O Juniper Network Connect trava em "Estabelecimento de sessão segura" após atualizar para o OS X Yosemite

16

Sei que é uma má idéia atualizar um sistema operacional tão cedo quando você estiver executando qualquer software corporativo, especialmente relacionado a segurança / vpns etc.

Mas eu fiz! E eu gostaria de evitar a desclassificação, se possível.

Desde que eu atualizei para o OS X Yosemite, a conexão de rede do juniper (cliente vpn) parou de funcionar. Primeiro, ele simplesmente não seria lançado. Percebi que isso era por causa do problema de compatibilidade do Java 7 no Yosemite. Portanto, atualizei para a versão mais recente do Java 8 (e instalei o JDK).

Agora, embora o Network Connect seja iniciado, ele trava na etapa "Estabelecimento de sessão segura". Parece que a conexão está estabelecida (já que eu perco o acesso à Internet neste período), mas não pode criar um túnel.

Log de Conexão de Rede

2014-10-17 19:21:06.144 ncproxyd[p64363.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] DSIPCHandler.info Saving the system routing table: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (handler.cpp:345)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config.info Setting key "ncproxyd_saved_routes" to value "0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000;" in the persistent store (config.cpp:273)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config_macos.info Setting value of ncproxyd_saved_routes to: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (config_macos.objcpp:63)
2014-10-17 19:21:18.821 ncproxyd[p64463.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] DSIPCHandler.info Saving the system routing table: 

Observe como existem repetidas tentativas de criar um túnel, e isso acontece continuamente. Eu colei apenas os logs das duas últimas tentativas que o Network Connect fez.

Eu também tentei o Junos Pulse como alternativa, é um pouco melhor no relatório de erros. Isso mostra que há uma conexão, mas diz "túnel não ativado" e também não consigo conectar-me à Internet.

A VPN com conexão à rede funcionou bem até algumas horas atrás (quando eu não havia atualizado para o Yosemite).

Faraaz Khan
fonte

Respostas:

10

Descobri isso. Primeiro faça o downgrade do JAVA para o Apple 1.6, conforme mencionado por Joe L. Farina acima. Na verdade, isso funciona em algumas situações, mas se o seu provedor de VPN suportar apenas uma versão antiga do Network Connect, ele continuará travado.

Para corrigir isso, no terminal, execute o seguinte e reinicie o computador:

sudo nvram boot-args="kext-dev-mode=1"

Para alguns usuários, pode ser necessário fazer isso: https://discussions.apple.com/thread/6546349

Atualização: Algumas pessoas têm perguntado o que o comando acima faz, e bastante. O comando acima desabilita basicamente a assinatura do kext no seu equipamento OS X. A assinatura Kext é um recurso de segurança (assinatura de código), que verifica se os drivers e outros softwares instalados no seu computador foram alterados de qualquer maneira do que o desenvolvedor do aplicativo / driver havia lançado originalmente. Aplicativos antigos desenvolvidos para o OS X (antes do Yosemite) não tinham esse recurso, pois o recurso foi introduzido no Yosemite. Ele tem um risco teórico de segurança, mas se você sabe o que está instalando e o faz de fontes autênticas (como a loja de aplicativos ou desenvolvedores conhecidos em que confia), deve ficar bem. Caso contrário, abster-se. Para ler mais sobre a assinatura do kext, consulte: https://developer.apple.com/developer-id/

Faraaz Khan
fonte
Eu tenho visitado esta página periodicamente. A solução sugerida funciona bem, mas não consegui encontrar nenhuma pista do que exatamente kext-dev-modefaz. Assim, eu tenho dúvidas sobre os efeitos colaterais. Se você me ajudar a entender o que realmente é, sua ajuda será apreciada.
scriptmonster
Resposta atualizada com algumas informações sobre a assinatura do kext @scriptmonster. Você também deve considerar algo como cindori.org/trim-enabler-and-yosemite se quiser controlá-lo sem a linha de comando / reinicialização.
Faraaz Khan
Ignore a parte sobre controlá-lo sem a linha de comando / reinicie acima; isso está incorreto; o link acima ainda possui algumas informações úteis sobre a assinatura do kext.
Faraaz Khan
4

Então, eis o que funcionou para mim: desativando o Oracle Java e voltando ao RE v6 da Apple Java:

  1. Faça o download do Apple Java 2014-001 aqui
  2. Execute e instale
  3. Siga as notas aqui para desativar o Java da Oracle e reativar o Java da Apple

Entendo que o RE v6 da Apple pode ser menos flexível, mas, por enquanto, consegui que o Juniper VPN funcionasse corretamente. Ainda estava conectando, mas desconectando a cada dois minutos.

Se você tiver algum requisito para ter o Oracle Java 8.25 mais recente em execução, informe-me - existem algumas etapas que podem produzir resultados mistos, como: baixar e instalar manualmente o Applet de Conexão de Rede (a partir do gateway seguro), sempre iniciando a conexão a partir de dentro do navegador Safari (em vez de no Applet, pois ele nunca se conectará com êxito) e, além disso, dentro de Safari / Preferences / Security / Allow Plugins> WebSite Settings definindo Java / seu gateway VPN como "Executar em modo não seguro" (escolha duas vezes, caso contrário não será registrado).

Joe L. Farina
fonte
Eu tentei essas etapas, mas infelizmente não parece funcionar para mim. Alguma outra sugestão? Obrigado!
Também não funciona para mim :( Eu sou capaz de me conectar à VPN a partir de um laptop Mavericks. Mas no Yosemite, ele simplesmente trava. Tentei as outras opções mencionadas também, permitindo que o plug-in seja executado no modo inseguro etc.
Faraaz Khan
2

Obtenha seu Network Connect em https://vpn.gaikai.com/dana-cached/nc/NetworkConnect.dmg

Isso, junto com a sugestão de Faraaz de reiniciar após

sudo nvram boot-args="kext-dev-mode=1"

Corrigiu o problema para mim

Brian
fonte
O modo de inicialização segura não reconstruiria a mesma extensão do kernel que o kext-dev-mode?
bmike
11
É um URL seguro para usar? E se este for um pacote comprometido?
Nwinkler
2
@nwinkler, basta substituir o nome do host pelo seu.
Rubens Mariuzzo
Sim, certo - isso realmente funcionou depois que eu entrei. Substituí o nome do host pelo nome da nossa VPN e pude baixar o NetworkConnect.dmg a partir daí. Ainda não tentei a reinicialização para ver se corrige o problema de conexão.
Nwinkler 27/02
Alterei o nome do host neste URL e isso resolve o problema de segurança, obrigado.
Marek R13: