As conexões do Cisco VPN Mac OSX falham quando conectadas ao iPhone Personal Hotspot

Navegue suas respostas
2

Frequentemente trabalho remotamente, fora do alcance do WiFi e confio simplesmente em vincular meu Mac ao meu iPhone para acesso à Internet. Isso funciona muito bem, exceto que não consigo me conectar a uma rede VPN do Cisco AnyConnect do meu cliente usando meu Mac quando conectado ao iPhone. Eu passei três anos procurando vagamente por uma solução e as últimas 48 horas tentando solidamente, ficaria muito grato por ajuda.

Para ficar claro:

  • MacOSX conectado ao Anyconnect VPN via internet wifi funciona bem.
  • MacOSX conectado à VPN via cabo a um Samsung S7 LTE funciona bem
  • O MacOSX conectado à VPN via cabo a um iPhone , por meio do Lighting USB ou Wifi não funciona

Por "não funciona", quero dizer que não tenho acesso à Internet (chrome exibe DNS_PROBE_FINISHED_NO_INTERNET ao acessar qualquer site.) O acesso à Internet é restaurado ao desconectar a VPN.

Também é interessante:

  • VPN do Windows 10, conectado através de qualquer um dos itens acima (WiFi, Samsung, iPhone) funciona bem tanto com um Macbook rodando Win10, quanto com um Surface 3. Isso implica que se as portas forem bloqueadas pelo iPhone Personal Hotspot, é um problema para o cliente Windows, mas é para o cliente AnyConnect OSX.
  • VPN Diretamente no iPhone (via Cisco AnyConnect iOS App funciona bem), mas não altera a incapacidade de conectar meu mac.

Coisas que já experimentei:

  • Eu tentei configurar o MacOSX com suporte a Cisco VPN nas configurações de rede da Apple, mas não vejo onde meu arquivo de perfil está armazenado para permitir a especificação de um nome de grupo ou senha (seguindo instruções para encontrar um arquivo PCF em / opt / cisco etc). Para ser claro, eu confirmei que em um Surface 3 limpo, tudo o que é necessário é baixar o instalador Cisco VPN do site da empresa e especificar remote.companyname.com como o servidor em AnyConnect. Eu nunca baixo um arquivo de certificado pessoal ou semelhante do qual uma chave de grupo pode ser descriptografada. Há mais instruções atualizadas sobre como fazer isso? Posso confirmar que em um se um nome de grupo / senha estiver disponível, a empresa se recusou a fornecê-lo, e não entendo por que o OpenConnect (abaixo) seria capaz de se conectar sem ele, se necessário.

  • Eu tentei conectar usando o OpenConnect instalado via Macports, que parecia autenticar corretamente (incluindo a autenticação de 2 fatores da empresa via Duo Push), mas não tenho DNS para sites internos (jira confluence etc.). o resultado é diferente de outras conexões com falhas que eu tenho acesso à Internet mais ampla.

  • Algumas páginas da Web indicam que as portas UDP usadas pelo IPSec estão bloqueadas no ponto de acesso pessoal IPhone. No entanto, não consigo encontrar nenhuma opção em anyConnect para voltar ao TCP, como sugerido. Talvez o fato de que o cliente Windows AnyConnect funcione implica que ele faz isso automaticamente?

  • Eu não liguei para minha operadora de celular, pois as conexões VPN do Windows funcionam comprovadamente via cabo para o iPhone.

Eu tenho procurado uma solução para isso por 3 anos. Atualmente, minha melhor solução é um Microsoft Surface que eu mantenho (atualizar o Confluence / JIRA de um iPhone é inconveniente). A Internet está cheia de perguntas vagas sobre isso nos últimos 6 anos, então eu tentei ser tão específico quanto possível.

(Originalmente postado no ServerFault, onde foi colocado em espera e me disseram para postar aqui. Desculpe. Eu sou um engenheiro, então se você precisar me pedir para explicar mais ou testar algo, eu ficarei feliz em relatório de volta.)

    
por Alex Ferrier 05.08.2016 / 00:41

1 resposta

0

Parece que outros enfrentaram esse problema e conseguiram solucionar o problema desativando a funcionalidade do IPv6 nos dispositivos afetados por esse problema.

Nos casos em que um dispositivo usa apenas IPv6 ou não pode ser forçado a usar o IPv4, você pode configurar o roteador Cisco para ter o client-bypass-protocol "habilitado" para que o tipo de endereço IP não seja descartado quando ele usar IPv6.

O problema pode estar relacionado a nomes DNS herdados quando conectado a um túnel Anyconnect VPN, onde Split Tunneling é definido.

Se possível, peça à equipe de rede que verifique os logs do roteador Cisco quando um dispositivo afetado por esse problema estiver conectado ao túnel Anyconnect VPN e veja o que os logs mostram.

Cisco ASA Series Command Reference, A - H Commands

client-bypass-proxy

To configure how the ASA manages IPv4 traffic when it is expecting only IPv6 traffic or how it manages IPv6 traffic when it is expecting only IPv4 traffic, use the client-bypass-proxy command in group-policy configuration mode. To clear the client bypass protocol setting, use the no form of this command.

client-bypass-protocol { enable | disable }

no client-bypass-protocol { enable | disable }

Syntax Description

  • enable: If Client Bypass Protocol is enabled, the IP traffic for which the ASA did not assign an IP address type is sent from the client in the clear.
  • disable: If Client Bypass Protocol is disabled, the IPv6 traffic for which the ASA did not assign an IP address type is dropped.

Defaults

  • Client Bypass Protocol is disabled by default in the DfltGrpPolicy.

source

por 06.08.2016 / 00:09

Tags

Etiqueta do Windows 10 Disk Drive imprecisa O File Explorer fecha aleatoriamente?