Juniper Network Connect se bloque à «Establishing Secure Session» après la mise à niveau vers OS X Yosemite

16

Je sais que c'est une mauvaise idée de mettre à jour un système d'exploitation si tôt lorsque vous exécutez un logiciel d'entreprise, en particulier en ce qui concerne la sécurité / VPN, etc.

Mais je l'ai fait! Et je voudrais éviter de rétrograder si possible.

Depuis que je suis passé à OS X Yosemite, la connexion réseau de juniper (client vpn) a cessé de fonctionner. Tout d'abord, il ne voulait tout simplement pas se lancer. J'ai réalisé que c'était à cause du problème de compatibilité Java 7 sur Yosemite. J'ai donc mis à niveau vers la dernière version de Java 8 (et installé le JDK).

Maintenant, bien que Network Connect soit lancé, il se bloque à l'étape "Établissement d'une session sécurisée". Il semble que la connexion soit établie (puisque je perds l'accès à Internet pendant cette période) mais il ne peut pas créer de tunnel.

Journal de connexion réseau

2014-10-17 19:21:06.144 ncproxyd[p64363.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] DSIPCHandler.info Saving the system routing table: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (handler.cpp:345)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config.info Setting key "ncproxyd_saved_routes" to value "0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000;" in the persistent store (config.cpp:273)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config_macos.info Setting value of ncproxyd_saved_routes to: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (config_macos.objcpp:63)
2014-10-17 19:21:18.821 ncproxyd[p64463.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] DSIPCHandler.info Saving the system routing table: 

Remarquez comment il y a des tentatives répétées de créer un tunnel, et cela se produit en continu. Je n'ai collé que les journaux des deux dernières tentatives de Network Connect.

J'ai également essayé Junos Pulse comme alternative, c'est un peu mieux pour le rapport d'erreurs. Cela montre qu'il y a une connexion, mais dit "tunnel non activé" et je ne peux pas non plus me connecter à Internet avec.

Le VPN avec connexion réseau a bien fonctionné jusqu'à il y a quelques heures (lorsque je n'avais pas mis à niveau vers Yosemite).

Faraaz Khan
la source

Réponses:

10

Deviner. Premier déclassement de JAVA vers Apple 1.6 comme mentionné ci-dessus par Joe L. Farina. Cela fonctionne réellement dans certaines situations, mais si votre fournisseur VPN ne prend en charge qu'une ancienne version de Network Connect, il continuera de se bloquer.

Pour résoudre ce problème, exécutez les opérations suivantes sur le terminal, puis redémarrez votre ordinateur:

sudo nvram boot-args="kext-dev-mode=1"

Pour certains utilisateurs, il peut être nécessaire de le faire: https://discussions.apple.com/thread/6546349

Mise à jour: Certaines personnes ont demandé ce que fait la commande ci-dessus, et assez bien. La commande ci-dessus désactive essentiellement la signature de kext sur votre équipement OS X. La signature Kext est une fonctionnalité de sécurité (signature de code), qui vérifie si les pilotes et autres logiciels installés sur votre ordinateur ont été modifiés de quelque façon que ce que le développeur de l'application / pilote avait initialement publié. Les anciennes applications développées pour OS X (avant Yosemite) ne disposaient pas de cette fonctionnalité, car la fonctionnalité a été introduite avec Yosemite. Cela présente un risque de sécurité théorique, mais si vous savez ce que vous installez et que vous le faites à partir de sources authentiques (comme l'App Store ou des développeurs bien connus en qui vous avez confiance), alors ça devrait aller. Sinon s'abstenir. Pour en savoir plus sur la signature kext, voir: https://developer.apple.com/developer-id/

Faraaz Khan
la source
J'ai visité cette page périodiquement. La solution suggérée fonctionne bien, mais je n'ai trouvé aucun indice de ce qui se passe exactement kext-dev-mode. J'ai donc des doutes sur ses effets secondaires. Si vous m'aidez à comprendre ce que c'est vraiment, votre aide est appréciée.
scriptmonster
Réponse mise à jour avec quelques informations sur la signature de kext @scriptmonster. Vous devriez également envisager quelque chose comme cindori.org/trim-enabler-and-yosemite si vous voulez le contrôler sans ligne de commande / redémarrages.
Faraaz Khan
Ignorez la partie sur le contrôle sans ligne de commande / redémarrages ci-dessus, c'est incorrect, le lien ci-dessus contient quand même quelques informations utiles sur la signature de kext.
Faraaz Khan
4

Voici donc ce qui a fonctionné pour moi: désactiver Oracle Java et revenir à RE Java d'Apple Java:

  1. Téléchargez Apple Java 2014-001 d' ici
  2. Exécutez-le et installez-le
  3. Suivez les notes ici pour désactiver le Java d'Oracle et réactiver le Java d'Apple

Je comprends que RE v6 d'Apple pourrait être moins flexible mais, pour l'instant, j'ai fait fonctionner Juniper VPN correctement. Il se connectait toujours, mais se déconnectait toutes les deux minutes.

Si vous avez besoin d'exécuter la dernière version d'Oracle Java 8.25, faites-le moi savoir - il y a quelques étapes qui peuvent produire des résultats mitigés, comme: télécharger et installer manuellement l'applet Network Connect (à partir de votre passerelle sécurisée), toujours en démarrant la connexion à partir de dans le navigateur Safari (au lieu de l'applet, car il ne se connectera jamais avec succès) et, en outre, dans Safari / Préférences / Sécurité / Autoriser les plugins> Paramètres du site Web définissant Java / votre passerelle VPN sur "Exécuter en mode non sécurisé" (choisissez deux fois, sinon il ne sera pas enregistré).

Joe L. Farina
la source
J'ai essayé ces étapes mais malheureusement, cela ne semble pas fonctionner pour moi. D'autres suggestions? Merci!
Cela ne fonctionne pas non plus pour moi :( Je peux me connecter au VPN à partir d'un ordinateur portable Mavericks. Mais sur Yosemite, il se bloque simplement. J'ai essayé les autres options mentionnées également, permettant au plugin de fonctionner en mode dangereux, etc.
Faraaz Khan
2

Obtenez votre connexion réseau à partir de https://vpn.gaikai.com/dana-cached/nc/NetworkConnect.dmg

Cela, avec la suggestion de Faraaz de redémarrer après

sudo nvram boot-args="kext-dev-mode=1"

Cela a résolu le problème pour moi

Brian
la source
Le mode de démarrage sécurisé ne ferait-il pas la même reconstruction d'extension du noyau que kext-dev-mode?
bmike
1
Est-ce une URL sûre à utiliser? Et si c'est un package compromis?
nwinkler
2
@nwinkler, remplacez simplement le nom d'hôte par le vôtre.
Rubens Mariuzzo
Oui, c'est vrai - cela a réellement fonctionné une fois que je me suis connecté. J'ai remplacé le nom d'hôte par celui de notre VPN, et j'ai pu télécharger NetworkConnect.dmg à partir de là. Je n'ai pas encore essayé le redémarrage pour voir s'il résout le problème de connexion.
nwinkler
J'ai modifié le nom d'hôte dans cette URL et cela résout le problème de sécurité, merci.
Marek R