2

Я часто работаю удаленно, вне досягаемости Wi-Fi, и просто полагаюсь на подключение моего Mac к моему iPhone для доступа в Интернет. Это прекрасно работает, за исключением того, что я не могу подключиться к одной из VPN-сетей Cisco AnyConnect моего клиента, используя мой Mac, когда привязан к моему iPhone. Три года я смутно искал решение, а последние 48 часов старался изо всех сил, поэтому буду благодарен за помощь.

Чтобы было ясно:

  • MacOSX, подключенный к Anyconnect VPN через интернет Wi-Fi, работает нормально.
  • MacOSX подключен к VPN через трос к Samsung S7 LTE работает нормально
  • MacOSX, подключенный к VPN через iPhone, через USB или Wifi с подсветкой не работает

Под «не работает» я подразумеваю, что у меня нет доступа к Интернету вообще (chrome отображает DNS_PROBE_FINISHED_NO_INTERNET при доступе к любому веб-сайту.) Доступ в Интернет восстанавливается при отключении от VPN.

Также интересно:

  • VPN из Windows 10, подключенная через любой из вышеперечисленных (WiFi, Samsung, iPhone), прекрасно работает как на Macbook с Win10, так и на Surface 3. Это подразумевает, что если порты заблокированы персональной точкой доступа iPhone, это как-то не проблема для клиента Windows, а для клиента OSX AnyConnect.
  • VPN напрямую на iPhone (через приложение Cisco AnyConnect iOS работает нормально), но не меняет невозможности подключения моего mac.

Вещи, которые я уже пробовал:

  • Я попытался настроить встроенную поддержку Cisco VPN для MacOSX в настройках сети Apple, но не вижу, где хранится файл моего профиля, чтобы можно было указать имя группы или пароль (следуйте инструкциям, чтобы найти файл PCF в /opt /cisco и т.д.). Чтобы быть ясным, я подтвердил, что на чистой поверхности 3 все, что необходимо, это загрузить установщик Cisco VPN с веб-сайта компании и указать remote.companyname.com в качестве сервера в AnyConnect. Я никогда не загружаю файл личного сертификата или аналогичный файл, из которого можно расшифровать групповой ключ. Есть ли более современные инструкции о том, как это сделать? Я могу подтвердить, что если есть имя группы / пароль, компания отказалась предоставить ее, и я не понимаю, почему OpenConnect (см. Ниже) сможет подключиться без него, если это потребуется.

  • Я попытался подключиться, используя OpenConnect, установленный через Macports, который, казалось, правильно проходил аутентификацию (включая двухфакторную аутентификацию компании через Duo Push), но у меня нет DNS для внутренних сайтов (слияние jira и т.д.) Чтобы было ясно, результат отличается от других неудачных привязанных соединений тем, что у меня действительно есть доступ к более широкому Интернету.

  • На некоторых веб-страницах подразумевалось, что UDP-порты, используемые IPSec, заблокированы в точке доступа IPhone Personal. Тем не менее, я не могу найти вариант в anyConnect, чтобы вернуться к TCP, как предложено. Возможно, тот факт, что клиент Windows AnyConnect работает, подразумевает, что он делает это автоматически?

  • Я не звонил своему оператору сотовой связи, поскольку подключения Windows VPN явно работают через iPhone.

Я искал решение этой проблемы в течение 3 лет. В настоящее время мое лучшее решение - это Microsoft Surface, который я держу при себе (обновление Confluence/JIRA с iPhone неудобно). За последние 6 лет в интернете полно неясных вопросов, поэтому я постарался быть как можно более конкретным.

(Первоначально опубликовано на ServerFault, где оно было отложено, и мне было предложено опубликовать здесь. Сожалею. Я инженер, поэтому, если вам нужно попросить меня объяснить дальше или проверить что-то, я буду рад сообщить вам.)

1 ответ1

0

Похоже, что другие столкнулись с этой проблемой и смогли обойти ее, отключив функциональность IPv6 на устройствах, затронутых этой проблемой.

В тех случаях, когда устройство использует только IPv6 или его нельзя принудительно использовать IPv4, можно настроить маршрутизатор Cisco на включение « client-bypass-protocol », чтобы тип IP-адреса не сбрасывался при использовании IPv6.

Эта проблема может быть связана с унаследованными именами DNS при подключении к VPN-туннелю Anyconnect, где определено разделенное туннелирование .

Если возможно, попросите сетевую группу проверить журналы маршрутизатора Cisco, когда устройство, затронутое этой проблемой, подключено к VPN-туннелю Anyconnect, и посмотреть, что показывают журналы.

Справочник по командам Cisco ASA Series, команды A - H

клиент-байпас-прокси

Чтобы настроить, как ASA управляет трафиком IPv4, когда он ожидает только трафик IPv6, или как он управляет трафиком IPv6, когда он ожидает только трафик IPv4, используйте команду client-bypass-proxy в режиме конфигурации групповой политики. Чтобы очистить настройки протокола обхода клиента, используйте форму no этой команды.

client-bypass-protocol { enable | disable }

no client-bypass-protocol { enable | disable }

Синтаксис Описание

  • enable: если Client Bypass Protocol включен, IP-трафик, для которого ASA не назначил тип IP-адреса, отправляется от клиента в открытом виде.
  • отключить: если протокол обхода клиента отключен, трафик IPv6, для которого ASA не назначил тип IP-адреса, отбрасывается.

Значения по умолчанию

  • Протокол обхода клиента по умолчанию отключен в DfltGrpPolicy.

источник


Всё ещё ищете ответ? Посмотрите другие вопросы с метками .