Céges környezetben több 100 mac-et használunk. A proaktv felhasználók macOS 15-re frissítettek, az AnyConnect VPN azonnal abba is hagyta a működését. Így marad a slack használata és hírportálok olvasása, semmi munkahelyi erőforrás elérése. A support egyelőre nem tud vele mit kezdeni. Visszamentem egy megtűrt OpenVPN-re.
Hurrá, megjelent a 15.0.1-es, szinte automatiksaun települ (aka. nehéz neki ellenállni, pláne hogy az AnyConnect igényli az automatikus frissítés engedélyezését), a leírásban az szerepelt hogy a VPN hibák javulni fognak. Javulás helyett már az OpenVPN sem működik rajta. Jelenlegi felállás szerint kiveszek egy napot és megy vissza a 14.7-es OS. Az OS talán egy óra, a beállítások továbi 4-6 óra.
Hivatalos fórum szerint is a VPN-ek ellen megy az apple? "just stop using the VPN" Nem minden munkahely szól arról, hogy egy webes ERP-t kattintgatok, bár ott is illene egy VPN-nek lennie.
Forrás: https://discussions.apple.com/thread/255760890?sortBy=rank
Hozzászólások
es mi van a beepitett vpn-ekkel? L2TP / IKEv2 ?
Banki környezet, sajna speciális vpn kell.
Amennyiben ez banki kornyezet, hogy-hogy a userek dontenek arrol, hogy mikor mi telepuljon? Nalunk pl. a jamf ezt (is) kezeli (nem bank).
Közvetett banki, beszállítói.
Ettől függetlenül egy jól irányzott device management eszköz, mint a Jamf aranyat érne.
Most jól rám ijesztettél, de a hiba az ön készülékében lesz.
MacOS tegnap estéről mára magától frissült, most próbaképp felugrottam céges VPN-re (anyconnect), minden működik gyönyörű szépen ahogy eddig is.
PS: Miért 4-6 óra ha visszaállsz? Time machine nem volt? Azzal max 1 óra alatt megvagy adatmennyiség függvényében és a nehézsége kb annyi hogy katt a korábbi dátumra és kimész kávézni/reggelizni/tusolni és mire visszaérsz kész.
AnyConnect letolt policynek megfelelo kiegészítő szabalyokat, azok nem mennek vegig. (OS check, tuzfal check, stb).
Privat gepemre van csak timemachine. Ha a cegeshez most lovom be, akkor is megmaradnak a dolgok? Azaz kezi downgrade es visszaallitas?
Igen itt is, szépen végigfut minden, csont nélkül csatlakozik.
Time machine kérdést nem igazán értem. Nyilván amikortól elkezded használni ott lesz a legelső mentési pont, arra tudsz visszaállni.
Igen, arra gondoltam, hogy TM működik-e úgy hogy most bekapcsolom, a jlenlegi állapotot (dokumentumok) tárolja, ad rá majd visszaállítást, de az OS-t magát engedi downgrade-elni. (Egyébként egy synology NAS a TM, 250GB disk területtel ehhez a felhasználóhoz. Az szerinted elég hosszú távon?)
A szoftverek fognak/lepodhetnek meg, ha sokkal ujabb verzioju a konfiguracios allomany, mint sajat maguk.
Jó kérdés hogy visszafele működik-e, ilyenbe nem futottam még bele szóval passz. Ha már ott a nas akkor dokumentumokat rakd ki rá biztos ami tuti alapon, downgrade után pedig add meg neki ugyanezt a TM mentést hogy használja és írd meg hogy működik-e :) Szerintem kéne neki de will see.
Tárhelyigény csak és kizárólag tőled függ. A lényeg hogy legalább annyi legyen mint amennyi a gép OS drive-ja amit mentesz, ha 250-es ssd van a macben akkor 250 TM drive legyen minimum.
Nyilván minél több helyet adsz annál hosszabb lesz a visszaállítási history-d, de nagyban függ attól is hogy milyen változások vannak a meghajtódon. Ha van cakli 100 mega office doksid ami módosul azt sokkal tovább megtartja mintha 4k videoshortokat gyártasz.
Nem veletlen szokott macOS major valtas elott az lenni a ceges policy, hogy nem valtasz, amig az IT nem szol, hogy lehet.
Eggyel jobb helyeken a macOS major release napja ELOTT korbemegy errol egy mail es par honap mulva jon egy masik, hogy "lehet frissiteni".
Annal is jobb helyeken van egy felugyeleti eszkoz, ami egyenesen blokkolja az upgrade-et, korbe se kell irni.
Amugy: kapcsold ki a MAC address randomizalast. Az az uj feature okozza sokaknak a bajt.
Nekem egy rendes céges MacOS support is elég lenne, azaz ha nem userLevel derülne ki, hogy baj van, hanem tudnának róla, ők is használnának ilyen gépeket.
Hivatalosan supportálják a VPN fogadó oldalán, vagy nem?
- Ha igen, szólj nekik.
- Ha nem, akkor meg a Te feladatod a kompatibilitás megteremtése.
Én hasonló helyen a VPN fogadó oldalán vagyok.
Hivatalos támogatást csak Windows -ra adunk, arra végzünk teszteléseket. Ezzel a felhasználók több mint 95% -a ki van elégítve.
Nem tiltjuk sem a Linux, sem a Mac klienseket, de nincs rá időnk, hogy a frissítések során az ő részükre is elvégezzük a tesztelést, létrehozzuk a minta a konfigokat, és technikai segítségnyújtást vállaljunk általunk nem ismert gépek egyedi beállításait debuggolva.
Aki "spéci" oprendszerrel jön, az lesz szíves vállalni a saját rendszere okozta problémák megoldását.
Ha nem akar szívni, akkor pattintson fel egy virtuális Windowst azt kalap-kabát, de tőlünk ne várja el, hogy még az ő egyedi problémáival is foglalkozzunk, puszira. Minket nem erre tart a cég.
Annyit tennek ehhez hozza, hogy jobb helyeken a macOS nem "speci" oprendszer. A Linux ezen statusza teljesen ertheto viszont.
A Cisco AnyConnect kliense nekem mar 10.7-rol 10.8-ra updateanel is eltort. Raktam fel OpenConnect-et, az gond nelkul teszi a dolgat azota is (15.0.1-en eppen tegnap reggel hasznaltam). Az OpenVPN is eltort 15.0.1-ben? Errol szerencsere nalam nem tud az OpenVPN, igy gond nelkul mukodik ez is. A WireGuard es IKEv2 VPN kapcsolatok is mukodnek 15.0.1 alatt.
+1 a Wireguardra, én már minden saját VPN-t migráltam rá OpenVPN-ről.
Aki nem Mac App Store-ból akarja a klienst telepíteni, annak itt egy link: https://github.com/vaardan/wireguard-macos-app
Koszi a tanácsokat, nemsokara meglesem.
[Szerk]: openVPN újra működik: WiFi-nek secure-nak kell lennie, a MAC rotation-t be kellett kapcsolni. AnyConnect sajnos még nem megy, 10%-nál elakad a Requirement ellenőrzés.
Biztos, hogy nem kell az OpenVPN-nek, bekapcsolt MAC rotation. Siman, teljesen kikapcsolt Private MAC address eseten is tokeletesen mukodik.
Jobban megvizsgalva nem ez okozta a problemat, valoban nem kell.
Nem kéne akkor a címen némileg módosítani?
AnyConnect után openVPN-nel is kizártam magam, de openVPN megoldódott. Így a cím is helyes.
Foglaljuk össze:
- van egy AnyConnect verzió telepítve ami egyálalán nem biztos hogy támogatja az oprendszer új verzióját
- van egy AnyConnect konfigurációd ami egyáltalán nincs validálva az új oprendszerre
- felraktál új oprendszer főverziót ami deklaráltan bármilyen API-t eltörhet (azért főverzió váltás)
És az Apple a hülye meg a szemét, értem.
Gábriel Ákos
"És az Apple a hülye meg a szemét, értem": senki nem mondta hogy szemét, csak mintha lenne egy tendencia. De ahogy segítségetekkel megoldódott, nem tendencia, csak spéci helyzet.
Akkor miből gondolod, hogy a MacOS hivatalosan a VPN ellen megy? nem tendencia, csak spéci helyzet. - ez alapján nekem nem úgy tűnik.
Szoval a kacsa nem tud uszni mar megint…
Hányas AnyConnect verziót használsz? Tippem, hogy az inkompatibilis az új MacOS-sel.
Itt más oldalról kell megfogni a dolgot, ahogy többen írták fent. En a fenti lépéseket tudom javasolni az ilyen jellegű problémák megelőzésere a későbbiekben.
Számomra is fura, hogy egy banknál ezek nincsenek implementálva és úgy lóghat céges hálón egy ilyen céges eszköz.
A mostani problémára felettem le is írták a megoldást, ezért arra csak egy +1 a részemről.
Én meg se merem kérdezni, hogy melyik bankról van szó. Mert annál a banknál én nem szeretnék ügyfél se lenni.
Ezt a banki dolgot vegyétek ki a képletből, nem core bank és nem banki hálózat. Inkább felhős irány, a VPN az AWS-hez kell, csak addig jó.
Akkor még inkább wireguard. Mi a franc értelme volt az AnyConnectnek? Hacsak azért nem mert Cisco és jó drága? Valaki döntést hozott mellette...
A "csak katalogusbol telepitheto es frissitheto" szoftver meg meg ennel is kartekonyabb. A lo tuloldala, es a szabalyok felreertelmezesebol, vagy rosszabb esetben "versenytars szabalyainak masolasabol" eredo tulkapassorozat. Sajat szememmel lattam, hogy ez milyen karokat okoz a produktivitasnak.
Mindent lehet jól és rosszul csinálni.
Nálunk ezek szerint jól csinálják, mert nem okoz problémát a használata és kellően rugalmas, mert ha valami nincs benne, akkor egy kéréssel megoldható és automatikusan frissülnek a verziók is benne. Ha fizetős programot kell használni, akkor főnököm kap egy kérelmet, amit jóváhagy és már települ is a licencelt fizetős szoftver.
Vagyis ha nem külsős, "Konzultáns Karcsi" és/vagy nem az IT-hoz semmit sem értő "Manager Miki" tervezi és implementálja, hanem előtte begyűjtik a szoftver igényeket, akkor ez még lehet jól szervezettés működőképes is.
Attól, hogy lát az ember egy rossz példát, abból nem szabad messze menő kövezkeztetéseket levonni.
Mindent lehet jól és rosszul csinálni.
Whitelisted application policy-t csak rosszul lehet csinalni.
begyűjtik a szoftver igényeket
Az igeny az, hogy lehessen telepiteni szoftvert onnan, ahonnan csak szeretnenk.
-1000
Ez egy igény, nem pedig az.
Van más igény is, sőt nem is egy. Biztonság, menedzselhetőség, stb. Pl. érdekes történet, hogy a Postman újabb verziói nem működnek online fiók nélkül, vagyis megvan a lehetőség arra, hogy az összes próba URL menjen a Postman felhő üzemeltetőihez is. Na most, a felhasználónak természetesen igénye, hogy használja (hasznos eszköz végül is), de nem biztos, hogy a cég érdeke, hogy minden URL lehetőség kikerüljön tőle. Hasonlóképp lehet igény mondjuk a ChatGPT a fejlesztőnek, de nem biztos, hogy jogos igény a cég oldaláról, ha nem szeretne találkozni az árnyoldalaival.
Van ilyen igény, és persze van más igény is.
A Postman meg a ChatGPT a blacklisted application/site esete.
Ezek letezese miatt meg a fejlesztoket is hulyenek nezni es whitelist-only policy-re rakni: na az a hatekonysag rovasara megy.
Amit írtál az nem (szoftver) igény. Minden nem kellhet a munkádhoz a céges gépen napi szinten.
Ellenben össze lehet szedni egy listát a napi szinten használt szoftverekkel.
Egy példa, a teljesség igénye nélkül:
Továbbá van egy alapvető különbség a "minden is szükséges a munkámhoz" vs "céges szoftvertárból telepített applikációt használtam" között. Ez pedig felelősség jogi szempontból. Az első esetben a felhasználóé a felelősség, hogy ha kárt okoz egy általa telepített applikáció a cégnek, mert valaki becommitolt egy ártó kódot és kiment élesbe. Ha ez kárt okoz a cégnek, akkor az alkalmazott a felelős és a minimum, hogy olyan olyan összeget kell fizetni, amire banki hitelt sem kap, nemhogy zsebből kifizeti. Természetesen a munkaviszonya azonnal felfüggesztésre kerül.
Tehát már egy "local admin" jog kérése is felelősséget tesz a munkavállalóra egy normális cégnél.
Én MacOS-t csak akkor engedek a cégnél frissíteni, amikor már a legújabb XCode nem megy az előzőn. Ez a kb. fél év pont elég arra, hogy a legbosszantóbb hibákat kijavítsák.
Cégnél ez simán lehet valid. Én itthon csak annyit nézek, hogy ha a (kevesebbet használt) macbookon le tudom fordítani az összes macports programot az új MacOS-en, akkor már mehet az asztali is :)