Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено) Невозможно подключиться к VPN сети программой Cisco Anyconnect через роутер (баг cisco при wpa2+PMF)

Прошу снова помочь, вчера поменял старый роутер на вновь купленный, проблему спец символов в пароле с вашей помощью победил.

Сегодня внезапно новая проблема, дочь с ноутом не может подключиться к рабочей VPN сети через Cisco AnyConnect

На роутере ничего не настраивал кроме PPPoE и DHCP

При подключении кабелем, всё работает без проблем., отключил Шифрование управляющих фреймов (PMF)в настройках WiFi, без вопросов заработало!

Если PMF включено Cisco софт не может получить IP адрес.

 

Интересно что скажете? Корпоративный ноут Лабаратории Касперского с полной лицензией на всё установленное ПО

Может пригодится инфа - у меня древний планшет на кастомной Вин-10, подключенный через wifi-5 с pmf, соединяется через Cisco AnyConnect и отлично работает. Правда прошивку полторы недели не обновлял.

Спасибо, а Cisco AnyConnect может иметь какую нибудь настройку для корректной работы с PMF ?

какой Режим безопасности и WPA алгоритм используете? хорошо бы скрин настроек

прошивка у меня 2.7.11.RU.25072020

По идее, pmf это на уровне физического канала, на уровень ip он вообще никак не должен влиять. Так что конечно никаких настроек на эту тему нет в cisco.

На роутере настроено все по дефолту - wpa2-psk с вкл pmf

На планшете в anyconnect тоже ничего вообще не настраивал, кроме адреса, логина и пароля.

Если pmf клиентом не поддерживается - вообще не подключится. Если поддерживается - то дальше уже он никак на ip влиять не может, теоретически. Ждем магию sfstudio

На этом планшете у меня другой прикол - если pmf активен, то подключиться могу только к 5 ггц, на 2 не пускает, и это тоже какая то мистика.

Скажу что обращайтесь к поставщику ноута.

Могу ещё пример подкинуть. Iphone XS в обновлениях сломали работу WPA2+PMF зато заработал WPA3 где PMF обязателен. А на WPA2 без PMF терь маты стоят что не безопасно.

Со следующих версий дефолтовый режим будет WPA2/3 PSK + PMF capable. И эта музыка будет ещё долго длиться пока пльянс и все вендоры не подтянут логику на своих клиентах.

Было лет 8мь у вендоров клиентских устройств что бы это сделать до того как PMF стал обязательной частью WPA (начиная с 3), никто не почесался.

Цитата: sfstudio от 30/07/2020, 06:35

Скажу что обращайтесь к поставщику ноута

Сам ноут без проблем штатными средствами подключается! Не подключается при помощи программы Cisco AnyConnect

Цитата: Ilya_SA от 30/07/2020, 01:00

По идее, pmf это на уровне физического канала, на уровень ip он вообще никак не должен влиять. Так что конечно никаких настроек на эту тему нет в cisco.

Подскажите вашу версию cisco

PMF работает не поверх физики хоть и ниже IP. Но any connect это не просто VPN, а такая вещь в себе лезущая к радиомодулю напрямую. И в зависимости от связки конкретного модуля на клиенте и версии any connect меняются и чудеса последнего.

Ну как пример конкретно по PMF

 

Кстати попробуйте да, таки включить WPA2/3 mixed + PMF capable со стороны роутера, вполне возможно циска накосячила аналогично яблофонам или вообще накосячил броадком в дровах у себя (радио у вас какое стоит в ноуте?) и те же чудеса что и на iphone XS в итоге вылезли, что PMF у них терь работает только в паре с WPA3 и только 256 бит вариант.

Я так понимаю это снизит совместимость остальных устройств? WPA3 это ещё более новая вещь и ее поддерживают ещё меньше устройств?

Нет Mixed режим на то и Mixed что подключаться могут и WPA2 и WPA3 клиенты. А WPA3 Only специально пока в UI не выносили.

Переключение в Mixed позволит "новым устройствам" работать в режиме WPA3. На самом деле вопрос поддержки WPA3 на клиентском оборудовании лежит в ключе их драйверов и только.

Как и поддержка PMF и прочего.

PMF Capable так же разрешает устройствам без поддержки PMF работать без PMF а тем кто умеет использовать PMF.

Т.е. если реализации на клиентах нет - будет использоваться конрктено для них более старый вариант.

Проблема возникает тогда когда клиент заявляет и запрашивает режим с PMF, а по факту пытается работать без и наоборот. Чистой воды глюк клиентской стороны.

И репортить нужно вендорам клиентов на эту тему дабы починили и если просят соединение с PMF то и использовали PMF как то определено в "стандарте".

Цитата: Plohish от 30/07/2020, 08:29
Цитата: Ilya_SA от 30/07/2020, 01:00

По идее, pmf это на уровне физического канала, на уровень ip он вообще никак не должен влиять. Так что конечно никаких настроек на эту тему нет в cisco.

Подскажите вашу версию cisco

Все хозяйство на даче, сейчас нет доступа. AnyConnect ставил в марте старшую версию, доступную для скачки на просторах интернета.

Но судя по словам sfstudio, дело тут в конкретной комбинации чипов-драйверов ноута.

Цитата: sfstudio от 30/07/2020, 08:41

Кстати попробуйте да, таки включить WPA2/3 mixed + PMF capable со стороны роутера

прокатило, работает

Блин. Вот альянсу бы оторвал кой чего и реализаторам не проверяющим результат. Одни пишут стандарты допускающие разночтения, дргие реализовав не проверяют. В итоге весь wifi набор костылей и подпорок.

Ок. Отлично.

В новых версиях по дефолту для DUO-* будет предлагаться использовать WPA2/3. Прошивка уже доступна через сервис обновлений.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: