Logiciel client AnyConnect Secure Mobility - Forum aux questions

Objectif

Cet article contient les questions fréquemment posées lors de la configuration, de la configuration et du dépannage du client Cisco AnyConnect Secure Mobility, ainsi que leurs réponses.

Forum aux questions

Table des matières

Caractéristiques du produit

1. Qu'est-ce que le client Cisco AnyConnect Secure Mobility ?

2. Quels sont les avantages de l'utilisation du client Cisco AnyConnect Secure Mobility ?

3. Quelles sont les principales fonctionnalités du client Cisco AnyConnect Secure Mobility ?

Options de licence

4. Quelles sont les licences requises pour le déploiement d'AnyConnect Secure Mobility Client ?

Soutien

5. Quels sont les modules pris en charge par le client Cisco AnyConnect Secure Mobility ?

6. Quels systèmes d'exploitation sont pris en charge par le client Cisco AnyConnect Secure Mobility ?

7. Cisco AnyConnect Secure Mobility Client prend-il en charge les périphériques Apple iOS ?

8. Quels périphériques Apple iOS sont pris en charge par Cisco AnyConnect Secure Mobility Client ?

9. Cisco prend-il en charge l'accès VPN AnyConnect à Cisco IOS ?

10. Cisco AnyConnect Secure Mobility Client prend-il en charge les périphériques Android ?

11. Quels périphériques Android sont pris en charge par le client Cisco AnyConnect Secure Mobility ?

Installation

12. L'installation de Web AnyConnect est-elle prise en charge sur les navigateurs 64 bits (IE - Internet Explorer) ?

13. Quel niveau de droits est requis pour installer le client Cisco AnyConnect Secure Mobility ?

14. Dois-je redémarrer mon système après avoir installé ou mis à niveau le client Cisco AnyConnect Secure Mobility ?

15. Est-il possible d’enregistrer les informations d’identification du mot de passe sur AnyConnect afin qu’il ne demande plus l’authentification la prochaine fois ?

16. Quelles considérations d'interopérabilité dois-je garder à l'esprit avant d'installer Cisco AnyConnect Secure Mobility ?

Compatibilité

17. Quelles sont les applications tierces connues qui entrent en conflit avec Cisco AnyConnect Secure Mobility ?

18. AnyConnect peut-il coexister avec des clients VPN IPSec et/ou SSL d'autres fournisseurs sur le même PC ?

Dépannage de base

19. Lorsqu’AnyConnect tente d’établir une connexion, il s’authentifie correctement et crée la session SSL, mais le client AnyConnect plante dans le chargeur vpndownloader s’il utilise LSP ou NOD32 AV. Que dois-je faire ?

20. J'utilise un numéroteur AT&T et le système d'exploitation client a parfois un écran bleu, ce qui provoque la création d'un mini fichier de vidage. Que dois-je faire ?

21. Lorsque Kaspersky 6.0.3 est installé (même s'il est désactivé), les connexions AnyConnect à l'ASA échouent immédiatement après l'état CSTP = CONNECTED et le message suivant apparaît : “ message SVC : t/s=3/16 : Échec de l'établissement complet d'une connexion à la passerelle sécurisée (authentification proxy, échange de connexion, certificat incorrect, etc.). ”

22. Lors de l'utilisation de McAfee Firewall 5, il est impossible d'établir une connexion UDP DTLS.

23. Lorsque j'utilise RRAS, l'erreur de terminaison suivante est renvoyée au journal des événements lorsque AnyConnect tente d'établir une connexion au périphérique hôte : “ code de raison de résiliation 29 [Routage et accès à distance en cours d'exécution] Le service Windows “ Routage et accès à distance ” est incompatible avec le client VPN Cisco AnyConnect. “

24. Que dois-je faire si la connexion échoue en raison d'un manque d'informations d'identification ?

25. Le client AnyConnect ne parvient pas à télécharger et génère le message d’erreur suivant : “ téléchargeur du client VPN Cisco AnyConnect a rencontré un problème et doit se fermer. ”

26. J'utilise Bonjour Printing Services, les journaux d'événements AnyConnect indiquent un échec d'identification de la table de transfert IP.

27. Une erreur indique que la version de TUN est déjà installée sur ce système et est incompatible avec le client AnyConnect.

28. Que dois-je faire si un module LSP est présent sur le client et qu'un conflit de catalogue Winsock se produit ?

29. Je me connecte à un routeur DSL et le trafic DTLS échoue même s'il a été négocié avec succès. Que dois-je faire ?

30. Lors de l'utilisation d'AnyConnect sur certains périphériques Virtual Machine Network Service, des problèmes de performances se sont produits. Que dois-je faire ?

Caractéristiques du produit

1. Qu'est-ce que le client Cisco AnyConnect Secure Mobility ?

Le client Cisco AnyConnect Secure Mobility, également appelé client VPN Cisco AnyConnect, est une application logicielle pour la connexion à un réseau privé virtuel (VPN) qui fonctionne sur différents systèmes d'exploitation et configurations matérielles. Cette application logicielle permet aux ressources distantes d'un autre réseau de devenir accessibles comme si l'utilisateur était directement connecté à son réseau, mais de manière sécurisée. Le client Cisco AnyConnect Secure Mobility offre une nouvelle façon innovante de protéger les utilisateurs mobiles sur des plates-formes informatiques ou de smartphones, offrant une expérience plus transparente et toujours protégée pour les utilisateurs finaux et une application complète des politiques pour les administrateurs informatiques.

2. Quels sont les avantages de l'utilisation du client Cisco AnyConnect Secure Mobility ?

Le client Cisco AnyConnect Secure Mobility présente les avantages suivants :

• Connectivité sécurisée et permanente
• Sécurité permanente et application des politiques
• Déployable à partir de l'appareil de sécurité adaptatif (ASA) ou des systèmes de déploiement de logiciels d'entreprise
• Personnalisable et traduisible
• Facilement configuré
• Prend en charge IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer)
• Prise en charge du protocole Internet Key Exchange version 2.0 (IKEv2.0)

3. Quelles sont les principales fonctionnalités du client Cisco AnyConnect Secure Mobility ?

Le client Cisco AnyConnect Secure Mobility présente les principales fonctionnalités suivantes :

• Fonctions principales
• Fonctions de connexion et de déconnexion
• Fonctions d'authentification et de chiffrement
• Interfaces

Pour en savoir plus sur les exigences de version minimale, les exigences de licence et les systèmes d'exploitation pris en charge de chacune de ces fonctionnalités, cliquez ici. 

Options de licence

Pour obtenir les informations les plus récentes sur les licences AnyConnect sur les routeurs de la gamme RV340, consultez l'article Licence AnyConnect pour les routeurs de la gamme RV340.

4. Quelles sont les licences requises pour le déploiement d'AnyConnect Secure Mobility Client ?

Une ou plusieurs des licences AnyConnect suivantes peuvent être requises pour votre déploiement :

• AnyConnect Plus — Prend en charge les fonctionnalités AnyConnect de base, telles que les fonctionnalités VPN pour PC et plates-formes mobiles (clients logiciels AnyConnect et IPsec Internet Key Exchange version 2 (IKEv2) normalisés), Federal Information Processing Standard (FIPS), la collecte de contexte de terminal de base, le demandeur Windows 802.1x et le VPN SSL (Secure Sockets Layer) de sécurité Web. Les licences Plus s'appliquent surtout aux environnements précédemment desservis par la licence AnyConnect Essentials et aux utilisateurs des modules ISE (Identity Services Engine), Network Access Manager ou Web Security de Cisco.
• AnyConnect Apex : prend en charge toutes les fonctionnalités AnyConnect Plus de base en plus des fonctionnalités avancées telles que le VPN sans client, l'agent d'affichage VPN, l'agent d'affichage unifié, le chiffrement de nouvelle génération ou la suite B, le langage SAML (Security Assertion Markup Language), tous les services et licences flex. Les licences Apex s'appliquent surtout aux environnements précédemment desservis par les licences AnyConnect Premium, Shared, Flex et Advanced Endpoint Assessment.
• VPN uniquement (perpétuel) : prend en charge les fonctionnalités VPN pour les plates-formes PC et mobiles, la terminaison VPN sans client (basée sur navigateur) sur ASA (Adaptive Security Appliance), la conformité VPN uniquement et l'agent de posture en association avec ASA, la conformité FIPS et le chiffrement de nouvelle génération (Suite B) avec les clients VPN IKEv2 AnyConnect et tiers. Les licences VPN uniquement sont les plus applicables aux environnements souhaitant utiliser AnyConnect exclusivement pour les services VPN d'accès à distance, mais avec un nombre total d'utilisateurs élevé ou imprévisible. Aucune autre fonction ou service AnyConnect (tel que le module de sécurité Web, l'itinérance Cisco Umbrella, la posture ISE, le module de visibilité réseau ou Network Access Manager) n'est disponible avec cette licence.

Soutien

5. Quels sont les modules pris en charge par le client Cisco AnyConnect Secure Mobility ?

Le client Cisco AnyConnect Secure Mobility prend en charge les modules suivants :

• Évaluation de la position et du balayage des hôtes
• Position ISE
• Sécurité Web
• Activateur AMP
• Module de visibilité du réseau
• Module de sécurité d'itinérance Umbrella
• Modules de rapport et de dépannage

Pour en savoir plus sur les exigences de version minimale, les exigences de licence et les systèmes d'exploitation pris en charge de ces modules, cliquez ici. 

6. Quels systèmes d'exploitation sont pris en charge par le client Cisco AnyConnect Secure Mobility ?

Le client Cisco AnyConnect Secure Mobility prend en charge les systèmes d'exploitation suivants :

• Windows 10 x86 (32 bits) et x64 (64 bits)
• Windows 8.1 x86 (32 bits) et x64 (64 bits)
• Windows 8 x86 (32 bits) et x64 (64 bits)
• Windows 7 SP1 x86 (32 bits) et x64 (64 bits)
• Mac OS X 10.10, 10.11 et 10.12
• Linux Red Hat 6 (64 bits)
• Ubuntu 12.04 (LTS), 14.04 (LTS), 16.04 (LTS) (tous 64 bits)

Pour en savoir plus sur la prise en charge d’AnyConnect pour chaque système d’exploitation, cliquez ici. 

7. Cisco AnyConnect Secure Mobility Client prend-il en charge les périphériques Apple iOS ?

Oui.

8. Quels périphériques Apple iOS sont pris en charge par Cisco AnyConnect Secure Mobility Client ?

Les appareils Apple iOS suivants sont pris en charge :

Périphérique	Version Apple iOS requise
iPad Air	7.0 ou ultérieur
iPad 2	6.0 ou ultérieur
iPad (3e génération)	6.0 ou ultérieur
iPad (4e génération)	6.0 ou ultérieur
mini iPad	6.0 ou ultérieur
Mini i iPad (avec écran Retina)	7.0 ou ultérieur
iPad-Pro	9.0 ou ultérieur
iPhone 3GS	6.0 - 6.1.6
iPhone 4	6.0 - 7.1.2
iPhone 4S	6.0 ou ultérieur
iPhone 5	6.0 ou ultérieur
iPhone 5C	7.0 ou ultérieur
iPhone 5S	7.0 ou ultérieur
iPhone 6	8.0 ou ultérieur
iPhone 6 Plus	8.0 ou ultérieur
iPhone 6	9.0 ou ultérieur
iPhone 6 Plus	9.0 ou ultérieur
iPod Touch (4e génération)	6.0 - 6.1.6
iPod Touch (5e génération)	6.0 ou ultérieur

Pour connaître les fonctionnalités prises en charge par AnyConnect pour les appareils iOS Apple, cliquez ici. 

9. Cisco prend-il en charge l'accès VPN AnyConnect à Cisco IOS ?

Cisco prend en charge l'accès VPN AnyConnect à IOS version 15.1(2)T qui fonctionne comme passerelle sécurisée ; Cependant, la version 15.1(2)T d’IOS ne prend pas actuellement en charge les fonctionnalités AnyConnect suivantes :

• VPN permanent après connexion
• Stratégie de connexion aux échecs
• Pare-feu client fournissant un accès aux imprimantes locales et aux périphériques connectés en réseau
• Sélection optimale de la passerelle
• Quarantaine
• Éditeur de profil AnyConnect

10. Cisco AnyConnect Secure Mobility Client prend-il en charge les périphériques Android ?

Oui.

11. Quels périphériques Android sont pris en charge par le client Cisco AnyConnect Secure Mobility ?

Tous les appareils Android qui ont Android 4.0 (Ice Cream Sandwich) et versions ultérieures.

Installation

12. L'installation de Web AnyConnect est-elle prise en charge sur les navigateurs 64 bits (IE - Internet Explorer) ?

L'installation d'AnyConnect via Weblaunch n'est pas prise en charge sur les navigateurs IE 64 bits.

13. Quel niveau de droits est requis pour installer le client Cisco AnyConnect Secure Mobility ?

Le privilège de niveau administratif est requis pour installer le client Cisco AnyConnect Secure Mobility, mais uniquement pour l'installation initiale.

14. Dois-je redémarrer mon système après avoir installé ou mis à niveau le client Cisco AnyConnect Secure Mobility ?

Non. Contrairement au client VPN IPSec, un redémarrage n'est pas nécessaire après l'installation ou une mise à niveau.

15. Est-il possible d’enregistrer les informations d’identification du mot de passe sur AnyConnect afin qu’il ne demande plus l’authentification la prochaine fois ?

Non, il n'est pas possible d'enregistrer les informations d'identification du mot de passe sur AnyConnect.

Compatibilité

16. Quelles considérations d'interopérabilité dois-je garder à l'esprit avant d'installer Cisco AnyConnect Secure Mobility ?

• Coexistence des têtes de réseau ISE et ASA
• Si vous utilisez ISE et ASA pour la position du client, les profils doivent correspondre sur les deux têtes de réseau.
• AnyConnect ignore le serveur ISE 1.3 si l'agent NAC (Network Access Control) est provisionné pour le terminal.
• Si l'agent Cisco NAC et le module de position VPN (HostScan) sont tous deux installés sur un client, l'agent Cisco NAC doit être au moins version 4.9.4.3 ou ultérieure pour éviter les conflits de position.
• L'agent NAC ignore le serveur ISE 1.3 si AnyConnect est provisionné pour le point de terminaison dans ISE.

17. Quelles sont les applications tierces connues qui entrent en conflit avec Cisco AnyConnect Secure Mobility ?

Les applications tierces suivantes ont connu des complications avec le client Cisco AnyConnect Secure Mobility :

• Adobe et Apple — Service d'impression Bonjour
  • Adobe Creative Suite 3
  • Service d'impression Bonjour
  • iTunes

• AT&T Communications Manager versions 6.2 et 6.7

• Carte AT&T Sierra Wireless 875
• Numéroteur global AT&T
• Citrix Advanced Gateway Client Version 2.2.1
• Conflits de pare-feu

• Les pare-feu tiers peuvent interférer avec la fonction de pare-feu configurée sur la stratégie de groupe ASA.
  • Client Juniper Odyssey
  • Station de travail AV Kaspersky 6.x
  • McAfee Firewall 5
  • Microsoft Internet Explorer 8
  • Serveur de routage et d'accès distant Microsoft
  • Microsoft Windows Update
  • Client OpenVPN
  • Équilibrage de charge
  • Wave EMBASSY Trust Suite
  • Modules LSP (Layered Service Provider) et NOD32 AV
  • Cartes sans fil EVDO et pilote Venturi
  • Routeurs DSL
  • CheckPoint et d'autres logiciels tiers tels que Kaspersky
  • Pilotes de services de réseau de machines virtuelles

• Le pare-feu Windows peut bloquer les paquets du site distant. Si vous désactivez le pare-feu, vous devriez pouvoir accéder à ces dossiers.

18. AnyConnect peut-il coexister avec des clients VPN IPSec et/ou SSL d'autres fournisseurs sur le même PC ?

Oui. Mais les règles générales suivantes s'appliquent à toutes les versions d'AnyConnect :

Le client AnyConnect doit fonctionner correctement si les autres produits du fournisseur sont désactivés et que les opérations suivantes NE doivent PAS être effectuées :

• Installez un LSP Winsock qui reste actif lorsque le logiciel tiers n'est pas en cours d'exécution.
• Installez un proxy http local qui reste actif lorsque le logiciel tiers n'est pas en cours d'exécution.
• Installe tous les pilotes qui continuent à intercepter le trafic lorsque le logiciel tiers n'est pas en cours d'exécution.
• En outre, toute restriction apportée au MTU de l'interface physique peut entraîner une dégradation des performances.

Dépannage de base

19. Lorsqu’AnyConnect tente d’établir une connexion, il s’authentifie correctement et crée la session SSL, mais le client AnyConnect plante dans le chargeur vpndownloader s’il utilise LSP ou NOD32 AV. Que dois-je faire ?

Supprimez le composant Internet Monitor de la version 2.7 et effectuez une mise à niveau vers la version 3.0 de ESET NOD32 AV.

20. J'utilise un numéroteur AT&T et le système d'exploitation client présente parfois un écran bleu qui provoque la création d'un mini fichier de vidage. Que dois-je faire ?

Mise à niveau vers la dernière version 7.6.2 d'AT&T Global Network Client.

21. Lorsque Kaspersky 6.0.3 est installé (même s'il est désactivé), les connexions AnyConnect à l'ASA échouent immédiatement après l'état CSTP = CONNECTED et le message suivant apparaît : “ message SVC : t/s=3/16 : Échec de l'établissement complet d'une connexion à la passerelle sécurisée (authentification proxy, échange de connexion, certificat incorrect, etc.). ”

Désinstallez Kaspersky et consultez leurs forums pour obtenir des mises à jour supplémentaires.

22. Lors de l'utilisation de McAfee Firewall 5, il est impossible d'établir une connexion UDP DTLS.

Dans la console centrale de McAfee Firewall, sélectionnez Tâches avancées > Options avancées et Journalisation, puis décochez la case Bloquer automatiquement les fragments entrants dans McAfee Firewall.

23. Lorsque j'utilise RRAS, l'erreur de terminaison suivante est renvoyée au journal des événements lorsque AnyConnect tente d'établir une connexion au périphérique hôte : “ code de raison de résiliation 29 [Routage et accès à distance en cours d'exécution] Le service Windows “ Routage et accès à distance ” est incompatible avec le client VPN Cisco AnyConnect. “

Désactivez le service RRAS.

24. Que dois-je faire si la connexion échoue en raison d'un manque d'informations d'identification ?

L'équilibreur de charge tiers n'a aucune idée de la charge sur les périphériques ASA. Étant donné que la fonctionnalité d'équilibrage de charge de l'ASA est suffisamment intelligente pour répartir uniformément la charge VPN entre les périphériques, nous vous recommandons d'utiliser plutôt l'équilibrage de charge interne de l'ASA.

25. Le client AnyConnect ne parvient pas à télécharger et génère le message d’erreur suivant : “ téléchargeur du client VPN Cisco AnyConnect a rencontré un problème et doit se fermer. ”

Téléchargez la mise à jour de correctif vers la version 1.2.1.38 pour résoudre tous les problèmes de dll.

26. J'utilise Bonjour Printing Services, les journaux d'événements AnyConnect indiquent un échec d'identification de la table de transfert IP.

Désactivez le service d'impression Bonjour en entrant net stop “ bonjour service ” à l'invite de commande. Une nouvelle version de mDNSResponder (1.0.5.11) a été produite par Apple. Pour résoudre ce problème, une nouvelle version de Bonjour est intégrée à iTunes et mise à disposition sous forme de téléchargement distinct à partir du site Web d'Apple.

Pour en savoir plus sur les problèmes connus et les limitations d'Apple iOS avec Cisco AnyConnect Secure Mobility Client, cliquez ici.

27. Une erreur indique que la version de TUN est déjà installée sur ce système et est incompatible avec le client AnyConnect.

Désinstallez le client Viscosity OpenVPN.

28. Que dois-je faire si un module LSP est présent sur le client et qu'un conflit de catalogue Winsock se produit ?

Désinstallez le module LSP.

29. Je me connecte à un routeur DSL et le trafic DTLS échoue même s'il a été négocié avec succès. Que dois-je faire ?

Connectez-vous à un routeur Linksys avec les paramètres d'usine. Ce paramètre permet une session DTLS stable et aucune interruption des requêtes ping. Ajoutez une règle pour autoriser le trafic de retour DTLS.

30. Lors de l'utilisation d'AnyConnect sur certains périphériques Virtual Machine Network Service, des problèmes de performances se sont produits. Que dois-je faire ?

Désélectionnez la liaison pour tous les périphériques de messagerie instantanée de la carte virtuelle AnyConnect. L'application dsagent.exe réside dans C:\Windows\System\dgagent. Bien qu'il n'apparaisse pas dans la liste des processus, vous pouvez le voir en ouvrant des sockets avec TCPview (sysinternals). Lorsque vous mettez fin à ce processus, le fonctionnement normal d’AnyConnect revient.

Pour en savoir plus sur les autres problèmes et les conseils de dépannage pour les résoudre, cliquez ici.