиента. Если стоит задача завернуть весь трафик пользователя через межсетевой экран, то нужно указать подсеть 0.0.0.0/0 (рис. 17).
Рисунок 17 – Настройка пула IP адресов и маршрутов
Затем необходимо настроить Global Protect Portal. Указываем IP-адрес межсетевого экрана, SSL Profile и Authentication Profile и список внешних IP-адресов межсетевых экранов, к которым будет подключаться клиент. Если межсетевых экранов несколько, можно выставить для каждого приоритет, в соответствии с которым пользователи будут выбирать межсетевой экран для подключения.
В разделе Device -> GlobalProtect Client нужно скачать дистрибутив VPN-клиента с серверов Palo Alto Networks и активировать его. Для подключения пользователь должен зайти на веб-страницу портала, где ему будет предложено скачать GlobalProtect Client. После загрузки и установки можно будет ввести свои учетные данные и подключиться к корпоративной сети по SSL VPN.
Настройка сертификатов, необходимых для prelogon
1. Создание корневого ЦС, промежуточного ЦС и сертификата сервера. Потом выпустим сертификаты для пользователя.
Сертификат сервера потребуется для профиля SSL / TLS
2. Создать профиль SSL / TLS в разделе «Device»> «Управление сертификатами»> «Профиль службы SSL / TLS», ссылаясь на созданный выше «сертификат сервера». Для тестов используем TLSv1.0
4. Создадим туннельный интерфейс в разделе Сеть> Интерфейсы> Туннель . Там укажим номер туннеля, виртуальный маршрутизатор и зону безопасности. Также создадим отдельную зону для VPN-трафика, поскольку это обеспечивт большую гибкость при тестировании.
1. Настраиваем портал GlobalProtect
Зададим имя порталу и выберем интерфейс, который послужит порталом из выпадающего списка.
6. Вкладка Аутентификация .
а. В разделе «Профиль службы SSL / TLS» в раскрывающемся списке выберите профиль SSL / TLS, созданный на шаге 2.
б. Аутентификация клиента > Добавить . Дайте ему любое имя, оставьте ОС на «Any».Под профилем аутентификации выберите профиль аутентификации, созданный на шаге 3. Выберем Профиль сертификата в самом нижнем поле.
с. Нажмите ОК, чтобы сохранить.
7. Пользователи могут входить на портал следующими способами:
• Портал содержит «профиль сертификата», но «нет» аутентификационных файлов cookie
• Портал «не» содержит «профиль сертификата», но имеет «cookie-файлы авторизации».(В этом случае пользователь должен установить самое первое соединение GP, которое создаст два файла cookie: один для пользователя и другой для предварительного входа в систему. С этого момента предварительный вход будет работать.
• Портал содержит как «профиль сертификата», так и «cookie-файлы авторизации».
В ходе тестирования был выделен следующий рабочий вариант выше.
8. Вкладка «Agent»
Требуются две клиентские конфигурации, одна для предварительного входа в систему и вторая для любых пользовательских групп.
Для каждой конфигурации необходимо установить доверенные сертификаты. Далее рассмотрим настройки каждой конфигурации.
Pre-logon config Добавить новый клиентский конфиг
а. Вкладка Аутентификация.
д. Вкладка App
В раскрывающемся списке «Метод подключения » выберите « Pre-logon (всегда включен) ». А также выберем использовать единый вход – ДА.
е. Нажмите OK, чтобы сохранить.
Конфигурация клиента для пользователей Copy prelogon config создадим копию конфига. Затем заменим следующие значения:
б. Вкладка «Пользователь / группа пользователей». Выберите «любой» из выпадающего списка или добавьте определенных пользователей / группы пользователей.
После сохраним и закроем конфигурации портала.
Настроим профиль сертификата клиента
Импортируем сюда корневой сертификат и промежуточный.
Профиль сертификата определяет список CA и промежуточных CA. Когда этот профиль сертификата применяется к конфигурации, портал / шлюз отправляет клиенту запрос сертификата клиента, чтобы запросить сертификат клиента / компьютера, подписанный CA / промежуточным CA, указанным в профиле сертификата. Рекомендуют размещать в этом профиле как корневой, так и промежуточный центры сертификации, а не только корневой центр сертификации. Реально работает только с промежуточным сертификатом!
Используется отдельный сертификат для пользователя и отдельный для машины. Соответственно для конфигурации с Pre-logon используем сертификат машины, а для user-logon сертификат пользователя.
(необязательно) Проверьте CRL или OCSP, если порталу / шлюзу необходимо проверить состояние отзыва сертификата клиента / компьютера с помощью CRL или OCSP.
Поле имени пользователя по умолчанию установлено на «Нет», в типичной настройке, где имя пользователя извлекается из аутентификации ldap
Настроим шлюз GlobalProtect
8. Перейдите в Сеть> GlobalProtect> Шлюзы> Добавить. Общие .
Зададим имя шлюзу и выберем интерфейс, который служит шлюзом из выпадающего списка.
9. Вкладка Аутентификация. Похожую настройку делали для портала ранее. Здесь для шлюза.
а. В разделе «Профиль службы SSL / TLS» в раскрывающемся списке выберите профиль SSL / TLS, созданный на шаге 2.
б. Аутентификация клиента> Добавить. Дайте ему любое имя, оставьте ОС на «Any». Под профилем аутентификации выберите профиль аутентификации, созданный на шаге 3.
с. Выберите созданный выше профиль сертификата из выпадающего
д. Нажмите OK, чтобы сохранить.
Переопределение аутентификации : установите флажки « Создать cookie для переопределения аутентификации» и «Принять cookie для переопределения аутентификации». Этот файл cookie может быть зашифрован / дешифрован с использованием любого сертификата, выбранного из раскрывающегося списка «Сертификат для шифрования / дешифрования cookie ».
Примечание . Если сертификат был выбран на шаге 7 в разделе «Портал», этот же сертификат необходимо выбрать здесь в разделе «Сертификат для шифрования / дешифрования cookie» шлюза.
е. Вкладка «Пользователь / группа пользователей». Оставим ОС и группу пользователей «Any»
Если из выпадающего списка выбрана группа, убедитесь, что пользователь GlobalProtect является частью этой группы, в противном случае клиент НЕ будет получать IP-адрес от шлюза.
е. Сетевые настройки.
Под «Ip-пулом»:
Шлюз GlobalProtect будет назначать IP-адреса из этого пула клиентам. Укажим один или несколько диапазонов пулов IP, которые НЕ перекрывают ни одну из существующих сетей в организации.
Вы можете добавить второй диапазон пулов IP для резервного копирования, который будет полезен в случаях, когда пользователь подключает Wi-Fi, который предоставляет тот же диапазон пулов IP, что и ваш основной пул IP.
г. Доступ к «маршруту» . Это определяет, какие подсети могут быть доступны клиентам GP после их подключения к шлюзу.
значение 0.0.0.0/0, т.е. весь трафик от клиента GP будет вынужден проходить через туннель GP.
Для раздельного туннелирования : укажите необходимые внутренние подсети, такие как 10.0.0.0/8, 192.168.x.0 / 24 и т. Д., Чтобы клиент GP использовал туннель для доступа только к этим подсетям. Все, что находится за пределами этих подсетей, будет доступно напрямую из локальной сети клиента, это называется разделенным туннелированием.
Для сохранения и закрытия настроек шлюза GP нажмем два раза ОК.
11. Создадим политики безопасности и NAT для вновь созданной зоны VPN, чтобы предоставить доступ соответствующим образом .
12. Закоммитем изменения.
Установка сертификата клиент / машина в конечный клиент
Это предварительный вход в систему, поэтому нам нужно использовать «машинный» сертификат.
При импорте сертификата компьютера импортируйте его в формате PKCS, который будет содержать его закрытый ключ (необходим пароль).
При установке на конечной точке потребуется корневой и промежуточный сертификат.
Windows 10/7
Протестировано на обоих версиях ОС. Официально поддержки с ВИН7 больше нет, прелогон больше не поддерживается, работает только агент для подключения к порталу.
1. Нажмите Пуск> Выполнить, введите mmc, чтобы открыть консоль управления сертификатами Microsoft.
2. Перейдите в Файл> Добавить / Удалить оснастку
3. Нажмите Сертификаты> Добавить и выберите один или оба из следующих:
а. Чтобы добавить сертификат устройства (устройства) , выберите « Учетная запись компьютера ». Это используется для « предварительной регистрации », поскольку она аутентифицирует машину .
4. Импортируйте машинный сертификат в MMC. Для импорта сертификата машины импортируйте его в «Личную» папку в разделе «Учетная запись компьютера».
5. Аналогичным образом импортируйте корневой ЦС в «Доверенные корневые центры сертификации и промежуточные ЦС (если есть) в« Промежуточные центры сертификации ».
6. После импорта дважды щелкните импортированный сертификат машины, чтобы убедиться, чтоу него есть закрытый ключ и его цепочка сертификатов заполнена до корневого центра сертификации . Если в цепочке отсутствует корневой ЦС или промежуточный ЦС, импортируйте их в соответствующие папки, как описано в шаге 5.
7. На этом этапе сертификаты импортируются на клиент, вы можете закрыть консоль MMC, не сохраняя ее.
6. Выйдите из системы с этого компьютера, чтобы смоделировать ситуацию перед входом в систему.
7. На межсетевом экране шлюза вы увидите подключенного пользователя перед входом в систему.
Как использовать GlobalProtect для VPN-подключения в системе Linux (Ubuntu) (в качестве примера рассмотрим Beijing Post)
GlobalProtect - это программное обеспечение VPN, которое может подключаться к шлюзу GlobalProtect на брандмауэре следующего поколения Palo Alto Networks. В настоящее время многие колледжи и университеты используют GlobalProtect в качестве основного способа доступа к внутренним ресурсам за пределами школы. Однако GlobalProtect предоставляет только установочные пакеты для версии Windows и Mac, ни один из которых не может работать в Linux. Официальный сайт показывает, что GlobalProtect может работать только на следующих операционных системах: Android / Windows / Mac. Так как система Linux, как использовать GlobalProtect? Через тест редактор наконец нашел способ похвалить меня
Видно, что GlobalProtect использует протокол IPSec, поэтому редактор сначала попытался подключиться, напрямую развернув этот протокол в Linux, используя VPNC для подключения, но кажется, что в GlobalProtect нет пары конфигурации или есть какая-то проверка, результат подключения был Ответа нет, но шлюз портала можно пропинговать, я не знаю, что пошло не так.
Информация о конфигурации выглядит следующим образом:
ВотUbuntu 16.04 Системное соединениеПекинская почтаВозьмем пример, иллюстрирующий шаги связывания. Другие версии системы не были протестированы, но процесс работы другой. Если у вас возникли проблемы, вы можете обратиться за помощью в Google.
Экологическая установка
Во-первых, нам нужно установить openconnect, вот два метода:
Первый способ - стандартная установка. После добавления ppa установите непосредственно. Конкретные команды:
Второй способ - использовать существующий исходный код в git для установки. Возможно, первый способ вызовет проблемы у многих людей. Рекомендуется использовать второй метод для установки. Конкретные шаги заключаются в следующем:
(1) Загрузите и скомпилируйте openconnect, команды:
(2) Создайте новый файл vpnc-script в каталоге / etc / vpnc / (вы также можете перейти на другие пути, но не забудьте заменить путь к файлу в следующих командах)
Откройте вышеуказанную веб-ссылку и скопируйте все содержимое в только что созданный файл vpnc-script, как показано на рисунке ниже:
(4) Измените разрешение только что созданного файла, иначе будет сообщено об ошибке: разрешение отклонено
На этом этапе все настройки среды завершены.
Запустите openconnect
Затем следуйте инструкциям и введите имя пользователя и пароль для последовательного подключения к GlobalProtect:
Если это похоже на рисунок выше, это означает, что соединение с GlobalProtect установлено успешно. Тест выглядит следующим образом:
Каждая новая версия macOS всё сильнее ужесточает правила безопасности и затрудняет загрузку системных расширений. Я довольно давно пользуюсь OpenVPN туннелями и до macOS Sierra включительно, Tunneblick мог автоматически загружать свои системные расширения без лишних вопросов.
В High Sierra, Mojave или Catalina для подключения к VPN нужно было подтвердить разрешение на загрузку системных расширений Tunneblick в системных настройках macOS в разделе «Безопасность и конфиденциальность».
Дело в том, что Tunnelblick использует специальный драйвер для работы Tap VPN, так как в macOS нет встроенного драйвера устройства Tap. Для Tun подключений загружать свой собственный драйвер, как правило не требуется, так как в системе уже имеется встроенный драйвер устройства "utun" и большинство конфигурационных файлов OpenVPN с ним прекрасно работают.
С выходом macOS Big Sur нельзя разрешить загрузку сторонних системных расширений, в том числе и загрузку драйвера Tap Tunneblick, а без этого данный тип подключений не работает.
На сайте разработчика написано как можно обойти данное ограничение системы, но потребуется отключить функцию защиты целостности системы System Integrity Protection (SIP).
Что касается меня, то было решено перенастроить работу OpenVPN сервера на работу через Tun, тут главное разобраться с маршрутизацией трафика, однако у подобного изменения есть и свои недостатки по сравнению с мостом (Tap интерфейс). Подробнее о настройке OpenVPN сервера в режиме Tun расскажу в следующей статье.
Как заставить работать OpenVPN Tunnelblick с Tap устройствами в macOS Big Sur?
Сразу оговорюсь, что отключение защиты целостности системы SIP macOS Big Sur делает ваш компьютер менее безопасным и Tap OpenVPN будет работать только на Intel Mac. Для новых компьютеров Apple с чипом M1 нужно ждать следующих обновлений от разработчиков Tunnelblick.
Итак, проверить активирована ли функция защиты целостности в вашей системе можно следующей командой:
$ csrutil status
System Integrity Protection status: enabled.
Чтобы её отключить, перезагружаем компьютер в режиме восстановления (Command + R), запускаем Терминал и пишем следующую команду:
После чего перезагружаем компьютер в обычном режиме и Tunnelblick должен начать работать. Включить обратно функцию защиты целостности системы можно командой csrutil enable, загрузившись снова в режим восстановления.
Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Читайте также: