Guía de solución de problemas de AnyConnect VPN Client: problemas comunes

Introducción

En este documento, se describe una situación de solución de problemas que corresponde a las aplicaciones que no funcionan mediante Cisco AnyConnect VPN Client.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento tiene como base un dispositivo Cisco Adaptive Security Appliance (ASA) que ejecuta la versión 8.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Proceso de Troubleshooting

Este escenario de troubleshooting típico corresponde a las aplicaciones que no funcionan con Cisco AnyConnect VPN Client para los usuarios finales con equipos compatibles con Microsoft Windows. Estas secciones abordan y brindan las soluciones a los problemas:

Problemas de la Instalación y del Adaptador Virtual

Complete estos pasos:

1. Obtenga el archivo del log del dispositivo:

   Si ve errores en el archivo de registro setupapi, puede aumentar el nivel de detalle a 0x2000FFFF.

2. Obtenga archivo log Instalador MSI :

   Si se trata de una instalación de implementación web inicial, este log está ubicado en el directorio temporal por usuario.

   Si se trata de una actualización automática, este log se encuentra en el directorio temporal del sistema:

   \Windows\Temp
   

   El nombre de archivo tiene este formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log. Obtenga archivo reciente versión cliente desee instalar . cambios x.xxxx basados versión , 2.0.0343 , yyyyyyyyyyyyyy incluyen fecha hora instalación .

3. Obtenga el archivo de información del sistema de la PC:
   1. Desde el Indicador del Comando/cuadro DOS, escriba lo siguiente:

      Nota: Después de escribir en este mensaje, espere. El archivo puede tardar entre dos y cinco minutos en completarse.

       

   2. Obtenga un vaciado del archivo systeminfo de un Indicador de Comando:

      Windows XP y Windows Vista:

      systeminfo c:\sysinfo.txt
      

Consulte AnyConnect: Problema de Base de Datos del Controlador Dañado para depurar el problema del controlador.

Desconexión Imposibilidad Establecer Conexión Inicial

Si experimenta problemas de conexión con el cliente AnyConnect, como desconexiones o la incapacidad para establecer una conexión inicial, obtenga estos archivos:

• El archivo de configuración de ASA para determinar si hay algo en la configuración que provoque la falla de conexión:

  Desde la consola de la ASA, escriba write net x.x.x.x:ASA-Config.txt donde x.x.x.x es la dirección IP de un servidor TFTP en la red.

  O

  consola ASA , escriba show running-config . Deje configuración complete pantalla ; , corte pegue texto editor texto guardarlo .

• Los logs de eventos ASA:
  1. Para habilitar el registro en ASA para eventos de autenticación, WebVPN, Secure Sockets Layer (SSL) y cliente SSL VPN (SVC), emita estos comandos de CLI:

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

      

  2. Origine una sesión de AnyConnect y asegúrese de poder reproducir el error. Capture la salida del registro de la consola en un editor de texto y guárdelo.
  3. Para inhabilitar el registro, ejecute no logging enable.

   

• El log de Cisco AnyConnect VPN Client de Windows Event Viewer en el equipo cliente:
  1. Elija Start > Run.
  2. Escriba :

     eventvwr.msc /s

      

  3. Haga clic derecho registroCisco AnyConnect VPN Client y seleccione Save Log File as AnyConnect.evt (Guardar archivo de registro como AnyConnect.evt).

     Nota: guárdelo siempre con el formato de archivo .evt.

Si el usuario no puede conectarse con AnyConnect VPN Client, es posible que el problema se relacione con una sesión de protocolo de escritorio remoto (RDP) ya establecida o con el cambio rápido de usuario habilitado en la computadora cliente. El usuario puede ver que las configuraciones del perfil de AnyConnect requieren un solo usuario local, pero varios usuarios locales actualmente tienen una sesión iniciada en su equipo. No se establecerá la conexión VPN; aparece un mensaje de error en el equipo cliente. resolver problema , desconecte sesión establecida RDP deshabilite cambio rápido usuario . comportamiento is controlado controlado atributo Aplicación inicio sesión Windows perfil cliente ; , actualmente configuración realmente permita usuario establecer conexión VPN usuarios inician sesión simultáneamente máquina . solicitud is archivó mejora CSCx15061 archivó abordar característica .

Nota: Asegúrese puerto 443 esté bloqueado cliente AnyConnect conectarse ASA .

usuario conectar AnyConnect VPN Client ASA , problema is deberse deberse incompatibilidad versión cliente AnyConnect versión imagen software ASA . caso , usuario is recibe recibe mensaje error :El instalador no pudo iniciar el cliente Cisco VPN, el acceso sin cliente no está disponible.

Para resolver este problema, actualice la versión del cliente AnyConnect para que sea compatible con la imagen de software de ASA.

Cuando inicia sesión por primera vez en AnyConnect, el script de inicio de sesión no funciona. Si se desconecta y vuelve a iniciar sesión, el script de inicio de sesión se ejecuta correctamente. Ésta es la conducta esperada.

conecta AnyConnect VPN Client ASA , reciba error :Usuario is comuníquese autorizado acceso AnyConnect Client , comuníquese administrador.

Este error aparece cuando la imagen de AnyConnect no está en ASA. Una vez que se carga la imagen en ASA, AnyConnect puede conectarse sin problemas a ASA.

Este error se puede resolver deshabilitando la seguridad de la capa de transporte de datagramas (DTLS). Vaya a Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (Configuración > Acceso remoto a la VPN > Acceso a la red [cliente] > Perfiles de conexión de AnyConnect) y desmarque la casilla de verificación Enable DTLS (Permitir DTLS). Esto deshabilita la DTLS.

Los archivos dartbundle muestran este mensaje de error cuando el usuario se desconecta: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: El gateway seguro no pudo responder a los paquetes de detección de par muerto. Este error significa que el canal de DTLS se vio afectado debido al error de detección de par muerto (DPD). Este error se resuelve si ajusta los keepalive de DPD y emite estos comandos:

webvpn
   svc keepalive 30
    svc dpd-interval client 80
    svc dpd-interval gateway 80

A partir de la versión 8.4(1) de ASA, los comandos svc keepalive y svc dpd-interval se sustituyen por los comandos anyconnect keepalive y anyconnect dpd-interval (respectivamente), como se muestra a continuación:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemas con el Paso del Tráfico

detectan problemas paso tráfico red privada sesión AnyConnect ASA , complete pasos recopilar datos :

1. Obtenga salida comando ASAshow vpn-sessiondb detail svc filter name <username> desde la consola. Si la salida muestra Filter Name: XXXXX, recopile la salida para show access-list XXXXX. Verifique que la lista de acceso XXXXX no bloquee el flujo de tráfico deseado.
2. Exporte las estadísticas de AnyConnect desde AnyConnect VPN Client > Statistics > Details > Export (AnyConnect VPN Client > Estadísticas > Detalles > Exportar) (AnyConnect-ExportedStats.txt).
3. Verifique el archivo de configuración ASA para las sentencias NAT. Si la traducción de direcciones de red (NAT) está habilitada, estas deben exceptuar los datos que regresan al cliente como resultado de la NAT. Por ejemplo, para que NAT exceptúe (nat 0) las direcciones IP desde el grupo de AnyConnect, use esto en la CLI:

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

    

4. Determine si el gateway predeterminado tunelado debe habilitarse para la configuración. El gateway predeterminado tradicional es el gateway de último recurso para el tráfico no descifrado.

   Ejemplo:

   
   ! --- Route outside 0 0 is an incorrect statement .
   
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   Por ejemplo, si el cliente VPN debe tener acceso a un recurso que no está en la tabla de routing del gateway VPN, el routing del paquete se realiza a través del gateway predeterminado estándar. El gateway de VPN no necesita la tabla de ruteo interno completa para resolver este problema. Se puede usar la palabra clave tunneled en este caso.

5. Compruebe si la política de inspección de ASA descarta el tráfico de AnyConnect. Puede exceptuar la aplicación específica que el cliente AnyConnect utiliza si implementa el marco de trabajo de política modular de Cisco ASA. Por ejemplo, podría hacer que se exceptúe el protocolo skinny con estos comandos.

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# inspect skinny

Problemas por Crash de AnyConnect

Complete estos pasos para recopilar datos:

1. Asegúrese de que esté habilitada la Utilidad de Microsoft Dr. Watson. Para hacerlo, seleccione Start> Run, y ejecute Drwtsn32.exe. Configure esto y haga clic en OK:

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   Cuando se produzca el crash, recopile los archivos .log y .dmp de C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. Si estos archivos se están usando, utilice ntbackup.exe.

2. Obtenga el log del Cisco AnyConnect VPN Client del Visor de Eventos de Windows en el equipo cliente:
   1. Elija Start > Run.
   2. Escriba :

      eventvwr.msc /s

       

   3. Haga clic derecho registroCisco AnyConnect VPN Client y seleccione Save Log File as AnyConnect.evt (Guardar archivo de registro como AnyConnect.evt).

      Nota: guárdelo siempre con el formato de archivo .evt.

Problemas con la Fragmentación o el Paso del Tráfico

aplicaciones is funcionan , Microsoft Outlook , funcionan . , túnel is deja deja pasar tráfico , pequeños pings .

Esto puede proporcionar pistas en cuanto a un problema de fragmentación en la red. El rendimiento de los routers del consumidor es particularmente deficiente en cuanto a la fragmentación de paquetes y el re ensamblado.

Pruebe con un conjunto de pings de tamaño creciente para determinar si el error ocurre con un determinado tamaño. Por ejemplo, ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

recomienda configure grupo especial usuarios experimentan fragmentación defina unidad máxima transmisión ( MTU ) SVC grupo 1200 . Esto is permite permite brindar solución usuarios experimentan problema afectar base usuarios amplia .

Problema

conexiones is dejan TCP dejan responder conectarse AnyConnect .

Solución

Para comprobar si el usuario tiene un problema de fragmentación, ajuste la MTU para clientes AnyConnect en ASA.

 ASA(config)#group-policy <name> attributes
                           webvpn
                               svc mtu 1200

Desinstalación Automática

Problema

AnyConnect VPN Client se desinstala una vez que termina la conexión. Los logs del cliente muestran que la opción mantener instalado está inhabilitada.

Solución

AnyConnect se desinstala a pesar de que está seleccionada la opción keep installed (mantener instalado) en Adaptive Security Device Manager (ASDM). Para resolver este problema, configure el comando svc keep-installer installed debajo de la política de grupo.

Problema para completar el FQDN del clúster

Problema: el cliente AnyConnect se rellena automáticamente con el nombre de host en lugar del nombre de dominio completo (FQDN) del clúster.

clúster equilibrio carga configurado SSL VPN cliente intenta conectarse clúster , solicitud is redirige redirige ASA nodo cliente inicia sesión correctamente . tiempo , cliente intenta conectarse clúster , FQDN is aparece clúster aparece entradasConnect to (Conectar a). cambio , ve entrada is ve ASA nodo redirigió cliente .

Solución

Esto ocurre porque el cliente de AnyConnect conserva el nombre del host al que se conectó por última vez. Se ha observado este comportamiento y se ha registrado el error. Para obtener información completa sobre el error, consulte la identificación de error de Cisco CSCsz39019. La solución sugerida es actualizar Cisco AnyConnect a la versión 2.5.

Configuración de la lista de servidores de respaldo

necesario configurar lista servidores respaldo caso acceso servidor principal seleccionado usuario . Esto is define define panelBackup Server ( Servidor respaldo ) perfil AnyConnect . Complete estos pasos:

1. Descargue el editor de perfiles de AnyConnect (solo para clientes registrados). El nombre del archivo es AnyConnectProfileEditor2_4_1.jar.
2. Cree un archivo XML con el editor de perfiles de AnyConnect.
   1. Vaya a la ficha de la lista de servidores.
   2. Haga clic Add ( Agregar ) .
   3. Escriba el servidor principal en el campo Hostname ( Nombre host ) .
   4. Agregue el servidor de respaldo debajo de la lista de servidores de respaldo, en el campo Host address (Dirección del host). Luego, haga clic en Add (Agregar).

    

3. Una vez que tenga el archivo XML, deberá asignarlo a la conexión que usa en ASA.
   1. En ASDM, seleccione Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (Configuración > Acceso remoto a la VPN > Acceso a la red [cliente] > Perfiles de conexión de AnyConnect).
   2. Seleccione su perfil y haga clic en Edit (Editar).
   3. Haga clicManage (Administrar) en la sección Default Group Policy (Política de grupo predeterminada).
   4. Seleccione su política de grupo y haga clic en Edit (Editar).
   5. Seleccione Advanced is haga ( Avanzado)y is haga haga clic SSL VPN Client (Cliente SSL VPN).
   6. Haga clicNew. Luego, deberá escribir un nombre para el perfil y asignar el archivo XML.

    

4. Conecte el cliente a la sesión para descargar el archivo XML.

AnyConnect: Problema de base de datos de controladores dañados

Esta entrada en el archivo SetupAPI.log sugiere que el sistema de catálogo está dañado:

Falta la lista de clase de firma del driver W239 “C:\WINDOWS\INF\certclas.inf” o no es válida. Error 0xfffffde5 : Error desconocido ., suponiendo que todas las clases de dispositivos están sujetas a la directiva de firmas de controladores.

También puede recibir este mensaje de error: Error (3/17): No se puede iniciar el dispositivo virtual, configurar la cola compartida o el dispositivo virtual ha abandonado la cola compartida.

Puede recibir este registro en el cliente: "El controlador del cliente VPN ha encontrado un error".

Reparación

Este problema se debe a la identificación de error de Cisco CSCsm54689. Para resolver este problema, asegúrese de que el Routing and Remote Access Service esté inhabilitado antes de iniciar AnyConnect. Si esto no resuelve el problema, siga estos pasos:

1. Abra indicador comando Administrador equipo ( indicador elevado Vista ) .
2. Ejecute net stop CryptSvc.
3. Ejecute :

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

    

4. Cuando se le pida, seleccione OK (Aceptar) para intentar la reparación.
5. Salga del indicador de comando.
6. Reiniciar .

Error en la reparación

Si la reparación falla, siga estos pasos:

1. Abra indicador comando Administrador equipo ( indicador elevado Vista ) .
2. Ejecute net stop CryptSvc.
3. Cambie el nombre del directorio %WINDIR%\system32\catroot2 to catroot2_old.
4. Salga del indicador de comando.
5. Reiniciar .

Analizar Base Datos

analizar base datos momento determinar válida .

1. Abra indicador comando Administrador equipo .
2. Ejecute :

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   Consulte Integridad de la Base de Datos del Catálogo del Sistema para obtener más información.

Mensajes error

Error: No se puede actualizar la base de datos de administración de sesiones

Mientras SSL VPN está conectado a través de un navegador web, no se puede actualizar la base de datos de administración de sesiones. aparece el mensaje de error y los registros de ASA muestran %ASA-3-211001: Error de asignación de memoria. The adaptive security appliance failed to allocate RAM system memory (Error de asignación de memoria. Adaptive Security Appliance no pudo asignar memoria RAM del sistema).

Solución 1

Este problema se debe a la identificación de error de Cisco CSCsm51093. Para resolver este problema, recargue el ASA o actualice el software ASA a la versión provisoria mencionada en el bug. Consulte el ID de error CSCsm51093 para obtener más información.

Solución 2

Este problema también puede resolverse si deshabilita la detección de amenazas en ASA (en caso de utilizarla).

Error: “Error al registrar el módulo c:\Archivos de programa\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll”

Cuando utiliza el cliente AnyConnect en computadoras portátiles o de escritorio, se produce un error durante la instalación:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Cuando se detecta este error, el instalador no puede avanzar y el cliente se elimina.

Solución

Estas son las posibles soluciones para este error:

• El cliente más reciente de AnyConnect ya no es oficialmente compatible con Microsoft Windows 2000. Es un problema de registro con la computadora que ejecuta Windows 2000.
• Elimine las aplicaciones de VMware. Una vez que se instala AnyConnect, es posible agregar las aplicaciones de VMware nuevamente a la computadora.
• Agregue ASA a los sitios de confianza.
• Copie estos archivos desde la carpeta \ProgramFiles\Cisco\CiscoAnyconnect a una carpeta nueva y ejecuteregsvr32 vpnapi.dll en el símbolo del sistema:
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll

   

• Cree una nueva imagen del sistema operativo en la computadora portátil o de escritorio.

El mensaje del registro relacionado con este error en el cliente de AnyConnect es similar al siguiente:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\ , ,
DEBUG : Error 2911 :   Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\ , ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe , command : -acl " C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Error: “Se recibió un error del gateway seguro en respuesta a la solicitud de negociación de VPN. Please contact your network administrator” (El gateway seguro arrojó un error como respuesta a la solicitud de negociación de la VPN. Comuníquese con su administrador de redes)

Este error aparece cuando los clientes intentan conectarse a la VPN con Cisco AnyConnect VPN Client.

Este mensaje proviene del gateway seguro:

“Illegal address class” (Clase de dirección ilegal), “Host or network is 0” (El host o la red es 0) u “Other error” (Otro error).

Solución

El problema se produce debido al vaciado del grupo local de direcciones IP de ASA. Como se agota el recurso del grupo de la VPN, debe ampliarse el rango del grupo de direcciones IP.

registró identificación is registró error Cisco CSCsl82188 problema . error is suele suele producirse agota grupo local asignación direcciones , máscara subred 32   bits grupo direcciones . solución is consiste consiste ampliar grupo direcciones utilizar máscara subred 24   bits grupo .

Error: no se pudo establecer la sesión. Session limit of 2 reached.

Al intentar conectar más de dos clientes con AnyConnect VPN Client, recibe el mensaje de error Login Failed (Error de inicio de sesión) en el cliente y un mensaje de advertencia en los registros de ASA que dice: Session could not be established. Session limit of 2 reached. licenciaAnyConnect Essential en ASA, que ejecuta la versión 8.0.4.

Solución 1

Este error se produce porque la licencia AnyConnect Essential no es compatible con la versión 8.0.4 de ASA. Necesita actualizar ASA a la versión 8.2.2. Esto resuelve el error.

Nota: independientemente de la licencia utilizada, si se alcanza el límite de sesión, el usuario recibirá el mensaje de error login failed .

Solución 2

Este error también puede producirse si se utiliza el comando vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit para definir el límite de sesiones de VPN que se pueden establecer. Si el límite de sesión se define en dos, el usuario no puede establecer más de dos sesiones aun cuando la licencia instalada admita más sesiones. Defina el límite de sesiones con la cantidad necesaria de sesiones de VPN para evitar este mensaje de error.

Error: Anyconnect no está habilitado en el servidor VPN al intentar conectar anyconnect a ASA

Recibe el mensaje de error Anyconnect not enabled on VPN server (Anyconnect no habilitado en el servidor VPN) cuando intenta conectar AnyConnect a ASA.

Solución

Este error se resuelve si habilita AnyConnect en la interfaz externa de ASA con ASDM. Para obtener más información sobre cómo habilitar AnyConnect en la interfaz externa, consulte Cómo configurar Clientless SSL VPN (WebVPN) en ASA.

Error:- %ASA-6-722036: grupo de clientes del grupo de usuarios xxxx IP x.x.x.x que transmite el paquete grande 1220 (umbral 1206)

El mensaje de error %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) aparece en los registros de ASA. ¿Qué significa este registro y cómo se resuelve?

Solución

Estados de este mensaje del registro que un paquete grande fue enviado al cliente. La fuente del paquete no es consciente del MTU del cliente. Esto puede también ser debido a la compresión de los datos incompresibles. La solución consiste en desactivar la compresión de SVC con el comando svc compression none. Esto resuelve el problema.

Error: el gateway seguro ha rechazado la solicitud de conexión o reconexión VPN del agente.

Cuando se conecta al cliente AnyConnect, se recibe este error: " gateway is rechazado seguro rechazado solicitud conexión reconexión vpn agente . new connection requires re-authentication and must be started manually . Please contact your network administrator if this problem persists . recibió mensaje is recibió gateway seguro : " dirección asignada ".

Este error también se recibe cuando se conecta al cliente AnyConnect: "El gateway seguro ha rechazado el intento de conexión. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. El siguiente mensaje proviene del gateway seguro: El host o la red es 0".

Este error también se recibe cuando se conecta al cliente AnyConnect: "El gateway seguro ha rechazado la solicitud de conexión o reconexión vpn del agente. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Se recibió el siguiente mensaje desde el gateway seguro: No License (Sin licencia).

Solución

El router no tenía una configuración de grupo después de volver a cargar. Debe volver a agregar la configuración correspondiente al router.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
    svc address-pool SSLPOO

El error "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Se recibió el siguiente mensaje desde el gateway seguro: No License (Sin licencia) error que se produce cuando falta la licencia de movilidad de AnyConnect. Una vez instalada la licencia, el problema se resuelve.

Error: ” actualizar base is actualizar datos administración sesiones “

Cuando intenta autenticarse en WebPortal, se recibe este mensaje de error: " actualizar base is actualizar datos administración sesiones ".

Solución

problema is relacionado relacionado asignación memoria ASA aparece principalmente versión ASA 8.2.1 . Originalmente , necesitan 512   MB is necesitan RAM obtener funcionalidad completa .

Actualice la memoria a 512 MB para solucionar este problema de manera permanente.

solución temporal , intente liberar memoria siguiendo pasos :

1. Deshabilite detección amenazas .
2. Deshabilite compresión SVC .
3. Vuelva cargar ASA .

Error: “El controlador de cliente VPN ha detectado un error”

Este es un mensaje de error de la máquina cliente al intentar conectarse a AnyConnect.

Solución

Para resolver este error, siga este procedimiento para ajustar manualmente el agente AnyConnect VPN a la opción de interacción:

1. Haga clic derecho My Computer > Manage > Services and Applications > Services (Mi PC > Administrar > Servicios y aplicaciones > Servicios) y seleccione el agente Cisco AnyConnect VPN.
2. Haga clic derechoProperties (Propiedades), inicie sesión y seleccione Allow service to interact with the desktop (Permitir que el servicio interactúe con la computadora).

   Esto establece el valor del tipo de registro DWORD en 110 (el valor predeterminado es 010) para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.

   Nota: Si se va a utilizar, la preferencia sería utilizar la transformación .MST en esta instancia. Esto se debe a que, si realiza esta configuración manual con estos métodos, será necesario que lo haga después de cada proceso de instalación o actualización. Por este motivo, es necesario identificar la aplicación que causa este problema.

   Cuando el Servicio de enrutamiento y acceso remoto (RRAS) está habilitado en el equipo con Windows, AnyConnect falla con el mensaje de error El controlador de cliente VPN ha encontrado un error. error. Para resolver este problema, asegúrese de que las opciones de routing y RRAS estén deshabilitadas antes de iniciar AnyConnect. Consulte la identificación de error de Cisco CSCsm54689 para obtener más información.

Error: “No se puede procesar la respuesta de xxx.xxx.xxx.xxx”

clientes is conectarse AnyConnect conectarse Cisco ASA . error is es ventana AnyConnect“ Unable to process response from xxx.xxx.xxx.xxx ” ( procesar respuesta xxx.xxx.xxx.xxx ) .

Solución

Para resolver este error, pruebe estas soluciones:

• Elimine la opción WebVPN de ASA y vuelva a activarla.
• Cambie el número actual de puerto (443) a 444 y vuelva a habilitarlo en 443.

Para obtener más información sobre cómo habilitar WebVPN y cambiar el puerto de WebVPN, consulte esta solución.

Error: “Inicio de sesión denegado , mecanismo de conexión no autorizado , póngase en contacto con el administrador”

clientes is conectarse AnyConnect conectarse Cisco ASA . error is es ventana AnyConnect“ Login Denied , unauthorized connection mechanism , contact your administrator ” (Se rechazó el inicio de sesión debido a un mecanismo de conexión no autorizado; comuníquese con su administrador).

Solución

mensaje is produce error produce principalmente problemas configuración incorrecta incompleta . Verifique configuración asegúrese necesaria resolver problema .

<

Error: “Paquete Anyconnect no disponible o dañado. Contact your system administrator” (Paquete de Anyconnect no disponible o dañado. Comuníquese con su administrador del sistema)

Este error se produce cuando intenta iniciar el software de AnyConnect desde un cliente Macintosh para conectarse a ASA.

Solución

Para resolverlo, siga estos pasos:

1. Cargue el paquete de AnyConnect para Macintosh a la memoria flash de ASA.
2. Modifique la configuración de WebVPN para especificar el paquete de AnyConnect que se utiliza.

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
     svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   comandosvc image se sustituye por el comando anyconnect image a partir de la versión de ASA 8.4(1), como se detalla a continuación:

   hostname(config)#webvpn
   
   hostname(config-webvpn ) #anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn ) #anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

    

Error: “No se pudo encontrar el paquete de AnyConnect en el gateway seguro”

Este error ocurre en la máquina Linux del usuario cuando intenta conectarse a ASA iniciando AnyConnect. A continuación, el mensaje de error completo:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solución

Para resolver este mensaje de error, compruebe que el cliente de AnyConnect sea compatible con el sistema operativo (SO) que se utiliza en la máquina cliente.

Si es compatible con el SO, compruebe si el paquete de AnyConnect se especifica en la configuración de WebVPN o no. Consulte la sección Paquete de Anyconnect no disponible o dañado de este documento para obtener más información.

Error: “No se admite VPN segura a través del escritorio remoto”

Los usuarios no pueden ejecutar un acceso para escritorio remoto. Aparece el mensaje de error Secure VPN via remote desktop is not supported (No se admite la VPN segura mediante escritorio remoto).

Solución

Este problema se debe a estos ID de bug de Cisco: CSCsu22088 y CSCso42825. Si actualiza AnyConnect VPN Client, puede resolver el problema. Consulte estos errores para obtener más información.

Error: “El certificado de servidor recibido o su cadena no cumple con FIPS. A VPN connection will not be established”

Al intentar realizar una conexión VPN a ASA 5505, aparece el mensaje de error The server certificate received or its chain does not comply with FIPS . VPN connection will not be established ( certificado servidor recibido cadena cumplen FIPS . establecerá conexión is establecerá VPN ) .

Solución

resolver error , deshabilitar Estándares federales procesamiento información Unidos ( FIPS ) archivoAnyConnect Local Policy. Este archivo suele encontrarse en C:\ProgramData\Cisco\Cisco AnyConnect VPN is C:\ProgramData\Cisco\Cisco Client\AnyConnectLocalPolicy.xml . Si no encuentra el archivo en esta ruta, búsquelo en otro directorio con una ruta similar, por ejemplo C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Una vez que encuentre el archivo xml, realice los cambios que figuran a continuación:

Cambie la frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Luego, reinicie la computadora. Los usuarios deben tener permisos de administrador para modificar este archivo.

Error: “Error de validación de certificado”

Los usuarios no pueden iniciar AnyConnect y reciben el mensaje Certificate Validation Failure (Error al validar el certificado).

Solución

La autenticación de certificados funciona de manera distinta en AnyConnect y en el cliente IPSec. Para que la autenticación de certificados funcione, debe importar el certificado del cliente a su navegador y cambiar el perfil de conexión para que utilice la autenticación de certificados. También es necesario habilitar este comando en ASA para permitir que se utilicen los certificados de cliente SSL en la interfaz externa:

ssl certificate-authentication interface outside port 443

Error : ” servicio agente VPN detectado problema cerrarse . We are sorry for the inconvenience ” ( Ocurrió error is Ocurrió servicio agente VPN cerrarse . Lamentamos molestias ocasionadas )

Cuando se instala la versión 2.4.0202 de AnyConnect en una computadora con Windows XP, el proceso se detiene al actualizar los archivos de localización y aparece un mensaje de error que indica una falla en el archivo vpnagent.exe.

Solución

Este comportamiento está registrado con la identificación de error de Cisco CSCsq49102. La solución sugerida es deshabilitar el cliente Citrix.

Error: “No se pudo abrir este paquete de instalación. Verify that the package exists”

descargar AnyConnect , aparece mensaje is aparece error :

"Contact your system administrator. Error del instalador: no se pudo abrir este paquete de instalación. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package." (Comuníquese con su administrador del sistema. No se pudo ejecutar el instalador debido al siguiente error: Este paquete de instalación no se pudo abrir. Verifique si el paquete existe y si puede tener acceso a él, o comuníquese con el proveedor de la aplicación para comprobar que se trata de un paquete válido del programa de instalación de Windows).

Solución

Complete estos pasos para solucionar este problema:

1. Elimine software antivirus .
2. Deshabilite el firewall de Windows.
3. Si el paso 1 o el 2 no resuelven el problema, formatee la máquina y realice la instalación.
4. Si el problema persiste, abra un caso de TAC.

Error: “Error al aplicar las transformaciones. Verify that the specified transform paths are valid.” (Error al aplicar transformaciones. Compruebe que las rutas de transformación especificadas son válidas).

Se recibe este mensaje de error durante la descarga automática de AnyConnect desde ASA:

" Contact your system administrator . The installer failed with the following error :
Error applying transforms. Verify that the specified transform paths are valid."

Este es el mensaje de error recibido cuando se conecta a AnyConnect para MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Solución

Siga alguna de estas soluciones para resolver el problema:

1. La causa raíz de este error podría deberse a un archivo de traducción de MST dañado (por ejemplo, importado). Siga estos pasos para resolverlo:
   1. Elimine la tabla de traducción de MST.
   2. Configure la imagen de AnyConnect para MacOS en ASA.

    

2. Desde ASDM, siga la ruta Network (Client) Access > AnyConnect Custom > Installs (Acceso a la red [cliente] > Personalizar AnyConnect > Instalaciones) y elimine el archivo del paquete de AnyConnect. Asegúrese de que el paquete permanezca en Network (Client) Access > Advanced > SSL VPN > Client Setting (Acceso a la red [cliente] > Avanzado > VPN con SSL > Configuración de cliente).

ninguna is resuelve soluciones resuelve problema , comuníquese soporte técnico Cisco .

Error: “El controlador de cliente VPN ha detectado un error”

Se recibe este error:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Solución

Este problema puede resolverse desinstalando el cliente AnyConnect y, luego, eliminando el software antivirus. Después de esto, vuelva a instalar el cliente AnyConnect. Si esta solución no funciona, vuelva a formatear la computadora para arreglar el problema.

Error: “Una reconexión VPN produjo un valor de configuración diferente. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restored.” (Una reconexión a la VPN provocó una configuración diferente. La configuración de la red VPN se está reiniciando. Es posible que deba restaurar las aplicaciones que usan la red privada)

Este error aparece al intentar iniciar AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Solución

Para resolver este error, utilice lo siguiente:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

comandosvc is sustituye mtu sustituye comando anyconnect mtu versión ASA 8.4(1 ) , detalla continuación :

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Error al iniciar sesión con AnyConnect

Problema

AnyConnect recibe este error cuando se conecta al cliente:

The is proxy VPN connection is not allowed via local proxy . This can be changed
through AnyConnect profile settings.

Solución

El problema puede resolverse si realiza estos cambios en el perfil de AnyConnect:

Agregue esta línea al perfil de AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

La configuración del proxy de Internet Explorer no se restaura una vez que AnyConnect se desconecta en Windows 7

Problema

En Windows 7, si se configura el proxy de Internet Explorer para Detectar configuración automáticamente AnyConnect impone configuración proxy , restaura proxy is restaura Internet Explorer valor Detectar configuración automáticamente usuario termina sesión AnyConnect . Esto provoca problemas de la red LAN para usuarios que necesitan que su proxy para esté configurado como Detectar la configuración automáticamente.

Solución

Este comportamiento está registrado con la identificación de error de Cisco CSCtj51376. La solución sugerida es actualizar a AnyConnect 3.0.

Error : AnyConnect is habilitar Essentials habilitar cierren sesiones .

mensaje is aparece error aparece Cisco ASDM intenta habilitar licencia AnyConnect Essentials :

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Solución

Este es el comportamiento normal de ASA. AnyConnect Essentials es un cliente SSL VPN que tiene una licencia independiente. Se configura completamente en ASA y proporciona toda la funcionalidad de AnyConnect, salvo lo siguiente:

• Cisco Secure Desktop no está disponible (CSD) (esto incluye HostScan/Vault/Cache Cleaner)
• SSL VPN sin cliente no está disponible
• Compatibilidad opcional con Windows Mobile

Esta licencia no puede utilizarse al mismo tiempo que la licencia prémium compartida de SSL VPN. Cuando necesite usar una licencia, deberá deshabilitar la otra.

Error: la ficha de conexión de la opción de Internet de Internet Explorer se oculta después de conectarse al cliente AnyConnect.

La ficha de conexión en la opción de Internet de Internet Explorer se oculta después de conectarse al cliente AnyConnect.

Solución

Esto se debe a la función msie-proxy lockdown. Si la habilita, oculta la ficha de conexiones en Microsoft Internet Explorer durante la sesión de AnyConnect VPN. Si la deshabilita, no se modifica la ficha de conexiones en la pantalla.

Error: pocos usuarios reciben el mensaje de error Login Failed cuando otros pueden conectarse correctamente a través de AnyConnect VPN

usuarios reciben mensaje error inicio sesión , conectarse correctamente AnyConnect VPN .

Solución

Este problema puede resolverse si se asegura de que la casilla de verificación do not require pre-authentication (no exigir preautenticación) esté marcada para los usuarios.

Error: el certificado que está viendo no coincide con el nombre del sitio que está intentando ver.

Durante la actualización del perfil de AnyConnect, aparece un error que indica que el certificado no es válido. Esto ocurre solo en Windows y en la fase de actualización del perfil. A continuación, se muestra el mensaje de error:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Solución

Esto puede resolverse si se modifica la lista de servidores del perfil de AnyConnect para utilizar el FQDN del certificado.

Este is ejemplo ejemplo perfil XML :

 

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

 

Nota: Si existe una entrada para la dirección IP pública del servidor como <HostAddress>, elimínela y conserve sólo el FQDN del servidor (por ejemplo, <HostName>, pero no <Host Address>).

No es posible iniciar AnyConnect desde CSD Vault en una máquina con Windows 7

inicia AnyConnect CSD Vault , funciona . Esto is ocurre ocurre máquinas Windows   7 .

Solución

En la actualidad, esto no es posible porque no es compatible.

perfil is replica AnyConnect replica reserva conmutación falla

El cliente AnyConnect 3.0 VPN con la versión 8.4.1 de ASA funciona bien. Sin embargo, después de la conmutación por falla, no se replica la configuración relacionada con el perfil de AnyConnect.

Solución

problema is observó observó registró identificación error Cisco CSCtn71662 . solución is consiste temporal consiste copiar manualmente archivos unidad reserva .

El cliente de AnyConnect se bloquea si Internet Explorer se desconecta

ocurre , registro is contiene eventos AnyConnect contiene entradas similares :

Description : Function :
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function : CTransportWinHttp::InitTransport
File : .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solución

comportamiento is observó observó registró identificación error Cisco CSCtx28970 . resolver , salga aplicación AnyConnect vuelva iniciarla . entradas is reaparecen conexión reaparecen reinicio .

Mensaje de error: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

El cliente de AnyConnect no se conecta y aparece el mensaje de error Unable to establish a connection (No es posible establecer una conexión). En el registro de eventos de AnyConnect, se encuentra el mensaje TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER .

Solución

Esto ocurre cuando la cabecera está configurada para túnel dividido con una lista muy extensa de túneles divididos (aproximadamente de 180 a 200 entradas) y hay uno o más atributos del cliente configurados en la política de grupo, como dnd-server.

Complete estos pasos para resolver el problema:

1. Reduzca la cantidad de entradas en la lista de túneles divididos.
2. Utilice configuración deshabilitar DTLS :

   group-policy groupName attributes
     webvpn
       svc dtls none

obtener información , consulte identificación error Cisco CSCtc41770 .

Mensaje de error: “Error en el intento de conexión debido a una entrada de host no válida”

Aparece el mensaje de error Connection attempt has failed due to invalid host entry (Error al intentar la conexión debido a una entrada de host no válida) mientras se realiza la autenticación de AnyConnect mediante un certificado.

Solución

Para resolver este problema, pruebe cualquiera de estas soluciones posibles:

• Actualice AnyConnect a la versión 3.0.
• Deshabilite Cisco Secure Desktop en su computadora.

obtener información , consulte identificación error Cisco CSCti73316 .

Error : ” Asegúrese certificados servidor pasar estricto configura VPN activa “

Al habilitar la función Always-On (Siempre activa) de AnyConnect, aparecerá el mensaje de error Ensure your server certificates can pass strict mode if you configure always-on VPN (Asegúrese de que sus certificados de servidor puedan superar el modo estricto si configura una VPN siempre activa).

Solución

mensaje is implica error implica , desea utilizar función Always-On , necesita certificado servidor válido configurado cabecera . certificado servidor válido , funcionará . Strict is opción Cert Mode ( estricto certificado ) opción configura archivo política local AnyConnect asegurar conexiones usen certificado válido . habilita opción archivo política conecta certificado ficticio , ocurre error is ocurre conexión .

Error: “Error interno en los servicios HTTP de Microsoft Windows”

herramienta is muestra Diagnostic AnyConnect Reporting Tool ( DART ) muestra intento fallido :

******************************************
Date         : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function : CTransportWinHttp::SendRequest
File : .\CTransportWinHttp.cpp
Line : 1170
Invoked Function : HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services 
*****************************************
Date         : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function : ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description : CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date         : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function : ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description : CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

Consulte registros visor eventos máquina ejecuta Windows .

Solución

Esto podría deberse a una conexión Winsock dañada. Use el siguiente comando para restablecer la conexión desde el símbolo del sistema y reinicie su máquina que ejecuta Windows:

netsh winsock reset

Para obtener más información, consulte el artículo de la base de conocimientos Cómo determinar si Winsock2 se ha dañado en Windows Server 2003, Windows XP y Windows Vista y la forma de recuperarlo.

Error: “El transporte SSL recibió un error de canal seguro.   Puede ser el resultado de una configuración criptográfica no admitida en la gateway segura”.

herramienta is muestra Diagnostic AnyConnect Reporting Tool ( DART ) muestra intento fallido :

******************************************
Date        : 10/27/2014
Time          : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function : CTransportWinHttp::handleRequestError
File : .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************
Date        : 10/27/2014
Time          : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function : CTransportWinHttp::SendRequest
File : .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description : CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************
Date        : 10/27/2014
Time          : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function : ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description : CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
******************************************

Solución

Windows 8.1 no admite RC4 según la siguiente actualización de KB:

http://support2.microsoft.com/kb/2868725

Configure los cifrados DES/3DES para SSL VPN en ASA con el comando “ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1” O BIEN edite el archivo de registro de Windows en la máquina cliente como se indica a continuación:

https://technet.microsoft.com/en-us/library/dn303404.aspx

Información Relacionada