calcolare documento
Guida alla risoluzione dei problemi dei client VPN AnyConnect

Guida alla risoluzione dei problemi dei client VPN AnyConnect

2024-11-13 Introduzione Questo documento descrive uno scenario di risoluzione dei problemi delle applicazioni che non funzionano tramite il client VPN di Cisco

Related articles

VPN Test: Come Verificare Se Funziona (Guida Novembre 2024) 6 Browser con VPN inclusa gratis per aprire siti anonimi Migliori VPN gratis VPN: come funziona

Introduzione

Questo documento descrive uno scenario di risoluzione dei problemi delle applicazioni che non funzionano tramite il client VPN di Cisco AnyConnect.

Prerequisiti

Requisiti

requisito specifico previsto documento .

Componenti usati

Le informazioni contenute in questo documento si basano su una Cisco Adaptive Security Appliance (ASA) che esegue la versione 8.x.

informazioni is fanno discusse documento riferimento dispositivi usati specifico ambiente emulazione . i dispositivi menzionati documento configurazione ripristinata valori predefiniti . rete is operativa operativa , valutare attentamente eventuali conseguenze derivanti uso comandi .

Procedura di risoluzione dei problemi

Questo scenario di risoluzione dei problemi è dedicato alle applicazioni che non funzionano con il client VPN di Cisco AnyConnect per utenti finali con computer Microsoft Windows. In queste sezioni spiegheremo come risolvere i seguenti problemi:

Problemi di installazione dell’adattatore virtuale

Attenersi alla seguente procedura:

  1. Acquisizione file registro dispositivo :
    • Windows XP/Windows 2000:
      \Windows\setupapi.log
    • Windows Vista:

      Nota: per visualizzare questi file, è necessario rendere visibili le cartelle nascoste.

      \Windows\Inf\setupapi.app.log
          \Windows\Inf\setupapi.dev.log

    Se vengono visualizzati errori nel file di log setupapi, è possibile portare il livello di dettaglio a 0x2000FFFF.

  2. Acquisizione file registro programma installazione MSI :

    Se si tratta di un’installazione di implementazione web iniziale, questo registro si trova nella directory temporanea dell’utente.

    Se si tratta di un aggiornamento automatico, questo registro si trova nella directory temporanea del sistema:

    \Windows\Temp
    

    Il nome del file è nel formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log. Acquisire il file più recente della versione del client che si desidera installare. x.xxxx cambia in base alla versione, ad esempio 2.0.0343, mentre yyyyyyyyyyyyyy corrisponde alla data ora dell’installazione.

  3. Acquisizione del file delle informazioni di sistema del PC:
    1. Nella casella del prompt dei comandi/DOS, digitare quanto segue:

      Nota: dopo aver digitato il prompt, attendere. Il completamento del file può richiedere da due a cinque minuti.

    2. Acquisizione di un file dump systeminfo da un prompt dei comandi:

      Windows XP Windows Vista:

      systeminfo c:\sysinfo.txt
      

Per eseguire il debug del driver, consultare il documento sul problema del database dei driver AnyConnect.

Disconnessione o impossibilità di stabilire una connessione iniziale

Se si verificano problemi di connessione con il client AnyConnect, ad esempio disconnessioni o impossibilità di stabilire una connessione iniziale, acquisire i seguenti file:

  • Il file di configurazione dell’ASA per determinare se qualcosa nella configurazione causa l’errore di connessione:

    Dalla console dell’ASA, immettere write net x.x.x.x:ASA-Config.txt x.x.x.x è l’indirizzo IP di un server TFTP sulla rete.

    O

    Dalla console dell’ASA, immettere show running - config. Lasciare che la configurazione sulla schermata venga completata, quindi tagliarla incollarla in un editor di testo salvarla.

  • I registri evento AS:
    1. Per abilitare la registrazione su ASA degli eventi auth, WebVPN, SSL (Secure Sockets Layer) SVC (Client VPN SSL), utilizzare questi comandi CLI:
      config terminal
      logging enable
      logging timestamp
      logging class auth console debugging
      logging class webvpn console debugging
      logging class ssl console debugging
      logging class svc console debugging
    2. Creare una sessione AnyConnect assicurarsi che l’errore possa essere riprodotto. Acquisire l’output di registrazione dalla console, copiarlo su un editor di testo salvarlo.
    3. Per disabilitare la registrazione sui log, immettere no logging enable.
  • Il registro del client VPN di Cisco AnyConnect dal Visualizzatore eventi di Windows del PC client:
    1. Scegliere Start > Esegui.
    2. Inserire:
      eventvwr.msc /s
    3. Fare clic con il tasto destro del mouse sul registro del client VPN di Cisco AnyConnect selezionare Salva registro nome …AnyConnect.evt.

      Nota: salvare sempre il file nel formato .evt.

Se l’utente non riesce a connettersi con il client VPN di AnyConnect, il problema potrebbe essere correlato a una sessione di RDP (Remote Desktop Protocol) o all’abilitazione del Cambio rapido utente sul PC client. Sul PC client potrebbe comparire questo messaggio AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established. risolvere problema , disconnettere sessioni RDP stabilite disabilitare funzionalità Cambio rapido utente . condizione controllata attributo Windows Logon Enforcement profilo client , attualmente esiste impostazione consenta utente stabilire connessione VPN utenti connessi contemporaneamente computer . avviata richiesta miglioramento CSCsx15061 risolvere problema .

Nota: verificare che la porta 443 non sia bloccata in modo che il client AnyConnect possa connettersi all’appliance ASA.

Quando un utente non riesce a connettere il client VPN AnyConnect all’ASA, il problema potrebbe dipendere da un’incompatibilità tra la versione del client di AnyConnect la versione dell’immagine del software ASA. In questo caso, viene visualizzato il seguente messaggio di errore: Il programma di installazione non è in grado di avviare il client VPN Cisco, l'accesso senza client non è disponibile.

Per risolvere il problema, aggiornare la versione del client di AnyConnect per renderla compatibile con l’immagine del software ASA.

Quando si accede per la prima volta a AnyConnect, lo script di accesso non viene eseguito. Se ci si disconnette si esegue di nuovo l’accesso, lo script di accesso viene eseguito correttamente. Si tratta di un comportamento previsto.

Quando si connette il client VPN AnyConnect all’appliance ASA, è possibile che venga visualizzato questo messaggio: utente autorizzato accedere client AnyConnect , contattare amministratore.

Questo errore viene visualizzato quando l’immagine di AnyConnect non è presente nell’ASA. Una volta caricata l’immagine, AnyConnect può connettersi all’ASA senza problemi.

Questo errore può essere risolto disabilitando il DTLS (Datagram Transport Layer Security). Selezionare Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles deselezionare la casella di controllo Enable DTLS. Il DTLS viene disabilitato.

I file dartbundle mostrano questo messaggio di errore quando l’utente si disconnette: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE : gateway is riuscito sicuro riuscito rispondere pacchetti Dead Peer Detection. Questo errore indica che il canale DTLS è stato disattivato a causa di un errore DPD (Dead Peer Detection). L’errore viene risolto se si modificano i keepalive DPD si immettono i seguenti comandi:

webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd - interval gateway 80

ASA versione 8.4 ( 1 ) successive , i comandikeepalive svc svc dpd-interval vengono sostituiti rispettivamente dai comandi anyconnect keepalive anyconnect dpd-interval, come mostrato di seguito:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemi di transito del traffico

Quando vengono rilevati problemi relativi al transito del traffico verso la rete privata con una sessione AnyConnect tramite ASA, completare questi passaggi di acquisizione dei dati:

  1. Acquisizione dell’output del comando ASA show vpn-sessiondb detail svc filter name<username> dalla console. Se nell’output viene visualizzato Nome filtro: XXXXX, raccogliere l’output per show access-list XXXXX. Verificare che access-list XXXXX non blocchi il flusso di traffico interessato.
  2. Esportare le statistiche AnyConnect da Client VPN AnyConnect > Statistics > Details > Export (AnyConnect-ExportedStats.txt).
  3. Controllare il file di configurazione ASA per le istruzioni nat. Se la Network Address Translation (NAT) è attivata, le istruzioni devono escludere i dati che vengono restituiti al client come risultato della NAT. Ad esempio, per fare in modo che la NAT escluda (nat 0) gli indirizzi IP dal pool AnyConnect, usare questo comando sulla CLI:
    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out
  4. Determinare se il gateway con tunneling predefinito deve essere abilitato per l’installazione. Il gateway predefinito tradizionale è il gateway di ultima istanza per il traffico non decriptato.

    :

    
    !--- Route outside 0 0 is an incorrect statement.
    
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled

    Ad esempio, se il client VPN deve accedere a una risorsa che non è presente nella tabella di routing del gateway VPN, il pacchetto viene instradato attraverso il gateway predefinito standard. Per questa condizione, il gateway VPN non ha bisogno della tabella di routing interna completa. In questo caso è possibile utilizzare la parola chiave tunneled.

  5. Verificare se il traffico AnyConnect viene interrotto dalla policy di ispezione dell’ASA. È possibile escludere l’applicazione specifica utilizzata dal client di AnyConnect se si implementa il framework di policy modulare dell’ASA di Cisco. Ad esempio, con questi comandi è possibile escludere il protocollo Skinny.
    ASA(config)# policy-map global_policy
    ASA(config - pmap ) # class inspection_default
    ASA(config-pmap-c)# inspect skinny

Problemi di arresto anomalo di AnyConnect

Procedere segue raccolta dati :

  1. Assicurarsi che la utility Dr Watson di Microsoft sia abilitata. A tale scopo, scegliere Start > Esegui ed eseguire Drwtsn32.exe. Configurare i seguenti parametri fare clic su OK:
    Number of Instructions      : 25
    Number of Errors To Save : 25
    Crash Dump Type : Mini
    Dump Symbol Table : Checked
    Dump All Thread Contexts : Checked
    Append To Existing Log File : Checked
    Visual Notification : Checked
    Create Crash Dump File : Checked

    verifica arresto anomalo , prelevare i file.log .dmp da C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson. file is sembrano sembrano uso , utilizzarentbackup.exe.

  2. Acquisizione del registro del client VPN di Cisco AnyConnect dal Visualizzatore eventi di Windows del PC client:
    1. Scegliere Start > Esegui.
    2. Inserire:
      eventvwr.msc /s
    3. Fare clic con il tasto destro del mouse sul registro del client VPN di Cisco AnyConnect selezionare Salva registro nome … AnyConnect.evt.

      Nota: salvare sempre il file nel formato .evt.

Problemi di frammentazione/transito del traffico

Alcune applicazioni, come Microsoft Outlook, non funzionano. Tuttavia, il tunnel è in grado di far transitare altro traffico, ad esempio piccoli ping.

Questo può essere indicativo di un problema di frammentazione nella rete. I router consumer sono particolarmente carenti in termini di frammentazione riassemblaggio dei pacchetti.

Provare serie ping dimensioni progressive determinare verifica errore determinato livello . , ping -l 500 , ping -l 1000 , ping -l 1500 , ping -l 2000 .

Si consiglia di configurare un gruppo speciale per utenti con problemi di frammentazione di impostare l’MTU (Maximum Transition Unit) SVC per questo gruppo su 1200. In questo modo è possibile fornire un rimedio ai soli utenti che riscontrano questo problema, senza interferire con tutti gli altri.

Problema

Le connessioni TCP si bloccano una volta connesse a AnyConnect.

Soluzione

Per verificare se l’utente ha un problema di frammentazione, regolare l’MTU per i client AnyConnect sull’ASA.

 ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200

Disinstallazione automatica

Problema

Il client VPN AnyConnect si disinstalla automaticamente al termine della connessione. I log del client mostrano che la funzione di mantenimento dell’installazione è disabilitata.

Soluzione

AnyConnect si disinstalla nonostante in ASDM (Adaptive Security Device Manager) sia selezionata l’opzione keep installed. Per risolvere il problema, configurare il comando svc keep-installer installed policy .

Problema di popolamento dell’FQDN del cluster

Problema: il client AnyConnect è precompilato con il nome host anziché con il nome di dominio completo (FQDN) del cluster.

Quando per la rete VPN SSL è impostato un cluster a bilanciamento del carico il client tenta di connettersi al cluster, la richiesta viene reindirizzata all’ASA del nodo il client accede correttamente. In seguito, quando il client tenta di connettersi nuovamente al cluster, il nome di dominio completo (FQDN) del cluster non viene visualizzato tra le voci Connect to. Invece, viene visualizzata la voce ASA del nodo a cui è stato reindirizzato il client.

Soluzione

Questo accade perché il client AnyConnect conserva il nome host a cui si è connesso l’ultima volta. Questo comportamento viene rilevato viene registrato un bug. Per ulteriori informazioni sul bug, consultare l’ID bug Cisco CSCsz39019. Per ovviare al problema, si consiglia di aggiornare Cisco AnyConnect alla versione 2.5.

Configurazione elenco server backup

L’elenco di server di backup viene configurato per fornire una soluzione nel caso in cui il server principale selezionato dall’utente non sia raggiungibile. L’elenco viene definito nel riquadro Backup Server profilo AnyConnect . Attenersi procedura :

  1. Scaricare l’editor di profili di AnyConnect (solo clienti registrati). Il nome del file è AnyConnectProfileEditor2_4_1.jar.
  2. Creare un file XML con l’editor di profili di AnyConnect.
    1. Passare alla scheda Server List.
    2. Fare clic su Add.
    3. Digitare il server principale nel campo Hostname.
    4. Aggiungere il server di backup sotto l’elenco dei server di backup nel campo Host address. Quindi fare clic su Add.
  3. ottenuto file XML , necessario assegnarlo connessione uso sull’ ASA .
    1. In ASDM, scegliere Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles.
    2. Selezionare il profilo fare clic su Edit.
    3. Fare clic su Manage sezione Default Group Policy .
    4. Selezionare la policy di gruppo fare clic su Edit.
    5. Selezionare Advanced, quindi fare clic su SSL VPN Client.
    6. Fare clic su New. Quindi immettere un nome per il profilo assegnare il file XML.
  4. Connettere il client alla sessione per scaricare il file XML.

AnyConnect: problema del database dei driver danneggiato

Questa voce nel file SetupAPI.log suggerisce che il sistema del catalogo è danneggiato:

L’elenco della classe di firma del driver W239 genera il messaggio di errore "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Errore 0xfffde5: errore sconosciuto., presupponendo che tutte le classi di dispositivo siano soggette ai criteri di firma del driver.

È inoltre possibile ricevere il seguente messaggio di errore: Errore(3/17): Impossibile avviare VA, configurare la coda condivisa o VA ha abbandonato la coda condivisa.

È possibile ricevere questo registro sul client: "Il driver del client VPN ha rilevato un errore".

Riparazione

il problema è dovuto all’ID bug Cisco CSCsm54689. Per risolvere il problema, verificare che il servizio Routing Accesso remoto sia disabilitato prima di avviare AnyConnect. Se il problema persiste, procedere come segue:

  1. Aprire un prompt dei comandi come amministratore sul PC (prompt con privilegi elevati su Vista).
  2. Eseguire il comando net stop CryptSvc.
  3. Lanciare:
    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
  4. Quando richiesto, scegliere OK per tentare la riparazione.
  5. Uscire prompt comandi .
  6. Riavviare .

Riparazione non riuscita

riparazione riesce , attenersi procedura :

  1. Aprire un prompt dei comandi come amministratore sul PC (prompt con privilegi elevati su Vista).
  2. Eseguire il comando net stop CryptSvc.
  3. Rinominare la directory % WINDIR%\system32\catroot2 catroot2_old.
  4. Uscire prompt comandi .
  5. Riavviare .

Analisi del database

possibile analizzare database qualsiasi determinare valido .

  1. Aprire un prompt dei comandi come Amministratore sul PC.
  2. Lanciare:
    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

    Per ulteriori informazioni consultare Integrità del database del catalogo di sistema.

Messaggi di errore

Errore: impossibile aggiornare il database di gestione delle sessioni

Mentre la VPN SSL è connessa tramite un browser Web, viene visualizzato il messaggio di errore Unable to Update the Session Management Database (Impossibile aggiornare il database di gestione delle sessioni) nei log ASA viene visualizzato %ASA-3-211001: errore di allocazione della memoria. The adaptive security appliance failed to allocate RAM system memory.

Soluzione 1

problema dovuto all’ ID bug Cisco is dovuto CSCsm51093 . risolvere problema , ricaricare ASA o aggiornare software ASA versione provvisoria menzionata bug . ulteriori informazioni , consultare bug Cisco ID CSCsm51093 .

Soluzione 2

Questo problema può essere risolto anche disabilitando la funzione di rilevamento delle minacce sull’ASA, se utilizzata.

Errore: “Impossibile registrare il modulo c:\Programmi\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll”

Quando si utilizza il client AnyConnect su laptop o PC, si verifica un errore durante l’installazione:

" Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Quando si verifica questo errore, il programma di installazione non può procedere il client viene rimosso.

Soluzione

Le possibili soluzioni per aggirare questo errore sono:

  • Il client AnyConnect più recente non è più supportato da Microsoft Windows 2000. Si tratta di un problema di registro dei computer con Windows 2000.  
  • Rimuovere le applicazioni VMware. Una volta installato AnyConnect, è possibile aggiungere nuovamente le applicazioni VMware al PC.
  • Aggiungere l’ASA ai siti attendibili.  
  • Copiare questi file dalla cartella \Programmi\Cisco\CiscoAnyconnect in una nuova cartella ed eseguire il prompt dei comandi regsvr32 vpnapi.dll:
    • vpnapi.dll
    • vpncommon.dll
    • vpncommoncrypt.dll
  • Ricreare immagine sistema operativo laptop / PC .

Il messaggio di registro relativo a questo errore sul client AnyConnect è simile al seguente:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package . This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\ , ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package . This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\ , ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\ " -r

Errore: “Errore ricevuto dal gateway sicuro in risposta alla richiesta di negoziazione VPN. Contattare l’amministratore di rete.

errore viene visualizzato i client tentano connettersi VPN client VPN Cisco AnyConnect .

Il gateway di sicurezza ha ricevuto questo messaggio:

“Classe di indirizzo non valida” o “Host o rete 0” o “Altro errore”

Soluzione

Il problema è dovuto all’esaurimento del pool IP locale dell’ASA. Poiché la risorsa del pool VPN è esaurita, è necessario aumentare l’intervallo del pool IP.

Per questo problema consultare il bug Cisco ID CSCsl82188. Questo errore si verifica in genere quando il pool locale per l’assegnazione degli indirizzi è esaurito o se viene utilizzata una subnet mask a 32 bit per il pool di indirizzi. Per risolvere il problema espandere il pool di indirizzi utilizzare una subnet mask a 24 bit.

Errore: impossibile stabilire la sessione. È stato raggiunto il limite di 2 sessioni.

Quando si cerca di connettere più di due client con AnyConnect VPN Client, viene visualizzato il messaggio di errore Login Failed sul Client il messaggio di avviso Session could not be established. È stato raggiunto il limite di 2 sessioni. Uso della licenza AnyConnect essential sull’ASA versione 8.0.4.

Soluzione 1

errore is verifica verifica licenza is verificaAnyConnect Essentials non è supportata da ASA versione 8.0.4. Aggiornare l’ASA alla versione 8.2.2. In questo modo l’errore viene risolto.

Nota: indipendentemente dalla licenza utilizzata, se viene raggiunto il limite di sessioni, l’utente riceverà il messaggio di errore login failed.

Soluzione 2

Questo errore può verificarsi anche se si utilizza il comando vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit per impostare il limite di sessioni VPN da stabilire. Se il limite di sessioni è impostato a due, l’utente non può stabilire più di due sessioni anche se la licenza installata ne supporta di più. Per evitare il messaggio di errore, impostare il limite di sessioni sul numero di sessioni VPN necessarie.

Errore: Anyconnect non abilitata sul server VPN durante il tentativo di connessione di anyconnect ad ASA

Quando si cerca di connettere AnyConnect all’ASA, viene visualizzato il messaggio di errore Anyconnect not enabled on VPN server.

Soluzione

errore is risolve risolve abilitando AnyConnect sull’ interfaccia esterna ASA ASDM . ulteriori informazioni abilitare AnyConnect sull’ interfaccia esterna , riferimento Configurazione VPN SSL clientless ( WebVPN ) sull’ ASA .

Errore:- %ASA-6-72036: gruppo client-gruppo utente xxxx IP x.x.x.x Trasmissione pacchetto di grandi dimensioni 1220 (soglia 1206)

Nei log dell’ASA viene visualizzato il messaggio di errore %ASA-6-72036: Group < gruppo client > Utente < xxxx > IP < x.x.x> Transmitting large packet 1220 (soglia 1206). Che cosa significa questo messaggio come si risolve l’errore?

Soluzione

Questo messaggio di registro indica al client è stato inviato un pacchetto grande. L’origine del pacchetto non conosce il valore MTU del client. L’errore potrebbe anche dipendere dalla compressione di dati non comprimibili. Per risolvere il problema, disattivare la compressione SVC con il comando svc compression none. In questo modo il problema viene risolto.

Errore: il gateway sicuro ha rifiutato la richiesta di connessione o riconnessione vpn dell’agente.

connette client AnyConnect , viene visualizzato errore :" gateway is rifiutato sicuro rifiutato richiesta connessione o riconnessione vpn agente . new connection requires re - authentication and must be started manually . Please contact your network administrator if this problem persists . gateway is inviato sicuro inviato messaggio : " indirizzo assegnato ".

Questo errore si verifica anche quando ci si connette al client AnyConnect: "Il gateway sicuro ha rifiutato il tentativo di connessione. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway:Host or network is 0".

Questo errore si verifica anche quando ci si connette al client AnyConnect: "Il gateway sicuro ha rifiutato la richiesta di connessione o riconnessione vpn dell'agente. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Dal gateway sicuro è stato ricevuto il seguente messaggio: No License".

Soluzione

Sul router mancava la configurazione del pool dopo il reload. È necessario aggiungere nuovamente la configurazione interessata sul router.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address - pool SSLPOO

Quando la licenza di AnyConnect Mobility manca, viene visualizzato il seguente messaggio "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Il gateway sicuro ha inviato il seguente messaggio: No License" (Nessuna licenza) quando la licenza AnyConnect Mobility non è disponibile. Una volta installata la licenza, il problema viene risolto.

Errore: “Impossibile aggiornare il database di gestione delle sessioni”

Quando si tenta di eseguire l’autenticazione in WebPortal, viene visualizzato il seguente messaggio di errore: "Unable to update the session management database".

Soluzione

Questo problema è correlato all’allocazione della memoria sull’ASA. Questo problema si verifica principalmente quando la versione ASA è 8.2.1. In origine, questo richiedeva una RAM da 512 MB per le sue funzionalità complete.

Come soluzione permanente, aggiornare la memoria a 512 MB.

Come soluzione temporanea, provare a liberare la memoria con questi passaggi:

  1. Disabilitare il rilevamento delle minacce.
  2. Disabilitare la compressione SVC.
  3. Ricaricare ASA .

Errore: “Il driver del client VPN ha rilevato un errore”

Questo messaggio di errore viene visualizzato sul computer client quando si cerca di connettersi a AnyConnect.

Soluzione

risolvere errore completare procedura impostare manualmente agente VPN AnyConnect Interactive :

  1. Fare clic con il tasto destro del mouse su Risorse del computer > Gestisci > Servizi applicazioni > Servizi selezionare Cisco AnyConnect VPN Agent.
  2. Fare clic con il tasto destro del mouse su Proprietà, quindi accedere selezionare Consenti al servizio di interagire con il desktop.

    In questo modo il valore del tipo di registro DWORD viene impostato su 110 (l’impostazione predefinita è 010) per HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.

    Nota: desidera utilizzare opzione , preferibile utilizzare trasformazione.MST in questa istanza. Questo perché, se la si imposta manualmente con questi metodi, è necessario impostarla dopo ogni processo di installazione/aggiornamento. Ecco perché è necessario identificare l’applicazione che causa il problema.

    Quando il servizio di Routing Accesso remoto (RRAS) è abilitato sul PC Windows, AnyConnect ha esito negativo il driver del client VPN ha rilevato un errore. Messaggio di errore. Per risolvere il problema, assicurarsi che il RRAS sia disabilitato prima di avviare AnyConnect. Per ulteriori informazioni, consultare il bug Cisco ID CSCsm54689.

Errore: “Impossibile elaborare la risposta da xxx.xxx.xxx.xxx”

I client AnyConnect non riescono a connettersi a un’ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore " Unable to process response from xxx.xxx.xxx.xxx ".

Soluzione

Per risolvere questo problema, provare le soluzioni indicate:

  • Rimuovere WebVPN dall’ASA riattivarlo.<
  • Modificare il numero di porta 443 in 444 riabilitarlo sulla porta 443.

Per ulteriori informazioni su come abilitare WebVPN modificare la porta, fare riferimento a questa soluzione.

Errore: “Accesso negato, meccanismo di connessione non autorizzato, contattare l’amministratore”

I client AnyConnect non riescono a connettersi a un’ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore "Login Denied, unauthorized connection mechanism, contact your administrator".

Soluzione

Questo messaggio di errore si verifica principalmente per problemi di configurazione inadeguata o incompleta. Per risolvere il problema, controllare la configurazione verificare che sia quella richiesta.

<

Errore: “Il pacchetto Anyconnect non è disponibile o è danneggiato. Contattare l’amministratore di sistema.

Questo errore si verifica quando si tenta di avviare il software AnyConnect da un client Macintosh per connettersi a un’ASA.

Soluzione

Per risolvere questo problema eseguire questi passaggi:

  1. Caricare il pacchetto AnyConnect per Macintosh nella memoria flash dell’ASA.
  2. Modificare la configurazione WebVPN per specificare il pacchetto AnyConnect utilizzato.
    webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect - macosx - powerpc-2.3.2016-k9.pkg 3

    Il comando svc image viene sostituito dal comando anyconnect image nelle ASA versione 8.4 (1) successive, come mostrato di seguito:

    hostname(config)#webvpn

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1

    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Errore : ” Impossibile individuare pacchetto AnyConnect gateway sicuro “

Questo errore si verifica su macchine Linux quando tentano di connettersi all’ASA avviando AnyConnect. Questo è l’errore completo:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues . Please try connecting again . "

Soluzione

Per risolvere questo messaggio di errore, verificare se il sistema operativo (SO) utilizzato sul computer client è supportato dal client AnyConnect.  

Se il sistema operativo è supportato, verificare se il pacchetto AnyConnect è specificato nella configurazione WebVPN o meno. Per ulteriori informazioni, consultare la sezione Pacchetto AnyConnect non disponibile o danneggiato in questo documento.

Errore: “VPN sicura tramite desktop remoto non supportata”

Gli utenti non sono in grado di eseguire un accesso al desktop remoto. Viene visualizzato il messaggio di errore Secure VPN via remote desktop is not supported.

Soluzione

Il problema è dovuto ai seguenti ID bug Cisco: CSCsu2088 CSCso42825. Se si aggiorna il client VPN AnyConnect, il problema può essere risolto. Per ulteriori informazioni, fare riferimento a questi bug.

Errore: “Il certificato server ricevuto o la relativa catena non è conforme a FIPS. La connessione VPN non verrà stabilita.

Quando si tenta di connettersi tramite VPN all’ASA 5505, viene visualizzato il messaggio di errore The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established.

Soluzione

risolvere errore necessario disabilitare standard FIPS ( Federal Information Processing Standards ) filepolicy locale di AnyConnect. file is genere genere disponibileC:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. trova file percorso , cercarlo directory diversa provando :C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Una volta individuato il file xml, modificarlo come mostrato di seguito:

Modificare la frase:

<FipsMode>true</FipsMode>

:

<FipsMode>false</FipsMode>

Riavviare il computer. Per modificare questo file occorrono permessi di amministratore.

Errore : ” Errore convalida certificato “

Gli utenti non possono avviare AnyConnect ricevono il messaggio di errore Certificate Validation Failure.

Soluzione

L’autenticazione del certificato funziona in modo diverso con AnyConnect rispetto al client IPSec. Affinché l’autenticazione del certificato funzioni, è necessario importare il certificato del client nel browser modificare il profilo di connessione per utilizzare l’autenticazione del certificato. È inoltre necessario abilitare questo comando nell’ASA per consentire l’utilizzo dei certificati client SSL sull’interfaccia esterna:

ssl certificate-authentication interface outside port 443

Errore: “Si è verificato un problema il servizio agente VPN deve essere chiuso. Siamo spiacenti per l’inconveniente.

Quando AnyConnect versione 2.4.0202 è installato su un PC con Windows XP, si interrompe durante l’aggiornamento dei file di localizzazione un messaggio di errore indica che vpnagent.exe non funziona.

Soluzione

Questo comportamento è registrato nell’ID bug Cisco CSCsq49102. Per ovviare al problema, si consiglia di disabilitare il client Citrix.

Errore: “Impossibile aprire il pacchetto di installazione. Verificare che il pacchetto esista.

Quando viene scaricato AnyConnect, viene visualizzato questo messaggio di errore:

"Contact your system administrator. Errore durante l'installazione. Impossibile aprire il pacchetto di installazione. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package."

Soluzione

Per risolvere il problema procedere come segue:

  1. Rimuovere eventuali software antivirus.
  2. Disabilitare il firewall di Windows.
  3. Se i passaggi 1 o 2 non sono di aiuto, formattare la macchina installare.
  4. Se il problema persiste, aprire una richiesta TAC.

Errore: “Errore durante l’applicazione delle trasformazioni. Verificare che i percorsi di trasformazione specificati siano validi.

Questo messaggio di errore viene visualizzato durante il download automatico di AnyConnect dall’AS:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Questo è il messaggio di errore visualizzato durante la connessione a AnyConnect per MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues . Please try connecting again . "

Soluzione

risolvere problema provare soluzioni alternative :

  1. La causa principale di questo errore potrebbe dipendere da un file di traduzione MST danneggiato (ad esempio, importato). Per risolvere il problema procedere come segue:
    1. Rimuovere la tabella di conversione MST.
    2. Configurare l’immagine di AnyConnect per MacOS nell’ASA.
  2. Da ASDM, seguire il percorso Network (Client) Access > AnyConnect Custom > Installs ed eliminare il file del pacchetto AnyConnect. Assicurarsi che il pacchetto rimanga in Network (Client) Access > Advanced > SSL VPN > Client Setting.

Se nessuna di queste soluzioni risolve il problema contattare il supporto tecnico Cisco.

Errore: “Il driver del client VPN ha rilevato un errore”

Viene visualizzato questo errore:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Soluzione

Questo problema può essere risolto disinstallando il client AnyConnect rimuovendo il software antivirus. Successivamente, reinstallare il client AnyConnect. Se la risoluzione non funziona, riformattare il PC.

Errore: “Una riconnessione VPN ha determinato un’impostazione di configurazione diversa. L’impostazione della rete VPN è in corso di reinizializzazione. Potrebbe essere necessario ripristinare le applicazioni che utilizzano la rete privata.

Questo errore viene visualizzato quando si avvia AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Soluzione

Per risolvere questo errore, procedere come segue:

group-policy <Name> attributes
webvpn
svc mtu 1200

Sostituire il comando svc mtu con il comando anyconnect mtu nelle ASA versione 8.4 (1) successive, come mostrato qui:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config - group - webvpn ) #anyconnect mtu 500

Errore di AnyConnect durante l’accesso

Problema

AnyConnect riceve questo errore quando si connette al client:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Soluzione

Il problema può essere risolto apportando queste modifiche al profilo di AnyConnect:

Aggiungere questa riga al profilo di AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

L’impostazione del proxy IE non viene ripristinata dopo la disconnessione di AnyConnect in Windows 7

Problema

In Windows 7, se il proxy IE è impostato su Rileva automaticamente impostazioni is Rileva ed AnyConnect invia una nuova impostazione proxy, il proxy IE non viene ripristinato su Rileva automaticamente impostazioni is Rileva utente is terminato terminato sessione AnyConnect . Ciò causa problemi LAN utenti richiedono proxy impostatoRileva automaticamente impostazioni is Rileva.

Soluzione

Questo comportamento è registrato nell’ID bug Cisco CSCtj51376. Per ovviare al problema, si consiglia di eseguire l’aggiornamento a AnyConnect 3.0.

Errore: per abilitare AnyConnect Essentials, chiudere tutte le sessioni.

Quando si cerca di abilitare la licenza AnyConnect Essentials, su Cisco ASDM viene visualizzato questo messaggio di errore:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials is until can not be enabled until these sessions are closed .

Soluzione

Si tratta di un normale comportamento dell’ASA. AnyConnect Essentials è un client VPN SSL con licenza separata. È interamente configurato sull’ASA offre la piena funzionalità AnyConnect, con le seguenti eccezioni:

  • Nessun CSD (Cisco Secure Desktop) (incluso HostScan/Vault/Cache Cleaner)
  • VPN SSL client
  • Supporto facoltativo per Windows Mobile

licenza utilizzata contemporaneamente licenza premium VPN SSL condivisa . utilizzare licenza , necessario disabilitare altra .

Errore : scheda is nasconde Connessione opzione Internet Internet Explorer nasconde connessione client AnyConnect .

Dopo la connessione al client AnyConnect, la scheda Connessioni di Opzioni Internet in Internet Explorer viene nascosta.

Soluzione

Questo errore è dovuto alla funzione msie-proxy lockdown. Se si abilita questa funzione, la scheda Connessioni in Microsoft Internet Explorer viene nascosta per la durata della sessione VPN AnyConnect. Se si disabilita la funzione, la scheda Connessioni rimane visibile.

Errore: pochi utenti ricevono il messaggio di errore Accesso non riuscito quando altri utenti sono in grado di connettersi tramite AnyConnect VPN

Qualche utente riceve il messaggio di errore Login Failed, mentre altri riescono a connettersi correttamente tramite la VPN AnyConnect.

Soluzione

Questo problema può essere risolto selezionando la casella di controllo do not require pre – authentication per gli utenti.

Errore: il certificato visualizzato non corrisponde al nome del sito che si sta tentando di visualizzare.

Durante l’aggiornamento del profilo di AnyConnect, un errore indica che il certificato non è valido. Questo si verifica solo con Windows nella fase di aggiornamento del profilo. Questo il messaggio di errore visualizzato:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Soluzione

Questo errore può essere risolto modificando l’elenco dei server del profilo AnyConnect al fine di utilizzare il nome FQDN del certificato.

Questo è un esempio di profilo XML:

<ServerList>

<HostEntry>

<HostName>vpn1.ccsd.net</HostName>

</HostEntry>

</ServerList>

Nota: se esiste già una voce per l’indirizzo IP pubblico del server, ad esempio <IndirizzoHost>, rimuoverla mantenere solo il nome di dominio completo (FQDN) del server (ad esempio, <NomeHost> ma non <Indirizzo Host>).

Impossibile avviare AnyConnect dal Vault CSD su un computer con Windows 7

Quando AnyConnect viene avviato dal vault CSD, non funziona. Questo accade sui computer con Windows 7.

Soluzione

Attualmente non è possibile risolvere il problema perché la funzione non è supportata.

Il profilo di AnyConnect non viene replicato in standby dopo il failover

Il client VPN AnyConnect 3.0 funziona correttamente con il software ASA versione 8.4.1. Tuttavia, dopo il failover, non avviene alcuna replica per la configurazione relativa al profilo AnyConnect.

Soluzione

Il problema è stato rilevato registrato con l’ID bug Cisco CSCtn71662. La soluzione temporanea è copiare manualmente i file sull’unità in standby.

Il client AnyConnect si arresta in modo anomalo se Internet Explorer va offline

In questi casi il registro eventi di AnyConnect contiene voci simili alle seguenti:

Description : Function :
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function : CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Soluzione

Questo comportamento viene osservato registrato con l’ID bug Cisco CSCtx28970. Per risolvere questo problema, chiudere l’applicazione AnyConnect riavviare. Le voci di connessione vengono visualizzate nuovamente dopo il riavvio.

Messaggio di errore: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Il client AnyConnect non riesce a connettersi viene visualizzato il messaggio di errore Unable to establish a connection. log eventi AnyConnect , presente messaggio is presente erroreTLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Soluzione

Questo si verifica quando l’headend è configurato per il tunneling ripartito con un elenco di tunnel ripartiti molto esteso (circa 180-200 voci) uno o più altri attributi client sono configurati nella policy di gruppo, come i server DNS.

Per risolvere il problema procedere come segue:

  1. Ridurre il numero di voci nell’elenco dei tunnel ripartiti.
  2. Utilizzare configurazione disabilitare DTLS :
    group - policy groupName attributes
    webvpn
    svc dtls none

ulteriori informazioni consultare bug Cisco ID CSCtc41770 .

Messaggio di errore: “Tentativo di connessione non riuscito a causa di una voce host non valida”

Il messaggio di errore Connection attempt has failed due to invalid host entry viene visualizzato mentre AnyConnect viene autenticato con l’uso di un certificato.

Soluzione

Per risolvere il problema, provare una delle seguenti soluzioni:

  • Aggiornare AnyConnect alla versione 3.0.
  • Disabilitare Cisco Secure Desktop sul computer.

Per ulteriori informazioni consultare il bug Cisco ID CSCti73316.

Errore: “Verificare che i certificati del server possano passare la modalità rigorosa se si configura una VPN sempre attiva”

attiva funzionalità Always-On AnyConnect , viene visualizzato messaggio erroreEnsure your server certificates can pass strict mode if you configure always-on VPN.

Soluzione

Questo messaggio di errore implica che, se si desidera utilizzare la funzione Always-On, è necessario un certificato server valido configurato sull’headend. Senza un certificato server valido, questa funzione non è possibile. La modalità Strict Cert è un’opzione impostata nel file della policy locale AnyConnect per garantire che le connessioni utilizzino un certificato valido. Se si abilita questa opzione nel file della policy ci si connette con un certificato falso, la connessione non viene stabilita.

Errore: “Errore interno nei servizi HTTP di Microsoft Windows”

DART is mostra ( Diagnostic AnyConnect Reporting Tool ) mostra tentativo riuscito :

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function : CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services

*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function : ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui

Description : Function : ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line : 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed . Please try again .

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Inoltre, sui PC con Windows, consultare i registri del visualizzatore eventi.

Soluzione

L’errore potrebbe dipendere da una connessione Winsock danneggiata. Reimpostare la connessione dal prompt dei comandi con questo comando riavviare il computer Windows:

netsh winsock reset

Per ulteriori informazioni consultare l’articolo How to determine and to recover from Winsock2 corruption in Windows Server 2003, in Windows XP, and in Windows Vista nella knowledge base.

Errore: “Il trasporto SSL ha ricevuto un errore di canale protetto.  Può trattarsi di una configurazione di crittografia non supportata sul gateway di sicurezza.

DART is mostra ( Diagnostic AnyConnect Reporting Tool ) mostra tentativo riuscito :

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function : CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function : CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line : 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description : CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function : ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description : CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Soluzione

Secondo il seguente aggiornamento della KB, Windows 8.1 non supporta RC4:

http://support2.microsoft.com/kb/2868725

Configurare le crittografie DES/3DES per la VPN SSL sull’ASA utilizzando il comando “ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1” OPPURE modificare il file del registro di Windows sul computer client come indicato di seguito:

https://technet.microsoft.com/en-us/library/dn303404.aspx

Informazioni correlate