Juniper Network Connect bleibt nach dem Upgrade auf OS X Yosemite beim Einrichten einer sicheren Sitzung hängen

16

Ich weiß, dass es eine schlechte Idee ist, ein Betriebssystem so bald zu aktualisieren, wenn Sie eine Unternehmenssoftware ausführen, insbesondere im Zusammenhang mit Sicherheit / VPNs usw.

Hab ich doch! Und ich möchte ein Downgrade möglichst vermeiden.

Seitdem ich ein Upgrade auf OS X Yosemite durchgeführt habe, funktioniert die Netzwerkverbindung (VPN-Client) von Juniper nicht mehr. Zuerst würde es einfach nicht starten. Ich erkannte, dass dies an der Java 7-Kompatibilität von Yosemite lag. Also habe ich auf den neuesten Java 8 Build aktualisiert (und das JDK installiert).

Obwohl Network Connect jetzt gestartet wird, bleibt es beim Schritt "Herstellen einer sicheren Sitzung" hängen. Es scheint, als ob die Verbindung hergestellt ist (da ich in dieser Zeit den Internetzugang verliere), aber es kann kein Tunnel erstellt werden.

Netzwerkverbindungsprotokoll

2014-10-17 19:21:06.144 ncproxyd[p64363.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] DSIPCHandler.info Saving the system routing table: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (handler.cpp:345)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config.info Setting key "ncproxyd_saved_routes" to value "0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000;" in the persistent store (config.cpp:273)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config_macos.info Setting value of ncproxyd_saved_routes to: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (config_macos.objcpp:63)
2014-10-17 19:21:18.821 ncproxyd[p64463.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] DSIPCHandler.info Saving the system routing table: 

Beachten Sie, wie wiederholt versucht wird, einen Tunnel zu erstellen, und dies geschieht kontinuierlich. Ich habe nur die Protokolle der letzten beiden Versuche von Network Connect eingefügt.

Ich habe auch Junos Pulse als Alternative ausprobiert. Es ist ein bisschen besser, Fehler zu melden. Es zeigt an, dass eine Verbindung besteht, sagt aber "Tunnel nicht aktiviert" und ich kann damit auch keine Verbindung zum Internet herstellen.

Das VPN mit Netzwerkverbindung funktionierte bis vor ein paar Stunden einwandfrei (als ich nicht auf Yosemite aktualisiert hatte).

Faraaz Khan
quelle

Antworten:

10

Herausgefunden. Führen Sie zuerst ein Downgrade von JAVA auf Apple 1.6 durch, wie oben von Joe L. Farina erwähnt. In manchen Situationen funktioniert das tatsächlich, aber wenn Ihr VPN-Anbieter nur eine alte Version von Network Connect unterstützt, bleibt er weiterhin hängen.

Um dies zu beheben, führen Sie auf dem Terminal Folgendes aus und starten Sie den Computer neu:

sudo nvram boot-args="kext-dev-mode=1"

Für einige Benutzer ist dies möglicherweise erforderlich: https://discussions.apple.com/thread/6546349

Update: Einige Leute haben gefragt, was der obige Befehl macht, und das ziemlich. Der obige Befehl deaktiviert grundsätzlich die Textsignatur auf Ihrem OS X-Gerät. Bei der Textsignatur handelt es sich um eine Sicherheitsfunktion (Codesignatur), mit der überprüft wird, ob Treiber und andere auf Ihrem Computer installierte Software in irgendeiner Weise von der ursprünglich vom Entwickler der Anwendung / des Treibers veröffentlichten Version geändert wurden. Alte Anwendungen, die für OS X (vor Yosemite) entwickelt wurden, verfügten nicht über diese Funktion, da die Funktion mit Yosemite eingeführt wurde. Es hat zwar ein theoretisches Sicherheitsrisiko, aber wenn Sie wissen, was Sie installieren, und dies aus authentischen Quellen (wie dem App Store oder bekannten Entwicklern, denen Sie vertrauen) tun, sollten Sie in Ordnung sein. Ansonsten unterlassen. Weitere Informationen zur Textsignatur finden Sie unter: https://developer.apple.com/developer-id/

Faraaz Khan
quelle
Ich habe diese Seite regelmäßig besucht. Die vorgeschlagene Lösung funktioniert einwandfrei, aber ich konnte keine Hinweise finden, was genau kext-dev-modefunktioniert. Daher habe ich Zweifel an den Nebenwirkungen. Wenn Sie mir helfen, zu verstehen, was es wirklich ist, wird Ihre Hilfe geschätzt.
Scriptmonster
Aktualisierte Antwort mit einigen Informationen zur Textsignatur von @scriptmonster. Sie sollten auch etwas wie cindori.org/trim-enabler-and-yosemite in Betracht ziehen, wenn Sie es ohne Befehlszeile / Neustart steuern möchten.
Faraaz Khan
Ignoriere den Teil über die Steuerung ohne Kommandozeile / Neustart oben, das ist nicht korrekt. Der Link oben enthält jedoch noch einige nützliche Informationen zur Textsignatur.
Faraaz Khan
4

Für mich hat Folgendes funktioniert: Deaktivieren von Oracle Java und Zurückkehren zu Apple Java RE v6:

  1. Laden Sie Apple Java 2014-001 hier herunter
  2. Führen Sie es aus und installieren Sie es
  3. Befolgen Sie die hier aufgeführten Hinweise , um Oracle Java zu deaktivieren und Apple Java wieder zu aktivieren

Ich verstehe, dass Apples RE v6 möglicherweise weniger flexibel ist, aber vorerst habe ich Juniper VPN für die ordnungsgemäße Funktion erhalten. Es wurde immer noch verbunden, aber alle paar Minuten getrennt.

Wenn Sie wissen möchten, dass das neueste Oracle Java 8.25 ausgeführt wird, geben Sie mir Bescheid. Es gibt einige Schritte, die zu unterschiedlichen Ergebnissen führen können, z im Safari-Browser (anstatt über das Applet, da keine Verbindung hergestellt werden kann) und weiter unter Safari / Einstellungen / Sicherheit / Plugins zulassen> WebSite-Einstellungen Java / Ihr VPN-Gateway auf "Im unsicheren Modus ausführen" einstellen (auswählen) es zweimal, sonst wird es nicht registriert).

Joe L. Farina
quelle
Ich habe diese Schritte ausprobiert, aber leider scheint es bei mir nicht zu funktionieren. Irgendwelche anderen Vorschläge? Vielen Dank!
Funktioniert auch nicht für mich :( Ich kann von einem Mavericks-Laptop aus eine Verbindung zum VPN herstellen. Bei Yosemite hängt es sich einfach auf. Ich habe auch die anderen genannten Optionen ausprobiert, sodass das Plugin im unsicheren Modus usw. ausgeführt werden kann.
Faraaz Khan
2

Laden Sie Ihre Netzwerkverbindung über https://vpn.gaikai.com/dana-cached/nc/NetworkConnect.dmg herunter

Das, zusammen mit Faraaz 'Vorschlag, danach neu zu starten

sudo nvram boot-args="kext-dev-mode=1"

Es hat das Problem für mich behoben

Brian
quelle
Würde der abgesicherte Boot-Modus nicht die gleiche Kernel-Erweiterung wiederherstellen wie der kext-dev-Modus?
bmike
1
Ist dies eine sichere URL? Was ist, wenn dies ein kompromittiertes Paket ist?
Nwinkler
2
@nwinkler, ersetzen Sie einfach den Hostnamen durch Ihren.
Rubens Mariuzzo
Ja, richtig - das hat tatsächlich funktioniert, als ich angemeldet war. Ich habe den Hostnamen durch den aus unserem VPN ersetzt und konnte die NetworkConnect.dmg von dort herunterladen. Ich habe den Neustart noch nicht versucht, um festzustellen, ob das Verbindungsproblem behoben ist.
Nwinkler
Ich habe den Hostnamen in dieser URL geändert und dies behebt das Sicherheitsproblem, danke.
Marek R