Céges környezetben több 100 mac-et használunk. A proaktv felhasználók macOS 15-re frissítettek, az AnyConnect VPN azonnal abba is hagyta a működését. Így marad a slack használata és hírportálok olvasása, semmi munkahelyi erőforrás elérése. A support egyelőre nem tud vele mit kezdeni. Visszamentem egy megtűrt OpenVPN-re.
Hurrá, megjelent a 15.0.1-es, szinte automatiksaun települ (aka. nehéz neki ellenállni, pláne hogy az AnyConnect igényli az automatikus frissítés engedélyezését), a leírásban az szerepelt hogy a VPN hibák javulni fognak. Javulás helyett már az OpenVPN sem működik rajta. Jelenlegi felállás szerint kiveszek egy napot és megy vissza a 14.7-es OS. Az OS talán egy óra, a beállítások továbi 4-6 óra.
Hivatalos fórum szerint is a VPN-ek ellen megy az apple? "just stop using the VPN" Nem minden munkahely szól arról, hogy egy webes ERP-t kattintgatok, bár ott is illene egy VPN-nek lennie.
Forrás: https://discussions.apple.com/thread/255760890?sortBy=rank
Hozzászólások
es mi van a beepitett vpn-ekkel? L2TP / IKEv2 ?
Banki környezet, sajna speciális vpn kell.
Amennyiben ez banki kornyezet, hogy-hogy a userek dontenek arrol, hogy mikor mi telepuljon? Nalunk pl. a jamf ezt (is) kezeli (nem bank).
Közvetett banki, beszállítói.
Ettől függetlenül egy jól irányzott device management eszköz, mint a Jamf aranyat érne.
Ettől még nem fog működni az AnyConnect.
Marmint mitol nem?
Most jól rám ijesztettél, de a hiba az ön készülékében lesz.
MacOS tegnap estéről mára magától frissült, most próbaképp felugrottam céges VPN-re (anyconnect), minden működik gyönyörű szépen ahogy eddig is.
PS: Miért 4-6 óra ha visszaállsz? Time machine nem volt? Azzal max 1 óra alatt megvagy adatmennyiség függvényében és a nehézsége kb annyi hogy katt a korábbi dátumra és kimész kávézni/reggelizni/tusolni és mire visszaérsz kész.
AnyConnect letolt policynek megfelelo kiegészítő szabalyokat, azok nem mennek vegig. (OS check, tuzfal check, stb).
Privat gepemre van csak timemachine. Ha a cegeshez most lovom be, akkor is megmaradnak a dolgok? Azaz kezi downgrade es visszaallitas?
Igen itt is, szépen végigfut minden, csont nélkül csatlakozik.
Time machine kérdést nem igazán értem. Nyilván amikortól elkezded használni ott lesz a legelső mentési pont, arra tudsz visszaállni.
Igen, arra gondoltam, hogy TM működik-e úgy hogy most bekapcsolom, a jlenlegi állapotot (dokumentumok) tárolja, ad rá majd visszaállítást, de az OS-t magát engedi downgrade-elni. (Egyébként egy synology NAS a TM, 250GB disk területtel ehhez a felhasználóhoz. Az szerinted elég hosszú távon?)
A szoftverek fognak/lepodhetnek meg, ha sokkal ujabb verzioju a konfiguracios allomany, mint sajat maguk.
Jó kérdés hogy visszafele működik-e, ilyenbe nem futottam még bele szóval passz. Ha már ott a nas akkor dokumentumokat rakd ki rá biztos ami tuti alapon, downgrade után pedig add meg neki ugyanezt a TM mentést hogy használja és írd meg hogy működik-e :) Szerintem kéne neki de will see.
Tárhelyigény csak és kizárólag tőled függ. A lényeg hogy legalább annyi legyen mint amennyi a gép OS drive-ja amit mentesz, ha 250-es ssd van a macben akkor 250 TM drive legyen minimum.
Nyilván minél több helyet adsz annál hosszabb lesz a visszaállítási history-d, de nagyban függ attól is hogy milyen változások vannak a meghajtódon. Ha van cakli 100 mega office doksid ami módosul azt sokkal tovább megtartja mintha 4k videoshortokat gyártasz.
Nem veletlen szokott macOS major valtas elott az lenni a ceges policy, hogy nem valtasz, amig az IT nem szol, hogy lehet.
Eggyel jobb helyeken a macOS major release napja ELOTT korbemegy errol egy mail es par honap mulva jon egy masik, hogy "lehet frissiteni".
Annal is jobb helyeken van egy felugyeleti eszkoz, ami egyenesen blokkolja az upgrade-et, korbe se kell irni.
Amugy: kapcsold ki a MAC address randomizalast. Az az uj feature okozza sokaknak a bajt.
Nekem egy rendes céges MacOS support is elég lenne, azaz ha nem userLevel derülne ki, hogy baj van, hanem tudnának róla, ők is használnának ilyen gépeket.
Hivatalosan supportálják a VPN fogadó oldalán, vagy nem?
- Ha igen, szólj nekik.
- Ha nem, akkor meg a Te feladatod a kompatibilitás megteremtése.
Én hasonló helyen a VPN fogadó oldalán vagyok.
Hivatalos támogatást csak Windows -ra adunk, arra végzünk teszteléseket. Ezzel a felhasználók több mint 95% -a ki van elégítve.
Nem tiltjuk sem a Linux, sem a Mac klienseket, de nincs rá időnk, hogy a frissítések során az ő részükre is elvégezzük a tesztelést, létrehozzuk a minta a konfigokat, és technikai segítségnyújtást vállaljunk általunk nem ismert gépek egyedi beállításait debuggolva.
Aki "spéci" oprendszerrel jön, az lesz szíves vállalni a saját rendszere okozta problémák megoldását.
Ha nem akar szívni, akkor pattintson fel egy virtuális Windowst azt kalap-kabát, de tőlünk ne várja el, hogy még az ő egyedi problémáival is foglalkozzunk, puszira. Minket nem erre tart a cég.
Annyit tennek ehhez hozza, hogy jobb helyeken a macOS nem "speci" oprendszer. A Linux ezen statusza teljesen ertheto viszont.
Hát, ahol fejlesztenek az emberek, főleg mondjuk konténerizált appokat, ott a Linux sem spéci oprendszer.
Ez biztos igaz egy szoftver cegere.
Nalunk (FMCG) van egy kis csapat dev, 6-7 ember. Mi vagyunk a kivetel. Linuxot viszont nem hasznalhatunk mint alap oprendszer.
Marad a WSL, virtualbox meg egy linux szerver amin lehet tavoli fejlesztest vegezni :(
Support Slackware: https://paypal.me/volkerdi
Jobb helyeken? Ez egy ilyen érzelmi megállapítás?
Hozzánk többen csatlakoznak fel Linuxról, mint Mac -ről, de attól még nem érzem magunkat rosszabb helynek. :-)
s/macOS/barmilyen OS/g
Boven szoptunk anno W7->W8 atallassal, a W8->W10 atallassal, inkabb az a meglepo, hogy a W10->W11 egesz siman ment. Egy atlag ceg tele van mindenfele rosszabbnal rosszabb vendor alkalmazasokkal, eleg batornak kell lenni, hogy day 1 megnyomd az upgrade gombot.
volt mar sima win10 patch is ami eltorte az L2TP-t, nem kell ehhez meg foverziot se valtani... nem veletlen hasznalnak SCCM-et vagy hasonlot a cegeknel a patchek kezelesere, hogy csak teszteles utan telepitodjenek a gepekre
A Cisco AnyConnect kliense nekem mar 10.7-rol 10.8-ra updateanel is eltort. Raktam fel OpenConnect-et, az gond nelkul teszi a dolgat azota is (15.0.1-en eppen tegnap reggel hasznaltam). Az OpenVPN is eltort 15.0.1-ben? Errol szerencsere nalam nem tud az OpenVPN, igy gond nelkul mukodik ez is. A WireGuard es IKEv2 VPN kapcsolatok is mukodnek 15.0.1 alatt.
+1 a Wireguardra, én már minden saját VPN-t migráltam rá OpenVPN-ről.
Aki nem Mac App Store-ból akarja a klienst telepíteni, annak itt egy link: https://github.com/vaardan/wireguard-macos-app
Ha tud céges policy alapján OS-verziót, patchset-et, midnenféle security dolgot ellenőrizni, és annak az eredménye alapján engedni vagy nem engedni a kapcsolódást, akkor jó _lehet_, de ahol agyhiányos módon mennek előre a szekuritivel, és csakvindóz-defaultroute a vpn - és 1234 szekus alkalmazás meg agent a gépen, ott sajnos nem. Mondjuk ilyen helyről lehet, hogy jobb, ha időben távozik az ember... (Élő példa: defgw a vpn felkapcsolódása után a VPN felé _KELL_, hogy mutasson, azaz aki hómoffiszban van, az csak azt tudja elérni a nagyvilágban,a mit a céges proxy enged. volt, hogy doksikat tartalmazó oldalak akadtak fenn a szűrésen... De pl. a spotify és hasonló streaming sem működik ugye... Az, hogy a "felrakjuk a t...o-t és mindent bepipálunk, hogy csekkoljon" - és aztán diszk i/o-ban gatya lesz minden, vagy épp W11-en a heti (munkanap délelőtt) full scan miatt órákig használhatatlan egy kifejezetten jól felszerelt notebook, az senkit sem érdekel... Miközben az userek 9x%-ának elég lenne a desktop-ra egy RDP kliens, amivel jól méretezett és konfigurált TS-farmra bejelentkezve dolgozna...
Koszi a tanácsokat, nemsokara meglesem.
[Szerk]: openVPN újra működik: WiFi-nek secure-nak kell lennie, a MAC rotation-t be kellett kapcsolni. AnyConnect sajnos még nem megy, 10%-nál elakad a Requirement ellenőrzés.
Biztos, hogy nem kell az OpenVPN-nek, bekapcsolt MAC rotation. Siman, teljesen kikapcsolt Private MAC address eseten is tokeletesen mukodik.
Jobban megvizsgalva nem ez okozta a problemat, valoban nem kell.
Nem kéne akkor a címen némileg módosítani?
AnyConnect után openVPN-nel is kizártam magam, de openVPN megoldódott. Így a cím is helyes.
Foglaljuk össze:
- van egy AnyConnect verzió telepítve ami egyálalán nem biztos hogy támogatja az oprendszer új verzióját
- van egy AnyConnect konfigurációd ami egyáltalán nincs validálva az új oprendszerre
- felraktál új oprendszer főverziót ami deklaráltan bármilyen API-t eltörhet (azért főverzió váltás)
És az Apple a hülye meg a szemét, értem.
Gábriel Ákos
"És az Apple a hülye meg a szemét, értem": senki nem mondta hogy szemét, csak mintha lenne egy tendencia. De ahogy segítségetekkel megoldódott, nem tendencia, csak spéci helyzet.
Akkor miből gondolod, hogy a MacOS hivatalosan a VPN ellen megy? nem tendencia, csak spéci helyzet. - ez alapján nekem nem úgy tűnik.
Szoval a kacsa nem tud uszni mar megint…
Hányas AnyConnect verziót használsz? Tippem, hogy az inkompatibilis az új MacOS-sel.
Itt más oldalról kell megfogni a dolgot, ahogy többen írták fent. En a fenti lépéseket tudom javasolni az ilyen jellegű problémák megelőzésere a későbbiekben.
Számomra is fura, hogy egy banknál ezek nincsenek implementálva és úgy lóghat céges hálón egy ilyen céges eszköz.
A mostani problémára felettem le is írták a megoldást, ezért arra csak egy +1 a részemről.
Én meg se merem kérdezni, hogy melyik bankról van szó. Mert annál a banknál én nem szeretnék ügyfél se lenni.
Ezt a banki dolgot vegyétek ki a képletből, nem core bank és nem banki hálózat. Inkább felhős irány, a VPN az AWS-hez kell, csak addig jó.
Akkor még inkább wireguard. Mi a franc értelme volt az AnyConnectnek? Hacsak azért nem mert Cisco és jó drága? Valaki döntést hozott mellette...
Barmelyik. A banki IT barhol tud erdekes dolgokat muvelni.
A "csak katalogusbol telepitheto es frissitheto" szoftver meg meg ennel is kartekonyabb. A lo tuloldala, es a szabalyok felreertelmezesebol, vagy rosszabb esetben "versenytars szabalyainak masolasabol" eredo tulkapassorozat. Sajat szememmel lattam, hogy ez milyen karokat okoz a produktivitasnak.
Mindent lehet jól és rosszul csinálni.
Nálunk ezek szerint jól csinálják, mert nem okoz problémát a használata és kellően rugalmas, mert ha valami nincs benne, akkor egy kéréssel megoldható és automatikusan frissülnek a verziók is benne. Ha fizetős programot kell használni, akkor főnököm kap egy kérelmet, amit jóváhagy és már települ is a licencelt fizetős szoftver.
Vagyis ha nem külsős, "Konzultáns Karcsi" és/vagy nem az IT-hoz semmit sem értő "Manager Miki" tervezi és implementálja, hanem előtte begyűjtik a szoftver igényeket, akkor ez még lehet jól szervezettés működőképes is.
Attól, hogy lát az ember egy rossz példát, abból nem szabad messze menő kövezkeztetéseket levonni.
Mindent lehet jól és rosszul csinálni.
Whitelisted application policy-t csak rosszul lehet csinalni.
begyűjtik a szoftver igényeket
Az igeny az, hogy lehessen telepiteni szoftvert onnan, ahonnan csak szeretnenk.
-1000
Ez egy igény, nem pedig az.
Van más igény is, sőt nem is egy. Biztonság, menedzselhetőség, stb. Pl. érdekes történet, hogy a Postman újabb verziói nem működnek online fiók nélkül, vagyis megvan a lehetőség arra, hogy az összes próba URL menjen a Postman felhő üzemeltetőihez is. Na most, a felhasználónak természetesen igénye, hogy használja (hasznos eszköz végül is), de nem biztos, hogy a cég érdeke, hogy minden URL lehetőség kikerüljön tőle. Hasonlóképp lehet igény mondjuk a ChatGPT a fejlesztőnek, de nem biztos, hogy jogos igény a cég oldaláról, ha nem szeretne találkozni az árnyoldalaival.
Van ilyen igény, és persze van más igény is.
A Postman meg a ChatGPT a blacklisted application/site esete.
Ezek letezese miatt meg a fejlesztoket is hulyenek nezni es whitelist-only policy-re rakni: na az a hatekonysag rovasara megy.
Amit írtál az nem (szoftver) igény. Minden nem kellhet a munkádhoz a céges gépen napi szinten.
Ellenben össze lehet szedni egy listát a napi szinten használt szoftverekkel.
Egy példa, a teljesség igénye nélkül:
Továbbá van egy alapvető különbség a "minden is szükséges a munkámhoz" vs "céges szoftvertárból telepített applikációt használtam" között. Ez pedig felelősség jogi szempontból. Az első esetben a felhasználóé a felelősség, hogy ha kárt okoz egy általa telepített applikáció a cégnek, mert valaki becommitolt egy ártó kódot és kiment élesbe. Ha ez kárt okoz a cégnek, akkor az alkalmazott a felelős és a minimum, hogy olyan olyan összeget kell fizetni, amire banki hitelt sem kap, nemhogy zsebből kifizeti. Természetesen a munkaviszonya azonnal felfüggesztésre kerül.
Tehát már egy "local admin" jog kérése is felelősséget tesz a munkavállalóra egy normális cégnél.
Szoval a munkajoghoz sem ertesz.
A szo, amit keresel: szerzodeses partner (ha ugy tetszik alvallalkozo), mert alkalmazottak jogai mellett eleg nehez barkit is a gyakorlatban oly modon felelossegre vonni, ahogy vizionalod.
https://erthetojog.hu/munkajog/mennyibe-kerulhet-egy-munkahelyi-hiba-ho…
Igen, az alkalmazott is felelős lehet, de a helyzettől függ hogy mennyire. Ez szerintem a gondatlanság kategória, 4 havi fizetésben kimaxolva.
Igen, a 4 hónap, de - hacsak nem náluk olyan baromi magasak a bérek - az nem akkora, hogy
Ráadásul ez nem csak úgy puszira megy, még ennek a megállapítása se.
Domain, tárhely és webes megoldások: aWh
ajjaj, securitykretén alert 🚨🚨🚨
En sem vagyok nagy hive, de azert ez tulzas. Siman lehet jol csinalni, leginkabb azon mulik, hogy ha a user fejeben megszuletik egy szoftverigeny, abbol mennyi ido alatt lesz katalogusbol telepitheto komponens.
Igen, alapvetően egy nagy cégnél simán lehet több száz/ezer alkalmazás, és igen gyakran előfordul hogy az egyik részleg vesz valamit amire már egyébként van szerződésünk/licenszünk vagy más megoldásunk ami ugyanúgy lefedi az igényeket, esetleg jobban is. Azt is meg kell vizsgálni hogy a tervezett szoftver megfelel-e a különböző adatvédelmi szabályozásoknak.
Egy nagyobb cégnél nem úgy megy a dolog hogy azt telepít mindenki a gépére amit akar (nincs is admin joga) a fejlesztők viszont általában kapnak local admin jogot, de őket meg el kell szépen szeparálni.
Egy nagy global multinál ami nekem kell szoftver - mondjuk WinSCP, az általában nem csak nekem szokott kelleni. Esélyes, hogy benne van a céges repoban.
Ha még sincs benne, akkor meg pár nap, max. 1-2 hét alatt átfut a teljes processz.
Igen, ezt a repot egyszer kell JÓL összerakni, a folyamatokat kitalálni hozzá, utána már megy, mint az ekhós szekér.
Én MacOS-t csak akkor engedek a cégnél frissíteni, amikor már a legújabb XCode nem megy az előzőn. Ez a kb. fél év pont elég arra, hogy a legbosszantóbb hibákat kijavítsák.
Cégnél ez simán lehet valid. Én itthon csak annyit nézek, hogy ha a (kevesebbet használt) macbookon le tudom fordítani az összes macports programot az új MacOS-en, akkor már mehet az asztali is :)
Légyszi írd már át a topic címét mert mindig elfog a röhögés amikor meglátom :)
Amolyan trey-esen hup cikkturkalos cime van igy. ;)
A röhögés boldogság. De átírtam.
(Csak hogy mindenki ertse: korabbi cim: "A macOS hivatalosan is a VPN ellen megy")