[Megoldva] AnyConnect on MacOS 15

macOS

Céges környezetben több 100 mac-et használunk. A proaktv felhasználók macOS 15-re frissítettek, az AnyConnect VPN azonnal abba is hagyta a működését. Így marad a slack használata és hírportálok olvasása, semmi munkahelyi erőforrás elérése. A support egyelőre nem tud vele mit kezdeni. Visszamentem egy megtűrt OpenVPN-re.

Hurrá, megjelent a 15.0.1-es, szinte automatiksaun települ (aka. nehéz neki ellenállni, pláne hogy az AnyConnect igényli az automatikus frissítés engedélyezését), a leírásban az szerepelt hogy a VPN hibák javulni fognak. Javulás helyett már az OpenVPN sem működik rajta. Jelenlegi felállás szerint kiveszek egy napot és megy vissza a 14.7-es OS. Az OS talán egy óra, a beállítások továbi 4-6 óra.

Hivatalos fórum szerint is a VPN-ek ellen megy az apple? "just stop using the VPN" Nem minden munkahely szól arról, hogy egy webes ERP-t kattintgatok, bár ott is illene egy VPN-nek lennie.

Forrás: https://discussions.apple.com/thread/255760890?sortBy=rank

  • 1528 megtekintés

( arpi_esp v | 2024. 10. 06., v – 08:34 )

es mi van a beepitett vpn-ekkel? L2TP / IKEv2 ?

( hunluki | 2024. 10. 06., v – 08:39 )

Most jól rám ijesztettél, de a hiba az ön készülékében lesz.

MacOS tegnap estéről mára magától frissült, most próbaképp felugrottam céges VPN-re (anyconnect), minden működik gyönyörű szépen ahogy eddig is.

PS: Miért 4-6 óra ha visszaállsz? Time machine nem volt? Azzal max 1 óra alatt megvagy adatmennyiség függvényében és a nehézsége kb annyi hogy katt a korábbi dátumra és kimész kávézni/reggelizni/tusolni és mire visszaérsz kész.

AnyConnect letolt policynek megfelelo kiegészítő szabalyokat, azok nem mennek vegig. (OS check, tuzfal check, stb).

Privat gepemre van csak timemachine. Ha a cegeshez most lovom be, akkor is megmaradnak a dolgok? Azaz kezi downgrade es visszaallitas? 

Igen, arra gondoltam, hogy TM működik-e úgy hogy most bekapcsolom, a jlenlegi állapotot (dokumentumok) tárolja, ad rá majd visszaállítást, de az OS-t magát engedi downgrade-elni. (Egyébként egy synology NAS a TM, 250GB disk területtel ehhez a felhasználóhoz. Az szerinted elég hosszú távon?)

Jó kérdés hogy visszafele működik-e, ilyenbe nem futottam még bele szóval passz. Ha már ott a nas akkor dokumentumokat rakd ki rá biztos ami tuti alapon, downgrade után pedig add meg neki ugyanezt a TM mentést hogy használja és írd meg hogy működik-e :) Szerintem kéne neki de will see.

Tárhelyigény csak és kizárólag tőled függ. A lényeg hogy legalább annyi legyen mint amennyi a gép OS drive-ja amit mentesz, ha 250-es ssd van a macben akkor 250 TM drive legyen minimum.

Nyilván minél több helyet adsz annál hosszabb lesz a visszaállítási history-d, de nagyban függ attól is hogy milyen változások vannak a meghajtódon. Ha van cakli 100 mega office doksid ami módosul azt sokkal tovább megtartja mintha 4k videoshortokat gyártasz.

( carlcolt | 2024. 10. 06., v – 08:41 )

Szerkesztve: 2024. 10. 06., v – 08:42

Nem veletlen szokott macOS major valtas elott az lenni a ceges policy, hogy nem valtasz, amig az IT nem szol, hogy lehet.

Eggyel jobb helyeken a macOS major release napja ELOTT korbemegy errol egy mail es par honap mulva jon egy masik, hogy "lehet frissiteni".

Annal is jobb helyeken van egy felugyeleti eszkoz, ami egyenesen blokkolja az upgrade-et, korbe se kell irni.

Amugy: kapcsold ki a MAC address randomizalast. Az az uj feature okozza sokaknak a bajt.

Hivatalosan supportálják a VPN fogadó oldalán, vagy nem?
- Ha igen, szólj nekik.
- Ha nem, akkor meg a Te feladatod a kompatibilitás megteremtése.

Én hasonló helyen a VPN fogadó oldalán vagyok.
Hivatalos támogatást csak Windows -ra adunk, arra végzünk teszteléseket. Ezzel a felhasználók több mint 95% -a ki van elégítve.

Nem tiltjuk sem a Linux, sem a Mac klienseket, de nincs rá időnk, hogy a frissítések során az ő részükre is elvégezzük a tesztelést, létrehozzuk a minta a konfigokat, és technikai segítségnyújtást vállaljunk általunk nem ismert gépek egyedi beállításait debuggolva.

Aki "spéci" oprendszerrel jön, az lesz szíves vállalni a saját rendszere okozta problémák megoldását.

Ha nem akar szívni, akkor pattintson fel egy virtuális Windowst azt kalap-kabát, de tőlünk ne várja el, hogy még az ő egyedi problémáival is foglalkozzunk, puszira. Minket nem erre tart a cég.

Ez biztos igaz egy szoftver cegere.

Nalunk (FMCG) van egy kis csapat dev, 6-7 ember. Mi vagyunk a kivetel. Linuxot viszont nem hasznalhatunk mint alap oprendszer.

Marad a WSL, virtualbox meg egy linux szerver amin lehet tavoli fejlesztest vegezni :(

Support Slackware: https://paypal.me/volkerdi

Nem veletlen szokott macOS major valtas elott az lenni a ceges policy, hogy nem valtasz, amig az IT nem szol, hogy lehet.

s/macOS/barmilyen OS/g

Boven szoptunk anno W7->W8 atallassal, a W8->W10 atallassal, inkabb az a meglepo, hogy a W10->W11 egesz siman ment. Egy atlag ceg tele van mindenfele rosszabbnal rosszabb vendor alkalmazasokkal, eleg batornak kell lenni, hogy day 1 megnyomd az upgrade gombot.

( Czo v | 2024. 10. 06., v – 08:49 )

A Cisco AnyConnect kliense nekem mar 10.7-rol 10.8-ra updateanel is eltort. Raktam fel OpenConnect-et, az gond nelkul teszi a dolgat azota is (15.0.1-en eppen tegnap reggel hasznaltam). Az OpenVPN is eltort 15.0.1-ben? Errol szerencsere nalam nem tud az OpenVPN, igy gond nelkul mukodik ez is. A WireGuard es IKEv2 VPN kapcsolatok is mukodnek 15.0.1 alatt.

Ha tud céges policy alapján OS-verziót, patchset-et, midnenféle security dolgot ellenőrizni, és annak az eredménye alapján engedni vagy nem engedni a kapcsolódást, akkor jó _lehet_, de ahol agyhiányos módon mennek előre a szekuritivel, és csakvindóz-defaultroute a vpn - és 1234 szekus alkalmazás meg agent a gépen, ott sajnos nem. Mondjuk ilyen helyről lehet, hogy jobb, ha időben távozik az ember... (Élő példa: defgw a vpn felkapcsolódása után a VPN felé _KELL_, hogy mutasson, azaz aki hómoffiszban van, az csak azt tudja elérni a nagyvilágban,a mit a céges proxy enged. volt, hogy doksikat tartalmazó oldalak akadtak fenn a szűrésen... De pl. a spotify és hasonló streaming sem működik ugye... Az, hogy a "felrakjuk a t...o-t és mindent bepipálunk, hogy csekkoljon" - és aztán diszk i/o-ban gatya lesz minden, vagy épp W11-en a heti (munkanap délelőtt) full scan miatt órákig használhatatlan egy kifejezetten jól felszerelt notebook, az senkit sem érdekel... Miközben az userek 9x%-ának elég lenne a desktop-ra egy RDP kliens, amivel jól méretezett és konfigurált TS-farmra bejelentkezve dolgozna...

 

( dotnetlinux | 2024. 10. 06., v – 09:35 )

Szerkesztve: 2024. 10. 06., v – 09:50

Koszi a tanácsokat, nemsokara meglesem. 

[Szerk]: openVPN újra működik: WiFi-nek secure-nak kell lennie, a MAC rotation-t be kellett kapcsolni. AnyConnect sajnos még nem megy, 10%-nál elakad a Requirement ellenőrzés.

Foglaljuk össze:

- van egy AnyConnect verzió telepítve ami egyálalán nem biztos hogy támogatja az oprendszer új verzióját
- van egy AnyConnect konfigurációd ami egyáltalán nincs validálva az új oprendszerre
- felraktál új oprendszer főverziót ami deklaráltan bármilyen API-t eltörhet (azért főverzió váltás)

És az Apple a hülye meg a szemét, értem.

zászló, zászló, szív

( n.balazs v | 2024. 10. 06., v – 15:15 )

Hányas AnyConnect verziót használsz? Tippem, hogy az inkompatibilis az új MacOS-sel.

( kallaics | 2024. 10. 06., v – 15:39 )

Itt más oldalról kell megfogni a dolgot, ahogy többen írták fent. En a fenti lépéseket tudom javasolni az ilyen jellegű problémák megelőzésere a későbbiekben.

  • JAMF bevezetése
  • Valamilyen szoftver katalógus bevezetése, ahonnan lehet csak szoftvert telepíteni.
  • VPN kliens is szoftver katalógusból települ,  frissül.
  • Felhasználó nem telepíthet frissítéseket, sőt a local admin jog is csak indokolt esetben legyen a felhasználónak.
  • Upgrade processz bevezetése, teszteléssep, függőségekkel (pl. VPN kliens vagy egyéb céges szoftver ami kritikus problémát okoz ha nem fut)

Számomra is fura, hogy egy banknál ezek nincsenek implementálva és úgy lóghat céges hálón egy ilyen céges eszköz.

A mostani problémára felettem le is írták a megoldást, ezért arra csak egy +1 a részemről.

A "csak katalogusbol telepitheto es frissitheto" szoftver meg meg ennel is kartekonyabb. A lo tuloldala, es a szabalyok felreertelmezesebol, vagy rosszabb esetben "versenytars szabalyainak masolasabol" eredo tulkapassorozat. Sajat szememmel lattam, hogy ez milyen karokat okoz a produktivitasnak.

Mindent lehet jól és rosszul csinálni.

Nálunk ezek szerint jól csinálják, mert nem okoz problémát a használata és kellően rugalmas, mert ha valami nincs benne, akkor egy kéréssel megoldható és automatikusan frissülnek a verziók is benne. Ha fizetős programot kell használni, akkor főnököm kap egy kérelmet, amit jóváhagy és már települ is a licencelt fizetős szoftver.

Vagyis ha nem külsős, "Konzultáns Karcsi" és/vagy nem az IT-hoz semmit sem értő "Manager Miki" tervezi és implementálja, hanem előtte begyűjtik a szoftver igényeket, akkor ez még lehet jól szervezettés működőképes is.

Attól, hogy lát az ember egy rossz példát, abból nem szabad messze menő kövezkeztetéseket levonni.

Ez egy igény, nem pedig az.

Van más igény is, sőt nem is egy. Biztonság, menedzselhetőség, stb. Pl. érdekes történet, hogy a Postman újabb verziói nem működnek online fiók nélkül, vagyis megvan a lehetőség arra, hogy az összes próba URL menjen a Postman felhő üzemeltetőihez is. Na most, a felhasználónak természetesen igénye, hogy használja (hasznos eszköz végül is), de nem biztos, hogy a cég érdeke, hogy minden URL lehetőség kikerüljön tőle. Hasonlóképp lehet igény mondjuk a ChatGPT a fejlesztőnek, de nem biztos, hogy jogos igény a cég oldaláról, ha nem szeretne találkozni az árnyoldalaival.

Az igeny az, hogy lehessen telepiteni szoftvert onnan, ahonnan csak szeretnenk.

Van ilyen igény, és persze van más igény is.

Amit írtál az nem (szoftver) igény. Minden nem kellhet a munkádhoz a céges gépen napi szinten.

Ellenben össze lehet szedni egy listát a napi szinten használt szoftverekkel.

Egy példa, a teljesség igénye nélkül:

  • Irodai program csomag (valamelyik office)
  • Levelező kliens
  • Böngésző program(ok)
  • Céges kommukációs platform (Slack, Teams)
  • Távoli kapcsolathoz applikációk (pl. SSH, RDP)
  • Fejlesztői környezete+pluginek (VSCode)
  • Parancssori eszközök (kubectl, k9s)

Továbbá van egy alapvető különbség a "minden is szükséges a munkámhoz" vs "céges szoftvertárból telepített applikációt használtam" között. Ez pedig felelősség jogi szempontból. Az első esetben a felhasználóé a felelősség, hogy ha kárt okoz egy általa telepített applikáció a cégnek, mert valaki becommitolt egy ártó kódot és kiment élesbe. Ha ez kárt okoz a cégnek, akkor az alkalmazott a felelős és a minimum,  hogy olyan olyan összeget kell fizetni, amire banki hitelt sem kap, nemhogy zsebből kifizeti. Természetesen a munkaviszonya azonnal felfüggesztésre kerül.

Tehát már egy "local admin" jog kérése is felelősséget tesz a munkavállalóra egy normális cégnél.

Igen, alapvetően egy nagy cégnél simán lehet több száz/ezer alkalmazás, és igen gyakran előfordul hogy az egyik részleg vesz valamit amire már egyébként van szerződésünk/licenszünk vagy más megoldásunk ami ugyanúgy lefedi az igényeket, esetleg jobban is. Azt is meg kell vizsgálni hogy a tervezett szoftver megfelel-e a különböző adatvédelmi szabályozásoknak.

Egy nagyobb cégnél nem úgy megy a dolog hogy azt telepít mindenki a gépére amit akar (nincs is admin joga) a fejlesztők viszont általában kapnak local admin jogot, de őket meg el kell szépen szeparálni.

Egy nagy global multinál ami nekem kell szoftver - mondjuk WinSCP, az általában nem csak nekem szokott kelleni. Esélyes, hogy benne van a céges repoban.

Ha még sincs benne, akkor meg pár nap, max. 1-2 hét alatt átfut a teljes processz.

Igen, ezt a repot egyszer kell JÓL összerakni, a folyamatokat kitalálni hozzá, utána már megy, mint az ekhós szekér.

( kisg v | 2024. 10. 06., v – 21:04 )

Én MacOS-t csak akkor engedek a cégnél frissíteni, amikor már a legújabb XCode nem megy az előzőn. Ez a kb. fél év pont elég arra, hogy a legbosszantóbb hibákat kijavítsák.

( joco01 v | 2024. 10. 07., h – 11:31 )

Légyszi írd már át a topic címét mert mindig elfog a röhögés amikor meglátom :)