macOS Sierra ne se connecte plus aux VPN PPTP
Les VPN permettent de se connecter directement à un ordinateur distant. Ils ont en général deux usages différents : accéder à distance à un réseau local ; se connecter via un autre serveur pour ne pas utiliser son IP locale et contourner des restrictions. Le plus souvent, ils sont utilisés par des professionnels qui doivent se connecter à un réseau d’entreprise, ou par des particuliers qui veulent accéder à un contenu bloqué dans leur pays.
macOS permet de se connecter à un VPN : dans les Préférences Système, panneau Réseau, vous pouvez cliquer sur le + et ajouter une connexion VPN. Avec Sierra, Apple a toutefois retiré une option, un type de VPN : si vous utilisiez un serveur avec connexion PPTP, vous ne pourrez plus vous connecter une fois la mise à jour effectuée.
Pour assurer la sécurité de la connexion distante, les VPN doivent être chiffrés et il existe plusieurs protocoles de sécurité. Le PPTP, pour Point-to-Point Tunneling Protocol, est un protocole conçu par Microsoft à la fin des années 1990. La sécurité apportée est toutefois faible à l’heure actuelle et il a été largement remplacé par d’autres protocoles, comme le L2TP via IPSec qui est le choix le plus courant aujourd’hui.
Il n’était pas recommandé d’utiliser encore le PPTP, mais Apple, fidèle à ses habitudes, force le changement. Avec macOS Sierra, on ne peut plus utiliser du tout de connexion VPN protégée par ce protocole. Vous aurez le choix entre ces trois autres protocoles :
- L2TP via IPSec
- Cisco IPSec
- IKEv2
C’est au fournisseur de VPN de vous dire quelle option choisir, mais la plus courante sera sans doute la première. C’est le cas, par exemple, d’OpenVPN qui est actuellement en promotion sur le shop MacGeneration (29 $ pour un abonnement à vie) : pour se connecter, vous utiliserez l’option L2TP via IPSec.
Au passage, la situation n’est pas différente sur les appareils mobiles vendus par Apple. Sur iOS 10, on retrouve les mêmes options que sur macOS Sierra et le protocole PPTP y a également été retiré avec cette mise à jour.
Votre offre propose OneVPN et non OpenVPN qui est un autre protocole plus sécurisé mais malheureusement pas géré par macOS
Et ikev2 c'est quoi ? Mon fournisseur (ipvanish) l'utilise par défaut.
@jojo5757 :
C'est ce qu'il y a de mieux je crois en terme de protocole !
Mon fournisseur me le propose par défaut aussi (nordvpn)
Je n'ai pas vu ceci sur nordvpn. D'ailleurs leur app plante beaucoup trop souvent sur macos.
@EBLIS :
Il y a une app dédiée ikv2 en fait.
Même chose sur IOS 10 je viens de me rendre compte en lisant votre article que mon VPN PPTP vers freebox avait disparu de mes préférences.
Je connais des IT, en entreprises, qui vont devoir changer le VPN de leur boîte :-)
ou de postes clients...
> mais Apple, fidèle à ses habitudes, force le changement.
Sans prévenir.
@byte_order :
Oui sans prévenir
https://support.apple.com/fr-fr/HT206844
Au temps pour moi, ils ont effectivement prévenu 2 mois à l'avance.
Quelle idée idiote aussi, les responsables d'infra IT, de partir en vacances pendant l'été.
"Au temps pour moi, ils ont effectivement prévenu 2 mois à l'avance.
Quelle idée idiote aussi, les responsables d'infra IT, de partir en vacances pendant l'été."
Les responsables IT se jettent sur les derniers mise à niveau des OS ?
du parc géré, non, pas en règle generale, heureusement.
Mais l'infra c"est aussi l'extranet et le support du BYD de nos jours, et là, un changement de service VPN pour supporter aussi des utilisateurs qui mettent à jour leur propre iphone ou mac comme ils veulent parce que c'est le leur quoi, cela peut être un chouia galère en si peu de temps.
@byte order
L'info avait été communiquée par Apple au début de l'été.
Dans la boîte où je bosse, consigne a été donnée aux utilisateurs d'iPad et iPhone de ne pas faire la mise à jour vers iOS10, et décision a été prise de remplacer tous les iPhones par des Samsung et les iPad par des tablettes Surface d'ici la fin de l'année.
(Le non support de ce protocole de VPN n'est pas la seule raison de ces décisions....)
@remy
Serait-ce possible de connaitre les raisons de cette double mutation décidée par votre boite?
Ils vont bien rire avec les Surfaces pour se connecter aux VPN en PPTP...
Si c'est une boite sérieuse en mesure de gérer un parc si important n'est-il pas surprenant de conserver ce protocole considéré dépassé et manquant de sécurité depuis de longues années ?
Autre changement : macOS Sierra ne synchronise plus les dossiers Home des utilisateurs avec macOS Server. Les comptes réseau et Mobiles sont toujours possibles, mais Portable Home Directory n'est plus géré.
Bon, vu comment la fonction était "maintenue", on pouvait s'en douter un peu.
Mais l'idée était géniale !
@patrick86
Ça fait partie de ces idées géniales qu'Apple a régulièrement mais qui sont oubliées aussi vite qu apparues, souvent sans même avoir pris le temps de développer l'idée jusqu'au bout...
Dommage, vraiment !
@r e m y :
Oui. Ceci-dit, elle n'a pas vraiment abandonné l'idée, mais tend à la réaliser avec iCloud, plutôt qu'avec macOS Server.
Il est vrai cependant que PHD avait ses limites sur la synchronisation et la gestion des conflits est problématique dès lors que le système de synchronisation est indépendant des applications et travail sans concertation avec elles (Bcp d'apps ne gère par un remplacement d'un document déjà ouvert dans celles-ci).
En l'état, le fonction était efficace dans le scénario typique prévu : l'utilisateur en entreprise, qui a son compte user sur le serveur et doit pouvoir emmener ses documents dans son mac portable en déplacement.
Par contre, dans l'idée de synchroniser les données entre plusieurs appareils, le système montrait'vite ses limites.
iCloud Drive résout ce problème : un document peut être modifié sur l'iPad même s'il est ouvert sur le Mac également.
L'idéal pour moi (pour mon usage), serait toutes les fonctions d'iCloud offertes par macOS Server.
Mais là... ?
Ça ne se fera probablement jamais et c'est bien dommage. OS X Server a pourtant quelques points forts.
Son implantation de CalDav, par exemple, est probablement l'une, sinon la meilleure disponible sur leur marché, loin devant les autres solutions.
En attendant, j'ai préféré l'alternative Synology, avec entre autres son très performant Cloud Station Drive.
Considérant que rien ne peut être gratuit car il faut bien manger pour survivre, comment est-ce que peut bien fonctionner cet abonnement VPN à vie pour 29$ ? Ils se rémunèrent sur les données interceptées ? Ou alors ils perdent des sous volontairement ?
@chanteloux
Essentiellement dû aux résultats d'Appel d'offres, mais ce petit tracas de VPN a fini de convaincre la DSI qu'ils avaient fait le bon choix en quittant Apple pour les appareils mobiles qui techniquement commençaient à poser quelques problèmes (par exemple l'impossibilité de déployer une solution maison de reconnaissance d'équipements par badges NFC)
Plein de bonheur au DSI de ta boîte !
Google en train d'espionner l'entreprise, quel perspicacité d'esprit ;-)
@Crunch Crunch :
Encore un qui se fait un film
Moi ?
Mais non, Google est une entreprise de publicité. C'est un secret pour personne !
Il le disent eux-même. Je n'invente rien.
A travers un VPN, cela doit pas être facile d'espionner discrètement...
@Crunch Crunch :
Oui toi
Ubuntu c'est vraiment bien !
Manque plus que COGILOG migre sur Linux avec NextStep et hop...
Bof tout ça n'a rien de nouveau, les différents vpn n'ont jamais été supportés intégralement par les OS, un client est bien souvent nécessaire. Le pptp était encore là pour des raisons de compatibilité mais c'est une vraie passoire de nos jours.
Euh, la passoire est là depuis toujours, c'est juste que de nos jours on trouve les trous trop grands.
Ou pas.
Ou un fournisseur décide à votre place si les trous sont désormais trop grand pour tout le monde, forçant à devoir déployer un client compatible si vous n'avez pas l'intention de migrer immédiatement tout votre parc installé pour réduire la taille des trous de tous vos usages.
Au fait, je pense qu'apple devrait déprécier aussi IKEv2/IPSec parce que c'est apparemment NSA friendly. http://www.spiegel.de/media/media-35529.pdf