Juniper Network Connect se bloquea en "Establecimiento de sesión segura" después de actualizar a OS X Yosemite

16

Sé que es una mala idea actualizar un sistema operativo tan pronto cuando esté ejecutando cualquier software empresarial, especialmente relacionado con seguridad / vpns, etc.

Pero lo hice! Y me gustaría evitar degradar si es posible.

Desde que actualicé OS X Yosemite, la conexión de red de Juniper (cliente vpn) dejó de funcionar. Primero simplemente no se lanzaría. Me di cuenta de que se debía al problema de compatibilidad de Java 7 en Yosemite. Así que actualicé a la última versión de Java 8 (e instalé el JDK).

Ahora, aunque Network Connect se inicia, se bloquea en el paso "Establecer una sesión segura". Parece que la conexión está establecida (ya que pierdo el acceso a Internet en este período) pero no se puede crear un túnel.

Registro de conexión de red

2014-10-17 19:21:06.144 ncproxyd[p64363.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] DSIPCHandler.info Saving the system routing table: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (handler.cpp:345)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config.info Setting key "ncproxyd_saved_routes" to value "0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000;" in the persistent store (config.cpp:273)
2014-10-17 19:21:06.151 ncproxyd[p64363.t771] config_macos.info Setting value of ncproxyd_saved_routes to: 0|0|16785418|2|0|0000000000000000;8202|16318463|0|1|4|0000000000000000;16785418|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;-1711136758|-1|0|1|4|0000000000000000;127|255|16777343|1|0|0000000000000000;16777343|-1|16777343|1|0|0000000000000000;65193|65535|0|1|4|0000000000000000; (config_macos.objcpp:63)
2014-10-17 19:21:18.821 ncproxyd[p64463.t771] ipsec.info New tunnel being created (tunnel.cpp:57)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route 0.0.0.0/0.0.0.0 gw 10.32.0.1 metric 2 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.248.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.828 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.0.0.0 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.255.255 gw 127.0.0.1 metric 1 via 0x00000000 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] rmon.info got system route <someip>/255.255.0.0 gw 0.0.0.0 metric 1 via 0x00000004 (routemon.cpp:729)
2014-10-17 19:21:18.829 ncproxyd[p64463.t771] DSIPCHandler.info Saving the system routing table: 

Observe cómo hay intentos repetidos de crear un túnel, y esto sucede continuamente. Solo he pegado los registros de los dos últimos intentos realizados por Network Connect.

También he probado Junos Pulse como alternativa, es un poco mejor en el informe de errores. Muestra que hay una conexión, pero dice "túnel no habilitado" y tampoco puedo conectarme a internet.

La VPN con conexión de red funcionó bien hasta hace unas horas (cuando no había actualizado a Yosemite).

    
pregunta Faraaz Khan 18.10.2014 - 01:28

3 respuestas

10

Lo descubrí. Primero reduzca la calificación de Java a Apple 1.6 como lo mencionó Joe L. Farina anteriormente. En realidad, eso funciona en algunas situaciones, pero si su proveedor de VPN solo admite una versión antigua de Network Connect, entonces continuará bloqueando.

Para solucionarlo, en el terminal ejecute lo siguiente, luego reinicie su computadora:

sudo nvram boot-args="kext-dev-mode=1"

Para algunos usuarios podría ser necesario hacer esto: enlace

Actualización: algunas personas han estado preguntando qué hace el comando anterior, y bastante. El comando anterior básicamente desactiva la firma de kext en su equipo OS X. La firma Kext es una función de seguridad (firma de código) que verifica si los controladores y otro software instalado en su computadora han sido alterados de alguna forma por lo que el desarrollador de la aplicación / controlador había lanzado originalmente. Las aplicaciones antiguas desarrolladas para OS X (antes de Yosemite) no tenían esta característica, ya que la característica se introdujo con Yosemite. Tiene un riesgo de seguridad teórico, pero si sabe lo que está instalando y lo hace desde fuentes auténticas (como la tienda de aplicaciones o desarrolladores conocidos en los que confía), debería estar bien. De lo contrario abstenerse. Para obtener más información sobre la firma de kext, consulte: enlace

    
respondido por el Faraaz Khan 23.10.2014 - 19:24
4

Entonces, esto es lo que me funcionó: deshabilitar Oracle Java y volver al RE v6 de Apple Java:

  1. Descargue Apple Java 2014-001 desde aquí
  2. Ejecutar e instalarlo
  3. Siga las notas aquí para deshabilitar el Java de Oracle y volver a habilitar el Java de Apple

Entiendo que el RE v6 de Apple podría ser menos flexible pero, por ahora, he logrado que Juniper VPN funcione correctamente. Todavía estaba conectando, pero desconectando cada par de minutos.

Si tiene algún requisito para que se ejecute la última versión de Oracle Java 8.25, hágamelo saber: hay algunos pasos que pueden producir resultados mixtos, como: descargar e instalar manualmente el Applet de conexión de red (desde su puerta de enlace segura), siempre comenzando la conexión desde dentro del navegador Safari (en lugar de hacerlo desde el Applet, ya que nunca se conectará con éxito) y, además, dentro de Safari / Preferencias / Seguridad / Permitir complementos > La configuración de sitio web configura Java / su puerta de enlace VPN para "Ejecutar en modo no seguro" (selecciónelo dos veces, de lo contrario no se registrará).

    
respondido por el Joe L. Farina 20.10.2014 - 22:24
2

Obtenga su conexión de red de enlace

Eso, junto con la sugerencia de Faraaz de reiniciar después de

sudo nvram boot-args="kext-dev-mode=1"

Me solucionó el problema

    
respondido por el Brian 14.11.2014 - 07:36

Lea otras preguntas en las etiquetas