Как мы уже знаем, Apple перестала поддерживать PPTP/L2TP. Я был зол, когда они убрали разъём для наушников в iPhone, но рад, что они отказались от этих протоколов — пора двигаться дальше и перейти к чему-то более безопасному. OpenVPN известен своей надежностью и поддерживается основными производителями (также SoftEther). Не вижу смысла спорить с Apple о том, почему они их убрали. Я обновил Mac до Catalina и теперь не могу подключиться к VPN, поэтому связался с поддержкой Ubiquity, и это было полным разочарованием. Предполагаю, что можно опубликовать расшифровку. Чат начался: 2019-10-11 09:36 AM UTC
(09:36:36 AM) Kyriakos: MacOS Catalina перестал поддерживать PPTP и L2TP
(09:36:43 AM) Служба поддержки: Добро пожаловать в Центр поддержки Ubiquiti! Мы поможем вам найти нужную информацию в наших Community Forums () и Help Center (), чтобы вы могли самостоятельно управлять своей сетью. Скоро с вами свяжется один из наших экспертов.
(09:39:38 AM) Служба поддержки: Извините за ожидание! Все агенты сейчас заняты, но скоро кто-то к вам подключится. Пока можете посмотреть наш центр помощи, там может быть решение.
(09:42:38 AM) Служба поддержки: У нас сейчас очень много обращений. Спасибо за терпение, скоро мы вам поможем.
(09:57:31 AM) *** Randall V. вошёл в чат ***
(09:57:40 AM) Randall V.: Привет! Чем могу помочь?
(09:57:47 AM) Kyriakos: Привет
(09:58:15 AM) Kyriakos: У меня проблема с VPN-туннелем на Mac после обновления до Catalina
(09:58:22 AM) Kyriakos: Вы в курсе этой проблемы?
(10:00:36 AM) Randall V.: Какое устройство UniFi у вас?
(10:00:42 AM) Kyriakos: USG
(10:04:28 AM) Kyriakos: Вы ещё на линии?
(10:05:15 AM) Randall V.: Да.
(10:05:43 AM) Randall V.: Пробовали разные клиенты? Например Windows и iOS?
(10:06:24 AM) Kyriakos: Рэндалл
(10:06:26 AM) Randall V.: Как Windows и iOS.
(10:06:42 AM) Kyriakos: Проблема не в туннеле непосредственно
(10:07:12 AM) Kyriakos: Меня реально пугает, что такая большая компания, как ваша, не знает о технических изменениях
(10:07:23 AM) Kyriakos: Позвольте просветить
(10:08:28 AM) Kyriakos: Mac не поддерживает PPTP/L2TP в macOS Catalina из-за строгих требований безопасности Apple
(10:08:51 AM) Kyriakos: Это значит, что использовать эти протоколы невозможно
(10:09:33 AM) Randall V.: Мы знаем, что MacOS Catalina прекратил поддержку PPTP и L2TP. Можно использовать Windows клиент, iOS или Android — L2TP VPN сервер подключается через другой клиент, но с MacOS мы ничего сделать не можем. Обратитесь к ним.
(10:10:09 AM) Kyriakos: Раньше я говорил с Питером Дж., он сказал, что «L2TP — самый безопасный протокол сейчас»
(10:11:08 AM) Kyriakos: Хотя известно, что метод обмена ключами Диффи-Хеллмана был скомпрометирован уже давно
(10:12:33 AM) Kyriakos: Понимаю вашу точку зрения, Рэндалл, но как айтишник я строю инфраструктуры, чтобы пользователи работали без сбоев
(10:14:05 AM) Kyriakos: Факт в том, что L2TP (не говоря уже про PPTP) не безопасен. И Apple менять это в своей ОС не собирается. И угадайте, чья теперь задача — обновлять оборудование?
(10:15:15 AM) Kyriakos: Меня не злят ваши продукты, которые больше не поддерживают новые VPN-протоколы. Меня злит ваше игнорирование, компания с премиальными ценами и, по сути, никакой поддержкой в таких случаях.
(10:15:54 AM) Randall V.: Если MacOS перестал поддерживать L2TP и PPTP, мы мало что можем сделать. Попробуйте Windows клиент, iOS или Android.
(10:16:58 AM) Kyriakos:
(10:17:25 AM) Randall V.: Извиняюсь за доставленные неудобства.
(10:18:11 AM) Kyriakos: Ладно, Рэндалл. Вообще никаких неудобств. pfSense ведь бесплатный, в конце концов.
(10:18:43 AM) Kyriakos: И я опубликую наш разговор, если не возражаете. (Надеюсь, не возражаете)
(10:19:56 AM) Randall V.: Вы можете подключиться к VPN через Windows клиент, iOS или Android?
(10:20:04 AM) Kyriakos: Да
(10:20:24 AM) Kyriakos: Но моя рабочая станция — Mac, и таких много в мире
(10:21:40 AM) Kyriakos: И чтобы сэкономить ваше время — если Apple перестала поддерживать этот протокол в MacOS, скоро отключат и в iOS, как я думаю. И что тогда?
(10:21:55 AM) Kyriakos: Вы скажете, что мне нужно переходить на Windows или Android?
(10:23:06 AM) Kyriakos: Я уже вложил уйму денег в USG, Unifi антенны, ПО Unifi, один Unifi и другой. Windows-машину купить я не могу. У меня Mac.
(10:23:30 AM) Kyriakos: Ваши отговорки меня не устраивают, извините.
(10:24:19 AM) Randall V.: Ограничения ОС — это ограничения ОС, и мы мало что можем сделать на USG, учитывая, что вы можете подключаться к VPN через другие клиенты.
(10:24:57 AM) Kyriakos: Ладно, Рэндалл, всего доброго.
(10:25:11 AM) Kyriakos: Спасибо за уделённое время в любом случае.
(10:25:18 AM) Randall V.: Пожалуйста! Могу ли я ещё чем-то помочь?
(10:25:41 AM) Kyriakos: Нет, спасибо.
(10:26:34 AM) Randall V.: Я сейчас выйду, но если что — мы на связи! Мы ценим обратную связь и будем рады вашим оценкам и комментариям.
(10:27:01 AM) *** Randall V. покинул чат ***
Я немного перегнул в конце, извиняюсь перед Рэндаллом, но, честно, это же нереально. Знаю, что можно настроить OpenVPN на USG с парой команд в CLI, но в конце концов я заплатил немалую цену за оборудование Ubiquity, чтобы оно работало сразу, «из коробки». Кроме того, если USG когда-нибудь сломается, функция бэкапа не сохранит конфигурацию VPN, и мне снова придётся лезть в CLI. Как я сказал в переписке — я уже потратился на Ubiquity и собирался обновить свой CloudKey и купить ещё один коммутатор Unifi на 24 порта с PoE. Это почти тысяча долларов. После этого, скорее всего, перейду на pfSense и управляемый коммутатор — и дело с концом. Если придётся работать с CLI, зачем платить премиум? Как вы думаете?
(09:36:36 AM) Kyriakos: MacOS Catalina перестал поддерживать PPTP и L2TP
(09:36:43 AM) Служба поддержки: Добро пожаловать в Центр поддержки Ubiquiti! Мы поможем вам найти нужную информацию в наших Community Forums () и Help Center (), чтобы вы могли самостоятельно управлять своей сетью. Скоро с вами свяжется один из наших экспертов.
(09:39:38 AM) Служба поддержки: Извините за ожидание! Все агенты сейчас заняты, но скоро кто-то к вам подключится. Пока можете посмотреть наш центр помощи, там может быть решение.
(09:42:38 AM) Служба поддержки: У нас сейчас очень много обращений. Спасибо за терпение, скоро мы вам поможем.
(09:57:31 AM) *** Randall V. вошёл в чат ***
(09:57:40 AM) Randall V.: Привет! Чем могу помочь?
(09:57:47 AM) Kyriakos: Привет
(09:58:15 AM) Kyriakos: У меня проблема с VPN-туннелем на Mac после обновления до Catalina
(09:58:22 AM) Kyriakos: Вы в курсе этой проблемы?
(10:00:36 AM) Randall V.: Какое устройство UniFi у вас?
(10:00:42 AM) Kyriakos: USG
(10:04:28 AM) Kyriakos: Вы ещё на линии?
(10:05:15 AM) Randall V.: Да.
(10:05:43 AM) Randall V.: Пробовали разные клиенты? Например Windows и iOS?
(10:06:24 AM) Kyriakos: Рэндалл
(10:06:26 AM) Randall V.: Как Windows и iOS.
(10:06:42 AM) Kyriakos: Проблема не в туннеле непосредственно
(10:07:12 AM) Kyriakos: Меня реально пугает, что такая большая компания, как ваша, не знает о технических изменениях
(10:07:23 AM) Kyriakos: Позвольте просветить
(10:08:28 AM) Kyriakos: Mac не поддерживает PPTP/L2TP в macOS Catalina из-за строгих требований безопасности Apple
(10:08:51 AM) Kyriakos: Это значит, что использовать эти протоколы невозможно
(10:09:33 AM) Randall V.: Мы знаем, что MacOS Catalina прекратил поддержку PPTP и L2TP. Можно использовать Windows клиент, iOS или Android — L2TP VPN сервер подключается через другой клиент, но с MacOS мы ничего сделать не можем. Обратитесь к ним.
(10:10:09 AM) Kyriakos: Раньше я говорил с Питером Дж., он сказал, что «L2TP — самый безопасный протокол сейчас»
(10:11:08 AM) Kyriakos: Хотя известно, что метод обмена ключами Диффи-Хеллмана был скомпрометирован уже давно
(10:12:33 AM) Kyriakos: Понимаю вашу точку зрения, Рэндалл, но как айтишник я строю инфраструктуры, чтобы пользователи работали без сбоев
(10:14:05 AM) Kyriakos: Факт в том, что L2TP (не говоря уже про PPTP) не безопасен. И Apple менять это в своей ОС не собирается. И угадайте, чья теперь задача — обновлять оборудование?
(10:15:15 AM) Kyriakos: Меня не злят ваши продукты, которые больше не поддерживают новые VPN-протоколы. Меня злит ваше игнорирование, компания с премиальными ценами и, по сути, никакой поддержкой в таких случаях.
(10:15:54 AM) Randall V.: Если MacOS перестал поддерживать L2TP и PPTP, мы мало что можем сделать. Попробуйте Windows клиент, iOS или Android.
(10:16:58 AM) Kyriakos:
(10:17:25 AM) Randall V.: Извиняюсь за доставленные неудобства.
(10:18:11 AM) Kyriakos: Ладно, Рэндалл. Вообще никаких неудобств. pfSense ведь бесплатный, в конце концов.
(10:18:43 AM) Kyriakos: И я опубликую наш разговор, если не возражаете. (Надеюсь, не возражаете)
(10:19:56 AM) Randall V.: Вы можете подключиться к VPN через Windows клиент, iOS или Android?
(10:20:04 AM) Kyriakos: Да
(10:20:24 AM) Kyriakos: Но моя рабочая станция — Mac, и таких много в мире
(10:21:40 AM) Kyriakos: И чтобы сэкономить ваше время — если Apple перестала поддерживать этот протокол в MacOS, скоро отключат и в iOS, как я думаю. И что тогда?
(10:21:55 AM) Kyriakos: Вы скажете, что мне нужно переходить на Windows или Android?
(10:23:06 AM) Kyriakos: Я уже вложил уйму денег в USG, Unifi антенны, ПО Unifi, один Unifi и другой. Windows-машину купить я не могу. У меня Mac.
(10:23:30 AM) Kyriakos: Ваши отговорки меня не устраивают, извините.
(10:24:19 AM) Randall V.: Ограничения ОС — это ограничения ОС, и мы мало что можем сделать на USG, учитывая, что вы можете подключаться к VPN через другие клиенты.
(10:24:57 AM) Kyriakos: Ладно, Рэндалл, всего доброго.
(10:25:11 AM) Kyriakos: Спасибо за уделённое время в любом случае.
(10:25:18 AM) Randall V.: Пожалуйста! Могу ли я ещё чем-то помочь?
(10:25:41 AM) Kyriakos: Нет, спасибо.
(10:26:34 AM) Randall V.: Я сейчас выйду, но если что — мы на связи! Мы ценим обратную связь и будем рады вашим оценкам и комментариям.
(10:27:01 AM) *** Randall V. покинул чат ***
Я немного перегнул в конце, извиняюсь перед Рэндаллом, но, честно, это же нереально. Знаю, что можно настроить OpenVPN на USG с парой команд в CLI, но в конце концов я заплатил немалую цену за оборудование Ubiquity, чтобы оно работало сразу, «из коробки». Кроме того, если USG когда-нибудь сломается, функция бэкапа не сохранит конфигурацию VPN, и мне снова придётся лезть в CLI. Как я сказал в переписке — я уже потратился на Ubiquity и собирался обновить свой CloudKey и купить ещё один коммутатор Unifi на 24 порта с PoE. Это почти тысяча долларов. После этого, скорее всего, перейду на pfSense и управляемый коммутатор — и дело с концом. Если придётся работать с CLI, зачем платить премиум? Как вы думаете?