Невозможно подключиться к VPN сети программой Cisco Anyconnect через роутер (баг cisco при wpa2+PMF) (дубль 2)
Цитата: Rulims от 10/02/2021, 22:53
Сегодня столкнулся с проблемой, на 4pda посоветовали ветку:
https://wi-cat.ru/forums/topic/cisco-anyconnect-ne-pozvolyaet-podkljuchitsya-cherez-router/
но отключение PMF не помогло (сам изначально попробовал)
мои настройки: https://radikal.ru/lfp/b.radikal.ru/b17/2102/08/1b183c94ddd8.jpg
ноут thinkpad t480
win 10 корпоративная
Сегодня столкнулся с проблемой, на 4pda посоветовали ветку:
https://wi-cat.ru/forums/topic/cisco-anyconnect-ne-pozvolyaet-podkljuchitsya-cherez-router/
но отключение PMF не помогло (сам изначально попробовал)
мои настройки: https://radikal.ru/lfp/b.radikal.ru/b17/2102/08/1b183c94ddd8.jpg
ноут thinkpad t480
win 10 корпоративная
Загруженные файлы:
- Вам нужно войти, чтобы просматривать прикрепленные файлы..
Цитата: Rulims от 10/02/2021, 23:16сейчас с рядом pmf включить
сейчас с рядом pmf включить
Цитата: sfstudio от 10/02/2021, 23:21
- минимально что предоставить описано тут https://wi-cat.ru/forums/topic/prochti-menya-pravila-i-rekomendacii-dlya-uchastnikov-foruma/
- настройки предоставляются в фиде файла конфигурации не скринов
- если все иные приложения работают и коннектятся то нужно обращаться к вендору приложения которое не работает хотя бы для выяснения как узнать чего оно хочет
Следуюет понимать что Cisco Any Connect это адовый комбайн который лезет даже к дровам радио. При этом для нас это чёрный ящик. Как и ваша OS и т.д. Т.е. разбор полётов с нашей стороны осложнён до уровня угадайки.
Потому следует обратиться к производителям ноута/ПО.
Роутеру абсолютно всё равно что за ПО через него бегает, циско там или не циско. Он об этом ничего не знает. Как следствие все соединения обрабатываются идентично.
Т.е. следуюет выяснять что не нравиться этому самому any connect. Как это сделать ессно подсказать может их разработчик. Нам об этом увы ничего неизвестно. В хозяйстве этого тоже нет.
- минимально что предоставить описано тут https://wi-cat.ru/forums/topic/prochti-menya-pravila-i-rekomendacii-dlya-uchastnikov-foruma/
- настройки предоставляются в фиде файла конфигурации не скринов
- если все иные приложения работают и коннектятся то нужно обращаться к вендору приложения которое не работает хотя бы для выяснения как узнать чего оно хочет
Следуюет понимать что Cisco Any Connect это адовый комбайн который лезет даже к дровам радио. При этом для нас это чёрный ящик. Как и ваша OS и т.д. Т.е. разбор полётов с нашей стороны осложнён до уровня угадайки.
Потому следует обратиться к производителям ноута/ПО.
Роутеру абсолютно всё равно что за ПО через него бегает, циско там или не циско. Он об этом ничего не знает. Как следствие все соединения обрабатываются идентично.
Т.е. следуюет выяснять что не нравиться этому самому any connect. Как это сделать ессно подсказать может их разработчик. Нам об этом увы ничего неизвестно. В хозяйстве этого тоже нет.
Цитата: sfstudio от 10/02/2021, 23:24Даже как связан PMF с VPN клиентом для меня загадка. Т.е. то что то, что отключение PMF помогло с VPN от cisco для меня нонсенс и скорее говорит о каком-то адовом баге на стороне софта циски т.к. даже уровни где работает PMF в 802.11 и софтовые VPN клиенты по OSI модели даже не рядом находятся. Потому повторюсь, что правильной подход обратиться к циске с детальным описанием. Тем самым вы возможно решите проблему не только для себя, но и для ВСЕХ пользователей any connect, причём скорее всего безотносительно какой там роутер.
Альтертатива пытаться решить методом тыка. Увы, помочь мне вам тут не чем от слова совсем. Ибо клиент закрыт намертво, ось в виде винды тоже. Как узнать чего им не нравиться даже близко гадать не берусь.
Даже как связан PMF с VPN клиентом для меня загадка. Т.е. то что то, что отключение PMF помогло с VPN от cisco для меня нонсенс и скорее говорит о каком-то адовом баге на стороне софта циски т.к. даже уровни где работает PMF в 802.11 и софтовые VPN клиенты по OSI модели даже не рядом находятся. Потому повторюсь, что правильной подход обратиться к циске с детальным описанием. Тем самым вы возможно решите проблему не только для себя, но и для ВСЕХ пользователей any connect, причём скорее всего безотносительно какой там роутер.
Альтертатива пытаться решить методом тыка. Увы, помочь мне вам тут не чем от слова совсем. Ибо клиент закрыт намертво, ось в виде винды тоже. Как узнать чего им не нравиться даже близко гадать не берусь.
Цитата: Rulims от 10/02/2021, 23:52файл приложил
проблема в том что Cisco стандарт по факту, в моем компании по миру работает тысячи людей, скорее десятки тысяч и таких компаний тысячи.
файл приложил
проблема в том что Cisco стандарт по факту, в моем компании по миру работает тысячи людей, скорее десятки тысяч и таких компаний тысячи.
Загруженные файлы:- Вам нужно войти, чтобы просматривать прикрепленные файлы..
Цитата: sfstudio от 11/02/2021, 00:05проблема в том что Cisco стандарт по факту
Тем более стоит обратиться к ним что бы узнать как с их софта получить данные что их "стандарту по факту" не нравиться.
Увы мне этих данных получить не откуда. Ещё раз повторюсь. Роутеру сугубо пофигу кто шлёт пакеты стандарт по фатку или стандарт без факта.
И если остальные приложения работают, то данные о том что не нравится конкретному приложению нужно получать с последнего, а вопросы как получить эти данные задавать разработчику приложения.
Других вариантов нет как бы мне или вам бы не хотелось. Поэтому ещё раз рекомендую обратиться к "непогрешимому стандарту по факту" для выяснения как хотя бы какие-то данные с его прикладухи получить на тему что пошло не так.
У нас вот syslog есть для этого. А у них? Ну как дебажить-то я должен?
P.S. Могу проспонсировать, и даже лично отправить, 1-2 образца FT-AIR в Cisco. Без шуток.
проблема в том что Cisco стандарт по факту
Тем более стоит обратиться к ним что бы узнать как с их софта получить данные что их "стандарту по факту" не нравиться.
Увы мне этих данных получить не откуда. Ещё раз повторюсь. Роутеру сугубо пофигу кто шлёт пакеты стандарт по фатку или стандарт без факта.
И если остальные приложения работают, то данные о том что не нравится конкретному приложению нужно получать с последнего, а вопросы как получить эти данные задавать разработчику приложения.
Других вариантов нет как бы мне или вам бы не хотелось. Поэтому ещё раз рекомендую обратиться к "непогрешимому стандарту по факту" для выяснения как хотя бы какие-то данные с его прикладухи получить на тему что пошло не так.
У нас вот syslog есть для этого. А у них? Ну как дебажить-то я должен?
P.S. Могу проспонсировать, и даже лично отправить, 1-2 образца FT-AIR в Cisco. Без шуток.
Цитата: Rulims от 11/02/2021, 00:08Тем более стоит обратиться к ним что бы узнать как с их софта получить данные что их "стандарту по факту" не нравиться.
недопонял, это стеб или серьезно?
и как вы объясните что на других роутерах все работает? они все не по стандарту или что?
Тем более стоит обратиться к ним что бы узнать как с их софта получить данные что их "стандарту по факту" не нравиться.
недопонял, это стеб или серьезно?
и как вы объясните что на других роутерах все работает? они все не по стандарту или что?
Цитата: sfstudio от 11/02/2021, 00:09в моем компании по миру работает тысячи людей, скорее десятки тысяч и таких компаний тысячи.
Могу только посоветовать пообщаться с людьми вашей компании что именно и как у них настроено на доступе со сходными ноутами и ОС. Возможно выявите закономерность. См выше о абсолютно несвязанных на уровеня здравого смысла PMF и VPN....
Альтернатива вернуть оборудование и деньги с указанием на заводской деффект в виде несовместмости с any connect. Чем вам помочь я искренне не в курсе.
в моем компании по миру работает тысячи людей, скорее десятки тысяч и таких компаний тысячи.
Могу только посоветовать пообщаться с людьми вашей компании что именно и как у них настроено на доступе со сходными ноутами и ОС. Возможно выявите закономерность. См выше о абсолютно несвязанных на уровеня здравого смысла PMF и VPN....
Альтернатива вернуть оборудование и деньги с указанием на заводской деффект в виде несовместмости с any connect. Чем вам помочь я искренне не в курсе.
Цитата: sfstudio от 11/02/2021, 00:12и как вы объясните что на других роутерах все работает? они все не по стандарту или что?
Объяснений после свзяи PMF с VPN может быть море. Но все они лежат не на стороне роутера. Чем сильнее вы обдерёте роутер в части плюшек и расширений (включая отключения PMF или даже перехода в Open) - тем меньше шансов поиметь проблемы "совместимости" и далеко не факт что виноват роуер (99% он близко не при делах) или софт от циски, а не например какой кривой драйвер от риалтэка (например) в вашей винде который вот в конкретной связке отказался например работать с PMF256.
Вариантов миллионы. Но всё равно что бы что-то объяснять (для начала самому понять) мне нужно иметь хоть какую-то вводную с неработающего ПО. А оной нет.
Узнать как получить эти данные вы как пользователь (запросив процедуру как узнать чего ему надо у циски) этого ПО не желаете. А я как не пользователь просто не могу. Поэтому извините, но я не Ванга. Мне нужны данные что бы начать работать по проблеме.
Вы их предоставить не готовы ссылаясь на "cisco стандарт по фатку". Что поделать....
и как вы объясните что на других роутерах все работает? они все не по стандарту или что?
Объяснений после свзяи PMF с VPN может быть море. Но все они лежат не на стороне роутера. Чем сильнее вы обдерёте роутер в части плюшек и расширений (включая отключения PMF или даже перехода в Open) - тем меньше шансов поиметь проблемы "совместимости" и далеко не факт что виноват роуер (99% он близко не при делах) или софт от циски, а не например какой кривой драйвер от риалтэка (например) в вашей винде который вот в конкретной связке отказался например работать с PMF256.
Вариантов миллионы. Но всё равно что бы что-то объяснять (для начала самому понять) мне нужно иметь хоть какую-то вводную с неработающего ПО. А оной нет.
Узнать как получить эти данные вы как пользователь (запросив процедуру как узнать чего ему надо у циски) этого ПО не желаете. А я как не пользователь просто не могу. Поэтому извините, но я не Ванга. Мне нужны данные что бы начать работать по проблеме.
Вы их предоставить не готовы ссылаясь на "cisco стандарт по фатку". Что поделать....
Цитата: sfstudio от 11/02/2021, 00:30По конфигу.
Нафига yandex DNS на WAN? Они фильтруют там не редко целыми подсетями в т.ч. конторы предоставляющие облачные сервисы где запросто могут быть и ваши VPN сервера.
Сбросьте. Смените пароли на wifi доступ к UI и т.д. И больше ничего не трогайте.
Не заработает - попробуйте переключиться в WPA2-PSK с отключенным PMF (по результатам предыдущего мученика).
НО даже если заведётся крайне рекомендую написать циске и выяснить как хоть какие-то отладочные данные с их софтины получить. У нас нет с ними контакта, т.к. мы не клиенты циско. Т.е. нам они тупо не ответят.
По конфигу.
Нафига yandex DNS на WAN? Они фильтруют там не редко целыми подсетями в т.ч. конторы предоставляющие облачные сервисы где запросто могут быть и ваши VPN сервера.
Сбросьте. Смените пароли на wifi доступ к UI и т.д. И больше ничего не трогайте.
Не заработает - попробуйте переключиться в WPA2-PSK с отключенным PMF (по результатам предыдущего мученика).
НО даже если заведётся крайне рекомендую написать циске и выяснить как хоть какие-то отладочные данные с их софтины получить. У нас нет с ними контакта, т.к. мы не клиенты циско. Т.е. нам они тупо не ответят.
Цитата: Rulims от 11/02/2021, 17:10Цитата: sfstudio от 11/02/2021, 00:09в моем компании по миру работает тысячи людей, скорее десятки тысяч и таких компаний тысячи.
Могу только посоветовать пообщаться с людьми вашей компании что именно и как у них настроено на доступе со сходными ноутами и ОС. Возможно выявите закономерность. См выше о абсолютно несвязанных на уровеня здравого смысла PMF и VPN....
Альтернатива вернуть оборудование и деньги с указанием на заводской деффект в виде несовместмости с any connect. Чем вам помочь я искренне не в курсе.
- спасибо за рекомендации, я как раз с ИТ связан, по всему миру работаем на удаленке если что, конфигурация у всех фактически одна
2. как возврат при покупке через wb осуществляется, куплен больше двух недель назад?
Цитата: sfstudio от 11/02/2021, 00:09в моем компании по миру работает тысячи людей, скорее десятки тысяч и таких компаний тысячи.
Могу только посоветовать пообщаться с людьми вашей компании что именно и как у них настроено на доступе со сходными ноутами и ОС. Возможно выявите закономерность. См выше о абсолютно несвязанных на уровеня здравого смысла PMF и VPN....
Альтернатива вернуть оборудование и деньги с указанием на заводской деффект в виде несовместмости с any connect. Чем вам помочь я искренне не в курсе.
- спасибо за рекомендации, я как раз с ИТ связан, по всему миру работаем на удаленке если что, конфигурация у всех фактически одна
2. как возврат при покупке через wb осуществляется, куплен больше двух недель назад?
Цитата: Rulims от 11/02/2021, 17:13Цитата: sfstudio от 11/02/2021, 00:30По конфигу.
Нафига yandex DNS на WAN? Они фильтруют там не редко целыми подсетями в т.ч. конторы предоставляющие облачные сервисы где запросто могут быть и ваши VPN сервера.
Сбросьте. Смените пароли на wifi доступ к UI и т.д. И больше ничего не трогайте.
yandex DNS на WAN меня изначально смущал, без него не заработало (интернета через wifi не было) и я тупо решил вопрос - на всех остальных устройствах все заработало
как правильно настроить, интернет с ADSL модема МГТС
Смените пароли на wifi доступ к UI и т.д.
UI это что? и на что влияет?
Цитата: sfstudio от 11/02/2021, 00:30По конфигу.
Нафига yandex DNS на WAN? Они фильтруют там не редко целыми подсетями в т.ч. конторы предоставляющие облачные сервисы где запросто могут быть и ваши VPN сервера.
Сбросьте. Смените пароли на wifi доступ к UI и т.д. И больше ничего не трогайте.
yandex DNS на WAN меня изначально смущал, без него не заработало (интернета через wifi не было) и я тупо решил вопрос - на всех остальных устройствах все заработало
как правильно настроить, интернет с ADSL модема МГТС
Смените пароли на wifi доступ к UI и т.д.
UI это что? и на что влияет?
Цитата: sfstudio от 11/02/2021, 21:52
- что значит без яндекс DNS не заработало? У провайдера нет своих DNS серверов что приходится использовать левые?
- UI - пользовательский интерфейс, web морда в данном случе
По возвратам и т.д. не подскажу, ибо мы софтом занимаемся. Поставками,, гарантией и прочим занимается Fibertool.
как правильно настроить, интернет с ADSL модема МГТС
Ну ессли расскажете как неправильно скажу как правильно. =)))
Вариант 3. ADSL модем как роутер, и FT как роутер (двойной нат и прочая беда)
Вариант 2 ADSL модем как роутер и FT как AP (верно, но...)
Если по простому то ADSL модем остаётся роутером, а новая железка переключается в AP режим.
Вариант 1. В идеале ADSL модем настраивается в мост, а новый роутер уже поднимает PPPOE и прочее. Т.е. только он настроен как роутер.
Я бы рекомендовал бы вам попросить помощи у ТП вашего оператора (судя по вопросам) в настройке.
- что значит без яндекс DNS не заработало? У провайдера нет своих DNS серверов что приходится использовать левые?
- UI - пользовательский интерфейс, web морда в данном случе
По возвратам и т.д. не подскажу, ибо мы софтом занимаемся. Поставками,, гарантией и прочим занимается Fibertool.
как правильно настроить, интернет с ADSL модема МГТС
Ну ессли расскажете как неправильно скажу как правильно. =)))
Вариант 3. ADSL модем как роутер, и FT как роутер (двойной нат и прочая беда)
Вариант 2 ADSL модем как роутер и FT как AP (верно, но...)
Если по простому то ADSL модем остаётся роутером, а новая железка переключается в AP режим.
Вариант 1. В идеале ADSL модем настраивается в мост, а новый роутер уже поднимает PPPOE и прочее. Т.е. только он настроен как роутер.
Я бы рекомендовал бы вам попросить помощи у ТП вашего оператора (судя по вопросам) в настройке.
Цитата: Rulims от 11/02/2021, 22:03Цитата: sfstudio от 11/02/2021, 21:52
- что значит без яндекс DNS не заработало? У провайдера нет своих DNS серверов что приходится использовать левые?
- UI - пользовательский интерфейс, web морда в данном случе
По возвратам и т.д. не подскажу, ибо мы софтом занимаемся. Поставками,, гарантией и прочим занимается Fibertool.
не знаю почему не заработало, предыдущий роутер и с оригинальной и с кастомной прошивкой работал нормально без настроек. я понял в чем проблема и взял публичный DNS, разбираться смысла не было, посмотрю что с этим можно сделать другими способами, раз якобы может влиять.
пароль к UI естественно поменял
возвратов по такой причине быть не может, это очевидно
по настройкам посмотрю варианты, не заработает - напишу
Цитата: sfstudio от 11/02/2021, 21:52
- что значит без яндекс DNS не заработало? У провайдера нет своих DNS серверов что приходится использовать левые?
- UI - пользовательский интерфейс, web морда в данном случе
По возвратам и т.д. не подскажу, ибо мы софтом занимаемся. Поставками,, гарантией и прочим занимается Fibertool.
не знаю почему не заработало, предыдущий роутер и с оригинальной и с кастомной прошивкой работал нормально без настроек. я понял в чем проблема и взял публичный DNS, разбираться смысла не было, посмотрю что с этим можно сделать другими способами, раз якобы может влиять.
пароль к UI естественно поменял
возвратов по такой причине быть не может, это очевидно
по настройкам посмотрю варианты, не заработает - напишу
Цитата: Rulims от 11/02/2021, 22:04естественно роутер как роутер настраивается
естественно роутер как роутер настраивается
Цитата: Rulims от 14/02/2021, 01:17спасибо. перенастроил роутер без внешнего DNS, отключил PMF и все заработало. изначально смотрел в этом направлении. p.s. форум это с firefox глючит, не понимает что залогинен и не позволяет написать
спасибо. перенастроил роутер без внешнего DNS, отключил PMF и все заработало. изначально смотрел в этом направлении. p.s. форум это с firefox глючит, не понимает что залогинен и не позволяет написать
Цитата: sfstudio от 14/02/2021, 01:23Циске осильте отрепортить. Ибо это не проблема роутера.
Циске осильте отрепортить. Ибо это не проблема роутера.
Цитата: Rulims от 14/02/2021, 01:38я посмотрю что у нас по теме совместимости cisco есть, вчера только настроил, еще время не было
С настройками pmf по умолчанию у других производителей что?
https://quickview.cloudapps.cisco.com/quickview/bug/CSCvq05530
https://www.google.com/search?ei=ejcoYOzLMoayrgSl2bDADQ&q=pmf++cisco+anyconnect+problem&oq=pmf++cisco+anyconnect+problem&gs_lcp=Cgdnd3Mtd2l6EAMyBQghEKABOgcIIRAKEKABUKnaCFjSxglgq8wJaAFwAHgAgAFuiAG_CZIBBDEyLjKYAQCgAQGqAQdnd3Mtd2l6wAEB&sclient=gws-wiz&ved=0ahUKEwjs8LfE2ufuAhUGmYsKHaUsDNgQ4dUDCA0&uact=5
я посмотрю что у нас по теме совместимости cisco есть, вчера только настроил, еще время не было
С настройками pmf по умолчанию у других производителей что?
https://quickview.cloudapps.cisco.com/quickview/bug/CSCvq05530
Цитата: sfstudio от 14/02/2021, 14:14Ничего у "других" вендоров. Чаще всего PMF нет вообще. Не настроек нет, а поддрежки даже нет. Но т.к. PMF нынче обязателен для WPA3 то скоро будет у всех и по дефолту.
Но вопрос не в этом, а в том как связан PMF (шифрование managment фрэймов в 802.11) и какой-то VPN... Тут ответить может только циска.
Ничего у "других" вендоров. Чаще всего PMF нет вообще. Не настроек нет, а поддрежки даже нет. Но т.к. PMF нынче обязателен для WPA3 то скоро будет у всех и по дефолту.
Но вопрос не в этом, а в том как связан PMF (шифрование managment фрэймов в 802.11) и какой-то VPN... Тут ответить может только циска.
Цитата: sfstudio от 14/02/2021, 14:17https://quickview.cloudapps.cisco.com/quickview/bug/CSCvq05530
А терь вопрос. Куда они добавили поддержку? PMF работает на уровне радиодров. Причём тут VPN.
Грю гуглить бесполезно. В прошлый раз уже всё прогуглено. Нужно (ну если хочется понять почему и как оно связано) задавать вопрос непосредственно циске. У меня нет там контактов нынче что бы это сделать.
https://quickview.cloudapps.cisco.com/quickview/bug/CSCvq05530
А терь вопрос. Куда они добавили поддержку? PMF работает на уровне радиодров. Причём тут VPN.
Грю гуглить бесполезно. В прошлый раз уже всё прогуглено. Нужно (ну если хочется понять почему и как оно связано) задавать вопрос непосредственно циске. У меня нет там контактов нынче что бы это сделать.
