Guida alla risoluzione dei problemi per il client VPN di AnyConnect - Problemi comuni

Introduzione

Questo documento descrive uno scenario di risoluzione dei problemi delle applicazioni che non funzionano tramite il client VPN di Cisco AnyConnect.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni contenute in questo documento si basano su una Cisco Adaptive Security Appliance (ASA) che esegue la versione 8.x.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Procedura di risoluzione dei problemi

Questo scenario di risoluzione dei problemi è dedicato alle applicazioni che non funzionano con il client VPN di Cisco AnyConnect per utenti finali con computer Microsoft Windows. In queste sezioni spiegheremo come risolvere i seguenti problemi:

• Problemi di installazione e dell'adattatore virtuale
• Disconnessione o impossibilità di stabilire una connessione iniziale
• Problemi di transito del traffico
• Problemi di arresto anomalo di AnyConnect
• Problemi di frammentazione/transito del traffico

Problemi di installazione e dell'adattatore virtuale

Attenersi alla seguente procedura:

1. Acquisizione del file di registro del dispositivo:
   
   
   • Windows XP/Windows 2000:
     
     

     \Windows\setupapi.log

     
     
     
   • Windows Vista:
     
     

     Nota: per visualizzare questi file è necessario rendere visibili le cartelle nascoste.

     
     
     

     \Windows\Inf\setupapi.app.log
     
         \Windows\Inf\setupapi.dev.log
     

     
     
     
   
   
   Se vengono visualizzati errori nel file di log setupapi, è possibile portare il livello di dettaglio a 0x2000FFFF.
   
   
2. Acquisizione del file di registro del programma di installazione MSI:
   
   Se si tratta di un'installazione di implementazione web iniziale, questo registro si trova nella directory temporanea dell'utente.
   
   
   • Windows XP/Windows 2000:
     
     

     \Documents and Settings\
              
              
                \Local Settings\Temp\ 
              
     

     
     
     
   • Windows Vista:
     
     

     \Users\
              
              
                \AppData\Local\Temp\ 
              
     

     
     
     
   
   
   Se si tratta di un aggiornamento automatico, questo registro si trova nella directory temporanea del sistema:
   
   

   \Windows\Temp
   

   
   
   Il nome file è: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Acquisire il file più recente della versione del client che si desidera installare. x.xxxx cambia in base alla versione, ad esempio 2.0.0343, mentre yyyyyyyyyyyyyy corrisponde alla data e ora dell'installazione.
   
   
3. Acquisizione del file delle informazioni di sistema del PC:
   
   
   1. Nella casella del prompt dei comandi/DOS, digitare quanto segue:
      
      
      • Windows XP/Windows 2000:
        
        

        winmsd /nfo c:\msinfo.nfo
        

        
        
        
      • Windows Vista:
        
        

        msinfo32 /nfo c:\msinfo.nfo
        

        
        
        

      Nota: Terminata la digitazione, attendere. Il completamento del file può richiedere da due a cinque minuti.

      
      
      
   2. Acquisizione di un file dump systeminfo da un prompt dei comandi:
      
      Windows XP e Windows Vista:
      
      

      systeminfo c:\sysinfo.txt
      

Consultare AnyConnect: Problema di database driver danneggiato per eseguire il debug del problema del driver.

Disconnessione o impossibilità di stabilire una connessione iniziale

Se si verificano problemi di connessione con il client AnyConnect, ad esempio disconnessioni o impossibilità di stabilire una connessione iniziale, acquisire i seguenti file:

• Il file di configurazione dell'ASA per determinare se qualcosa nella configurazione causa l'errore di connessione:
  
  Dalla console dell'ASA, immettere write net x.x.x.x:ASA-Config.txt dove x.x.x.x è l'indirizzo IP di un server TFTP sulla rete.
  
  O
  
  Dalla console dell'ASA, immettere show running-config. Lasciare che la configurazione sulla schermata venga completata, quindi tagliarla e incollarla in un editor di testo e salvarla.
  
  
• I registri evento ASA:
  
  
  1. Per abilitare la registrazione su ASA degli eventi auth, WebVPN, SSL (Secure Sockets Layer) e SVC (Client VPN SSL), utilizzare questi comandi CLI:
     
     

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

     
     
     
  2. Creare una sessione AnyConnect e assicurarsi che l'errore possa essere riprodotto. Acquisire l'output di registrazione dalla console, copiarlo su un editor di testo e salvarlo.
     
     
  3. Per disabilitare la registrazione sui log, immettere no logging enable.
     
     
  
  
  
• Il registro del client VPN di Cisco AnyConnect dal Visualizzatore eventi di Windows del PC client:
  
  
  1. Scegliere Start > Esegui.
     
     
  2. Inserire:
     
     

     eventvwr.msc /s

     
     
     
  3. Fare clic con il tasto destro del mouse sul registro del client VPN di Cisco AnyConnect e selezionare Salva registro con nome... AnyConnect.evt.
     
     

     Nota: Salvare sempre il file in formato .evt.

Se l'utente non riesce a connettersi con il client VPN di AnyConnect, il problema potrebbe essere correlato a una sessione di RDP (Remote Desktop Protocol) o all'abilitazione del Cambio rapido utente sul PC client. Sul PC client potrebbe comparire questo messaggio AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established. Per risolvere il problema, disconnettere tutte le sessioni RDP stabilite e disabilitare la funzionalità di Cambio rapido utente. Questa condizione è controllata dall'attributo Windows Logon Enforcement nel profilo del client, tuttavia attualmente non esiste alcuna impostazione che consenta a un utente di stabilire una connessione VPN mentre più utenti sono connessi contemporaneamente allo stesso computer. Richiesta di miglioramento CSCsx15061 non è stato possibile risolvere il problema.

Nota: Assicurarsi che la porta 443 non sia bloccata, in modo che il client AnyConnect possa connettersi all'ASA.

Quando un utente non riesce a connettere il client VPN AnyConnect all'ASA, il problema potrebbe dipendere da un'incompatibilità tra la versione del client di AnyConnect e la versione dell'immagine del software ASA. In questo caso, l'utente riceve questo messaggio di errore: The installer was not able to start the Cisco VPN client, clientless access is not available.

Per risolvere il problema, aggiornare la versione del client di AnyConnect per renderla compatibile con l'immagine del software ASA.

Quando si accede per la prima volta a AnyConnect, lo script di accesso non viene eseguito. Se ci si disconnette e si esegue di nuovo l'accesso, lo script di accesso viene eseguito correttamente. Si tratta di un comportamento previsto.

Quando il client VPN di AnyConnect si connette all'ASA, è possibile che venga visualizzato questo errore: User not authorized for AnyConnect Client access, contact your administrator.

Questo errore viene visualizzato quando l'immagine di AnyConnect non è presente nell'ASA. Una volta caricata l'immagine, AnyConnect può connettersi all'ASA senza problemi.

Questo errore può essere risolto disabilitando il DTLS (Datagram Transport Layer Security). Selezionare Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles e deselezionare la casella di controllo Enable DTLS. Il DTLS viene disabilitato.

Alla disconnessione dell'utente i file dartbundle mostrano questo messaggio di errore: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:The secure gateway failed to respond to Dead Peer Detection packets. Questo errore indica che il canale DTLS è stato disattivato a causa di un errore DPD (Dead Peer Detection). L'errore viene risolto se si modificano i keepalive DPD e si immettono i seguenti comandi:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

In ASA versione 8.4 (1) e successive, i comandi keepalive svc e svc dpd-interval vengono sostituiti rispettivamente dai comandi anyconnect keepalive e anyconnect dpd-interval, come mostrato di seguito:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemi di transito del traffico

Quando vengono rilevati problemi relativi al transito del traffico verso la rete privata con una sessione AnyConnect tramite ASA, completare questi passaggi di acquisizione dei dati:

1. Acquisizione dell'output del comando ASA show vpn-sessiondb detail svc filter name<username> dalla console. Se l'output restituisce Filter Name: XXXXX, quindi raccogliere l'output per show access-list XXXXX. Verificare che access-list XXXXX non blocchi il flusso di traffico interessato.
   
   
2. Esportare le statistiche AnyConnect da Client VPN AnyConnect > Statistics > Details > Export (AnyConnect-ExportedStats.txt).
   
   
3. Controllare il file di configurazione ASA per le istruzioni nat. Se la Network Address Translation (NAT) è attivata, le istruzioni devono escludere i dati che vengono restituiti al client come risultato della NAT. Ad esempio, per fare in modo che la NAT escluda (nat 0) gli indirizzi IP dal pool AnyConnect, usare questo comando sulla CLI:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

   
   
   
4. Determinare se il gateway con tunneling predefinito deve essere abilitato per l'installazione. Il gateway predefinito tradizionale è il gateway di ultima istanza per il traffico non decriptato.
   
   Esempio:
   
   

   
   !--- Route outside 0 0 is an incorrect statement.
   
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   
   Ad esempio, se il client VPN deve accedere a una risorsa che non è presente nella tabella di routing del gateway VPN, il pacchetto viene instradato attraverso il gateway predefinito standard. Per questa condizione, il gateway VPN non ha bisogno della tabella di routing interna completa. In questo caso è possibile utilizzare la parola chiave tunneled.
   
   
5. Verificare se il traffico AnyConnect viene interrotto dalla policy di ispezione dell'ASA. È possibile escludere l'applicazione specifica utilizzata dal client di AnyConnect se si implementa il framework di policy modulare dell'ASA di Cisco. Ad esempio, con questi comandi è possibile escludere il protocollo Skinny.
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problemi di arresto anomalo di AnyConnect

Procedere come segue alla raccolta dei dati:

1. Assicurarsi che la utility Dr Watson di Microsoft sia abilitata. A tale scopo, scegliere Start > Esegui ed eseguire Drwtsn32.exe. Configurare i seguenti parametri e fare clic su OK:
   
   

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   
   
   Quando si verifica l'arresto anomalo, prelevare i file .log e .dmp da C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson. Se questi file sembrano essere in uso, utilizzare ntbackup.exe.
   
   
2. Acquisizione del registro del client VPN di Cisco AnyConnect dal Visualizzatore eventi di Windows del PC client:
   
   
   1. Scegliere Start > Esegui.
      
      
   2. Inserire:
      
      

      eventvwr.msc /s

      
      
      
   3. Fare clic con il tasto destro del mouse sul registro del client VPN di Cisco AnyConnect e selezionare Salva registro con nome... AnyConnect.evt.
      
      

      Nota: Salvare sempre il file in formato .evt.

Problemi di frammentazione/transito del traffico

Alcune applicazioni, come Microsoft Outlook, non funzionano. Tuttavia, il tunnel è in grado di far transitare altro traffico, ad esempio piccoli ping.

Questo può essere indicativo di un problema di frammentazione nella rete. I router consumer sono particolarmente carenti in termini di frammentazione e riassemblaggio dei pacchetti.

Provare una serie di ping di dimensioni progressive per determinare se si verifica un errore a un determinato livello. Ad esempio, ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Si consiglia di configurare un gruppo speciale per utenti con problemi di frammentazione e di impostare l'MTU (Maximum Transition Unit) SVC per questo gruppo su 1200. In questo modo è possibile fornire un rimedio ai soli utenti che riscontrano questo problema, senza interferire con tutti gli altri.

Problema

Le connessioni TCP si bloccano una volta connesse a AnyConnect.

Soluzione

Per verificare se l'utente ha un problema di frammentazione, regolare l'MTU per i client AnyConnect sull'ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Disinstallazione automatica

Problema

Il client VPN AnyConnect si disinstalla automaticamente al termine della connessione. I log del client mostrano che la funzione di mantenimento dell'installazione è disabilitata.

Soluzione

AnyConnect si disinstalla nonostante in ASDM (Adaptive Security Device Manager) sia selezionata l'opzione keep installed. Per risolvere il problema, configurare il comando svc keep-installer installed in policy di gruppo.

Problema di popolamento dell'FQDN del cluster

Problema: Il client AnyConnect è precompilato con il nome host anziché con il nome di dominio completo (FQDN) del cluster.

Quando per la rete VPN SSL è impostato un cluster a bilanciamento del carico e il client tenta di connettersi al cluster, la richiesta viene reindirizzata all'ASA del nodo e il client accede correttamente. In seguito, quando il client tenta di connettersi nuovamente al cluster, il nome di dominio completo (FQDN) del cluster non viene visualizzato tra le voci Connect to. Invece, viene visualizzata la voce ASA del nodo a cui è stato reindirizzato il client.

Soluzione

Questo accade perché il client AnyConnect conserva il nome host a cui si è connesso l'ultima volta. Questo comportamento viene rilevato e viene registrato un bug. Per i dettagli completi sul bug consultare il bug Cisco ID CSCsz39019. Per risolvere il problema si consiglia di aggiornare Cisco AnyConnect alla versione 2.5.

Configurazione dell'elenco dei server di backup

L'elenco di server di backup viene configurato per fornire una soluzione nel caso in cui il server principale selezionato dall'utente non sia raggiungibile. L'elenco viene definito nel riquadro Backup Server nel profilo di AnyConnect. Attenersi alla seguente procedura:

1. Scaricare l'editor di profili di AnyConnect (solo clienti registrati). Il nome del file è AnyConnectProfileEditor2_4_1.jar.
   
   
2. Creare un file XML con l'editor di profili di AnyConnect.
   
   
   1. Passare alla scheda Server List.
      
      
   2. Fare clic su Add.
      
      
   3. Digitare il server principale nel campo Hostname.
      
      
   4. Aggiungere il server di backup sotto l'elenco dei server di backup nel campo Host address. Quindi fare clic su Add.
   
   
   
3. Una volta ottenuto il file XML, è necessario assegnarlo alla connessione in uso sull'ASA.
   
   
   1. In ASDM, scegliere Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles.
      
      
   2. Selezionare il profilo e fare clic su Edit.
      
      
   3. Fare clic su Manage nella sezione Default Group Policy.
      
      
   4. Selezionare la policy di gruppo e fare clic su Edit.
      
      
   5. Selezionare Advanced, quindi fare clic su SSL VPN Client.
      
      
   6. Fare clic su New. Quindi immettere un nome per il profilo e assegnare il file XML.
   
   
   
4. Connettere il client alla sessione per scaricare il file XML.

AnyConnect: database dei driver danneggiato

Questa voce nel file SetupAPI.log suggerisce che il sistema del catalogo è danneggiato:

L'elenco della classe di firma del driver W239 genera il messaggio di errore "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: Unknown Error., presumendo che le classi di tutti i dispositivi siano soggette ai criteri di firma del driver.

È inoltre possibile ricevere questo messaggio di errore: Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue.

È possibile ricevere questo messaggio sul client: "The VPN client driver has encountered an error".

Riparazione

Questo problema è dovuto al bug Cisco ID CSCsm54689. Per risolvere il problema, assicurarsi che il servizio Routing e accesso remoto sia disabilitato prima di avviare AnyConnect. Se il problema persiste, procedere come segue:

1. Aprire un prompt dei comandi come amministratore sul PC (prompt con privilegi elevati su Vista).
   
   
2. Eseguire il comando net stop CryptSvc.
   
   
3. Lanciare:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   
4. Quando richiesto, scegliere OK per tentare la riparazione.
5. Uscire dal prompt dei comandi.
   
   
6. Riavviare.

Riparazione non riuscita

Se la riparazione non riesce, attenersi alla seguente procedura:

1. Aprire un prompt dei comandi come amministratore sul PC (prompt con privilegi elevati su Vista).
   
   
2. Eseguire il comando net stop CryptSvc.
   
   
3. Rinominare la directory %WINDIR%\system32\catroot2 in catroot2_old.
   
   
4. Uscire dal prompt dei comandi.
   
   
5. Riavviare.

Analisi del database

È possibile analizzare il database in qualsiasi momento per determinare se è valido.

1. Aprire un prompt dei comandi come Amministratore sul PC.
   
   
2. Lanciare:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   Per ulteriori informazioni consultare Integrità del database del catalogo di sistema.
   

Messaggi di errore

Errore: Impossibile aggiornare il database di gestione delle sessioni

Mentre la VPN SSL è connessa tramite un browser Web, viene visualizzato il messaggio di errore Unable to Update the Session Management Database. e i log ASA mostrano %ASA-3-211001: Memory allocation Error. The adaptive security appliance failed to allocate RAM system memory.

Soluzione 1

Questo problema è dovuto al bug Cisco ID CSCsm51093. Per risolvere il problema, ricaricare l'ASA o aggiornare il software ASA alla versione provvisoria indicata nel bug. Fare riferimento all'ID bug Cisco CSCsm51093 ulteriori informazioni.

Soluzione 2

Questo problema può essere risolto anche disabilitando la funzione di rilevamento delle minacce sull'ASA, se utilizzata.

Errore: Il modulo c:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll non ha completato la registrazione

Quando si utilizza il client AnyConnect su laptop o PC, si verifica un errore durante l'installazione:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Quando si verifica questo errore, il programma di installazione non può procedere e il client viene rimosso.

Soluzione

Le possibili soluzioni per aggirare questo errore sono:

• Il client AnyConnect più recente non è più supportato da Microsoft Windows 2000. Si tratta di un problema di registro dei computer con Windows 2000.  
  
  
• Rimuovere le applicazioni VMware. Una volta installato AnyConnect, è possibile aggiungere nuovamente le applicazioni VMware al PC.
  
  
• Aggiungere l'ASA ai siti attendibili.  
  
  
• Copiare questi file dalla cartella \Programmi\Cisco\CiscoAnyconnect in una nuova cartella ed eseguire il prompt dei comandi regsvr32 vpnapi.dll:
  
  
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll
  
  
  
• Ricreare l'immagine del sistema operativo sul laptop/PC.

Il messaggio di registro relativo a questo errore sul client AnyConnect è simile al seguente:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Errore: Il gateway di sicurezza ha restituito un errore in risposta alla richiesta di negoziazione VPN. Contattare l'amministratore di rete.

Questo errore viene visualizzato Quando i client tentano di connettersi alla VPN con il client VPN di Cisco AnyConnect.

Il gateway di sicurezza ha ricevuto questo messaggio:

"Classe di indirizzo non valida" o "Host o rete 0" o "Altro errore"

Soluzione

Il problema è dovuto all'esaurimento del pool IP locale dell'ASA. Poiché la risorsa del pool VPN è esaurita, è necessario aumentare l'intervallo del pool IP.

Per questo problema consultare il bug Cisco ID CSCsl82188. Questo errore si verifica in genere quando il pool locale per l'assegnazione degli indirizzi è esaurito o se viene utilizzata una subnet mask a 32 bit per il pool di indirizzi. Per risolvere il problema espandere il pool di indirizzi e utilizzare una subnet mask a 24 bit.

Errore: Impossibile stabilire la sessione. È stato raggiunto il limite di 2 sessioni.

Quando si cerca di connettere più di due client con AnyConnect VPN Client, viene visualizzato il messaggio di errore Login Failed sul Client e il messaggio di avviso Session could not be established. È stato raggiunto il limite di 2 sessioni. Uso della licenza AnyConnect essential sull'ASA versione 8.0.4.

Soluzione 1

Questo errore si verifica perché la licenza di AnyConnect Essentials non è supportata dall'ASA versione 8.0.4 È necessario aggiornare l'ASA alla versione 8.2.2. In questo modo l'errore viene risolto.

Nota: indipendentemente dalla licenza utilizzata, se viene raggiunto il limite di sessioni, l'utente riceve il messaggio di errore login failed.

Soluzione 2

Questo errore può verificarsi anche se si utilizza il comando vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit per impostare il limite di sessioni VPN da stabilire. Se il limite di sessioni è impostato a due, l'utente non può stabilire più di due sessioni anche se la licenza installata ne supporta di più. Per evitare il messaggio di errore, impostare il limite di sessioni sul numero di sessioni VPN necessarie.

Errore: AnyConnect non abilitato sul server VPN mentre si cerca di connettere AnyConnect all'ASA

Quando si cerca di connettere AnyConnect all'ASA, viene visualizzato il messaggio di errore Anyconnect not enabled on VPN server.

Soluzione

Questo errore si risolve abilitando AnyConnect sull'interfaccia esterna dell'ASA con ASDM. Per ulteriori informazioni su come abilitare AnyConnect sull'interfaccia esterna, fare riferimento a Configurazione della VPN SSL clientless (WebVPN) sull'ASA.

Errore:-% ASA-6-722036: Gruppo client-group utente xxxx IP x.x.x.x: trasmissione di un pacchetto grande 1220 (soglia 1206)

Il messaggio di errore %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) viene visualizzato nei log dell'ASA. Che cosa significa questo messaggio e come si risolve l'errore?

Soluzione

Questo messaggio di registro indica al client è stato inviato un pacchetto grande. L'origine del pacchetto non conosce il valore MTU del client. L'errore potrebbe anche dipendere dalla compressione di dati non comprimibili. Per risolvere il problema, disattivare la compressione SVC con il comando svc compression none. In questo modo il problema viene risolto.

Errore: Il gateway di sicurezza ha rifiutato la richiesta di connessione o riconnessione VPN dell'agente.

Quando ci si connette al client AnyConnect, viene visualizzato questo errore: "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. The following message was received from the secure gateway: no assigned address".

Quando ci si connette al client AnyConnect viene visualizzato anche questo errore: "The secure gateway has rejected the connection attempt. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway:Host or network is 0".

Quando ci si connette al client AnyConnect viene visualizzato anche questo errore: "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. The following message was received from the secure gateway: No License".

Soluzione

Sul router mancava la configurazione del pool dopo il reload. È necessario aggiungere nuovamente la configurazione interessata sul router.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

Quando la licenza di AnyConnect Mobility manca, viene visualizzato il seguente messaggio "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. The following message was received from the secure gateway: No License". Una volta installata la licenza, il problema viene risolto.

Errore: Impossibile aggiornare il database di gestione delle sessioni

Quando si tenta di eseguire l'autenticazione in WebPortal, viene visualizzato questo messaggio di errore: "Unable to update the session management database".

Soluzione

Questo problema è correlato all'allocazione della memoria sull'ASA. Questo problema si verifica soprattutto con ASA 8.2.1. In origine, l'aggiornamento richiede 512 MB di RAM per la funzionalità completa.

Come soluzione permanente, aggiornare la memoria a 512 MB.

Come soluzione temporanea, provare a liberare la memoria con questi passaggi:

1. Disabilitare il rilevamento delle minacce.
   
   
2. Disabilitare la compressione SVC.
   
   
3. Ricaricare l'ASA.
   
   

Errore: Il driver del client VPN ha riscontrato un errore.

Questo messaggio di errore viene visualizzato sul computer client quando si cerca di connettersi a AnyConnect.

Soluzione

Per risolvere questo errore completare la procedura per impostare manualmente l'agente VPN AnyConnect su Interactive:

1. Fare clic con il tasto destro del mouse su Risorse del computer > Gestisci > Servizi e applicazioni > Servizi e selezionare Cisco AnyConnect VPN Agent.
   
   
2. Fare clic con il tasto destro del mouse su Proprietà, quindi accedere e selezionare Consenti al servizio di interagire con il desktop.
   
   In questo modo il valore del tipo di registro DWORD viene impostato su 110 (l'impostazione predefinita è 010) per HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.
   
   

   Nota: in caso di necessità, è preferibile utilizzare la trasformazione .MST. Questo perché, se la si imposta manualmente con questi metodi, è necessario impostarla dopo ogni processo di installazione/aggiornamento. Ecco perché è necessario identificare l'applicazione che causa il problema.

   
   
   Quando il servizio RRAS (Routing and Remote Access Service) è abilitato sul PC Windows, AnyConnect visualizza il messaggio di errore The VPN client driver has encountered an error. x Per risolvere il problema, assicurarsi che il RRAS sia disabilitato prima di avviare AnyConnect. Per ulteriori informazioni, consultare il bug Cisco ID CSCsm54689.

Errore: Impossibile elaborare la risposta da xxx.xxx.xxx.xxx

I client AnyConnect non riescono a connettersi a un'ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore "Unable to process response from xxx.xxx.xxx.xxx".

Soluzione

Per risolvere questo problema, provare le soluzioni indicate:

• Rimuovere WebVPN dall'ASA e riattivarlo.<
  
  
• Modificare il numero di porta 443 in 444 e riabilitarlo sulla porta 443.

Per ulteriori informazioni su come abilitare WebVPN e modificare la porta, fare riferimento a questa soluzione.

Errore: Accesso negato, meccanismo di connessione non autorizzato, contattare l'amministratore

I client AnyConnect non riescono a connettersi a un'ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore "Login Denied, unauthorized connection mechanism, contact your administrator".

Soluzione

Questo messaggio di errore si verifica principalmente per problemi di configurazione inadeguata o incompleta. Per risolvere il problema, controllare la configurazione e verificare che sia quella richiesta.

<

Errore: Pacchetto AnyConnect non disponibile o danneggiato. Contattare l'amministratore di sistema.

Questo errore si verifica quando si tenta di avviare il software AnyConnect da un client Macintosh per connettersi a un'ASA.

Soluzione

Per risolvere questo problema eseguire questi passaggi:

1. Caricare il pacchetto AnyConnect per Macintosh nella memoria flash dell'ASA.
   
   
2. Modificare la configurazione WebVPN per specificare il pacchetto AnyConnect utilizzato.
   
   

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   
   
   Il comando svc image viene sostituito dal comando anyconnect image nelle ASA versione 8.4 (1) e successive, come mostrato di seguito:
   
   

   hostname(config)#webvpn
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Errore: Impossibile trovare il pacchetto AnyConnect sul gateway di sicurezza

Questo errore si verifica su macchine Linux quando tentano di connettersi all'ASA avviando AnyConnect. Questo è l'errore completo:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Soluzione

Per risolvere questo messaggio di errore, verificare se il sistema operativo (SO) utilizzato sul computer client è supportato dal client AnyConnect.  

Se il sistema operativo è supportato, verificare se il pacchetto AnyConnect è specificato nella configurazione WebVPN o meno. Per ulteriori informazioni, consultare la sezione Pacchetto AnyConnect non disponibile o danneggiato in questo documento.

Errore: La VPN di sicurezza tramite desktop remoto non è supportata

Gli utenti non sono in grado di eseguire un accesso al desktop remoto. Viene visualizzato il messaggio di errore Secure VPN via remote desktop is not supported.

Soluzione

Questo problema è dovuto ai bug Cisco ID: CSCsu22088 e CSCso42825. Aggiornando il client VPN AnyConnect è possibile risolvere il problema. Per ulteriori informazioni, fare riferimento a questi bug.

Errore: Il certificato del server ricevuto o la relativa catena non è conforme a FIPS. La connessione VPN non verrà stabilita.

Quando si tenta di connettersi tramite VPN all'ASA 5505, viene visualizzato il messaggio di errore The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established.

Soluzione

Per risolvere questo errore è necessario disabilitare gli standard FIPS (Federal Information Processing Standards) nel file della policy locale di AnyConnect. Il file è in genere disponibile in C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Se non si trova il file in questo percorso, cercarlo in una directory diversa provando ad esempio in: C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Una volta individuato il file xml, modificarlo come mostrato di seguito:

Modificare la frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Riavviare il computer. Per modificare questo file occorrono permessi di amministratore.

Errore: Errore di convalida certificato

Gli utenti non possono avviare AnyConnect e ricevono il messaggio di errore Certificate Validation Failure.

Soluzione

L'autenticazione del certificato funziona in modo diverso con AnyConnect rispetto al client IPSec. Affinché l'autenticazione del certificato funzioni, è necessario importare il certificato del client nel browser e modificare il profilo di connessione per utilizzare l'autenticazione del certificato. È inoltre necessario abilitare questo comando nell'ASA per consentire l'utilizzo dei certificati client SSL sull'interfaccia esterna:

ssl certificate-authentication interface outside port 443

Errore: VPN Agent Service ha riscontrato un problema e deve essere chiuso. Siamo spiacenti per l'inconveniente.

Quando AnyConnect versione 2.4.0202 è installato su un PC con Windows XP, si interrompe durante l'aggiornamento dei file di localizzazione e un messaggio di errore indica che vpnagent.exe non funziona.

Soluzione

Questo comportamento è descritto nel bug Cisco ID CSCsq49102. La soluzione suggerita consiste nel disabilitare il client Citrix.

Errore: Impossibile aprire il pacchetto di installazione. Verificare che il pacchetto esista.

Quando viene scaricato AnyConnect, viene visualizzato questo messaggio di errore:

"Contact your system administrator. The installer failed with the following error: This installation package could not be opened. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package."

Soluzione

Per risolvere il problema procedere come segue:

1. Rimuovere eventuali software antivirus.
   
   
2. Disabilitare il firewall di Windows.
   
   
3. Se i passaggi 1 o 2 non sono di aiuto, formattare la macchina e installare.
   
   
4. Se il problema persiste, aprire una richiesta TAC.

Errore: Errore durante l'applicazione delle trasformazioni. Verificare che i percorsi di trasformazione specificati siano validi.

Questo messaggio di errore viene visualizzato durante il download automatico di AnyConnect dall'ASA:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Questo è il messaggio di errore visualizzato durante la connessione a AnyConnect per MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Soluzione

Per risolvere il problema provare una di queste soluzioni alternative:

1. La causa principale di questo errore potrebbe dipendere da un file di traduzione MST danneggiato (ad esempio, importato). Per risolvere il problema procedere come segue:
   
   
   1. Rimuovere la tabella di conversione MST.
      
      
   2. Configurare l'immagine di AnyConnect per MacOS nell'ASA.
   
   
   
2. Da ASDM, seguire il percorso Network (Client) Access > AnyConnect Custom > Installs ed eliminare il file del pacchetto AnyConnect. Assicurarsi che il pacchetto rimanga in Network (Client) Access > Advanced > SSL VPN > Client Setting.

Se nessuna di queste soluzioni risolve il problema contattare il supporto tecnico Cisco.

Errore: Il driver del client VPN ha riscontrato un errore.

Viene visualizzato questo errore:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Soluzione

Questo problema può essere risolto disinstallando il client AnyConnect e rimuovendo il software antivirus. Successivamente, reinstallare il client AnyConnect. Se la risoluzione non funziona, riformattare il PC.

Errore: La riconnessione di una VPN ha prodotto impostazioni di configurazione diverse. L'impostazione della rete VPN è in corso di reinizializzazione. Potrebbe essere necessario ripristinare le applicazioni che utilizzano la rete privata.

Questo errore viene visualizzato quando si avvia AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Soluzione

Per risolvere questo errore, procedere come segue:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

Sostituire il comando svc mtu con il comando anyconnect mtu nelle ASA versione 8.4 (1) e successive, come mostrato qui:

hostname(config)#group-policy 
     
     
       attributes 
      
 
     
hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Errore di AnyConnect durante l'accesso

Problema

AnyConnect riceve questo errore quando si connette al client:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Soluzione

Il problema può essere risolto apportando queste modifiche al profilo di AnyConnect:

Aggiungere questa riga al profilo di AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

L'impostazione del proxy IE non viene ripristinata dopo la disconnessione di AnyConnect in Windows 7

Problema

In Windows 7, se il proxy IE è impostato su Rileva automaticamente impostazioni ed AnyConnect invia una nuova impostazione proxy, il proxy IE non viene ripristinato su Rileva automaticamente impostazioni quando l'utente ha terminato la sessione AnyConnect. Ciò causa problemi di LAN agli utenti che richiedono un proxy impostato su Rileva automaticamente impostazioni.

Soluzione

Questo comportamento è descritto nel bug Cisco ID CSCtj51376. Per risolvere il problema eseguire l'aggiornamento a AnyConnect 3.0.

Errore: AnyConnect Essentials non può essere abilitato fino alla chiusura di tutte queste sessioni.

Quando si cerca di abilitare la licenza AnyConnect Essentials, su Cisco ASDM viene visualizzato questo messaggio di errore:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Soluzione

Si tratta di un normale comportamento dell'ASA. AnyConnect Essentials è un client VPN SSL con licenza separata. È interamente configurato sull'ASA e offre la piena funzionalità AnyConnect, con le seguenti eccezioni:

• Nessun CSD (Cisco Secure Desktop) (incluso HostScan/Vault/Cache Cleaner)
  
  
• Nessuna VPN SSL senza client
  
  
• Supporto facoltativo per Windows Mobile
  
  

Questa licenza non può essere utilizzata contemporaneamente alla licenza premium VPN SSL condivisa. Per utilizzare una licenza, è necessario disabilitare l'altra.

Errore: La scheda Connessioni di Opzioni Internet in Internet Explorer viene nascosta dopo la connessione al client AnyConnect.

Dopo la connessione al client AnyConnect, la scheda Connessioni di Opzioni Internet in Internet Explorer viene nascosta.

Soluzione

Questo errore è dovuto alla funzione msie-proxy lockdown. Se si abilita questa funzione, la scheda Connessioni in Microsoft Internet Explorer viene nascosta per la durata della sessione VPN AnyConnect. Se si disabilita la funzione, la scheda Connessioni rimane visibile.

Errore: Alcuni utenti ricevono il messaggio di errore Accesso non riuscito, mentre altri riescono a connettersi correttamente tramite la VPN AnyConnect

Qualche utente riceve il messaggio di errore Login Failed, mentre altri riescono a connettersi correttamente tramite la VPN AnyConnect.

Soluzione

Questo problema può essere risolto selezionando la casella di controllo do not require pre-authentication per gli utenti.

Errore: Il certificato visualizzato non corrisponde al nome del sito che si desidera visualizzare.

Durante l'aggiornamento del profilo di AnyConnect, un errore indica che il certificato non è valido. Questo si verifica solo con Windows e nella fase di aggiornamento del profilo. Questo il messaggio di errore visualizzato:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Soluzione

Questo errore può essere risolto modificando l'elenco dei server del profilo AnyConnect al fine di utilizzare il nome FQDN del certificato.

Questo è un esempio di profilo XML:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

Nota: se è presente una voce per l'indirizzo IP pubblico del server del tipo <HostAddress>, rimuoverla e mantenere solo il nome di dominio completo (FQDN) del server (ad esempio, <HostName> ma non <Host Address>).

Impossibile avviare AnyConnect dal Vault CSD su un computer con Windows 7

Quando AnyConnect viene avviato dal vault CSD, non funziona. Questo accade sui computer con Windows 7.

Soluzione

Attualmente non è possibile risolvere il problema perché la funzione non è supportata.

Il profilo di AnyConnect non viene replicato in standby dopo il failover

Il client VPN AnyConnect 3.0 funziona correttamente con il software ASA versione 8.4.1. Tuttavia, dopo il failover, non avviene alcuna replica per la configurazione relativa al profilo AnyConnect.

Soluzione

Questo problema è stato osservato e descritto nel bug Cisco ID CSCtn71662. La soluzione temporanea consiste nel copiare manualmente i file nell'unità in standby.

Il client AnyConnect si arresta in modo anomalo se Internet Explorer va offline

In questi casi il registro eventi di AnyConnect contiene voci simili alle seguenti:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Soluzione

Questo comportamento è osservato e descritto nel bug Cisco ID CSCtx28970. Per risolvere il problema chiudere l'applicazione AnyConnect e riavviarla. Le voci di connessione vengono visualizzate nuovamente dopo il riavvio.

Messaggio di errore: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Il client AnyConnect non riesce a connettersi e viene visualizzato il messaggio di errore Unable to establish a connection. Nel log degli eventi di AnyConnect, è presente il messaggio di errore TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Soluzione

Questo si verifica quando l'headend è configurato per il tunneling ripartito con un elenco di tunnel ripartiti molto esteso (circa 180-200 voci) e uno o più altri attributi client sono configurati nella policy di gruppo, come i server DNS.

Per risolvere il problema procedere come segue:

1. Ridurre il numero di voci nell'elenco dei tunnel ripartiti.
   
   
2. Utilizzare questa configurazione per disabilitare il DTLS:
   
   

   group-policy groupName attributes
     webvpn
       svc dtls none

Per ulteriori informazioni consultare il bug Cisco ID CSCtc41770.

Messaggio di errore: Tentativo di connessione non riuscito a causa di una voce host non valida

Il messaggio di errore Connection attempt has failed due to invalid host entry viene visualizzato mentre AnyConnect viene autenticato con l'uso di un certificato.

Soluzione

Per risolvere il problema, provare una delle seguenti soluzioni:

• Aggiornare AnyConnect alla versione 3.0.
• Disabilitare Cisco Secure Desktop sul computer.

Per ulteriori informazioni consultare il bug Cisco ID CSCti73316.

Errore: Assicurarsi che i certificati del server possano superare la modalità strict se si configura la VPN come sempre attiva

Quando si attiva la funzionalità Always-On su AnyConnect, viene visualizzato il messaggio di errore Ensure your server certificates can pass strict mode if you configure always-on VPN.

Soluzione

Questo messaggio di errore implica che, se si desidera utilizzare la funzione Always-On, è necessario un certificato server valido configurato sull'headend. Senza un certificato server valido, questa funzione non è possibile. La modalità Strict Cert è un'opzione impostata nel file della policy locale AnyConnect per garantire che le connessioni utilizzino un certificato valido. Se si abilita questa opzione nel file della policy e ci si connette con un certificato falso, la connessione non viene stabilita.

Errore: Si è verificato un errore interno nei servizi HTTP di Microsoft Windows

Questo DART (Diagnostic AnyConnect Reporting Tool) mostra un tentativo non riuscito:

******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft 
Windows HTTP Services 
*****************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

Inoltre, sui PC con Windows, consultare i registri del visualizzatore eventi.

Soluzione

L'errore potrebbe dipendere da una connessione Winsock danneggiata. Reimpostare la connessione dal prompt dei comandi con questo comando e riavviare il computer Windows:

netsh winsock reset

Per ulteriori informazioni consultare l'articolo How to determine and to recover from Winsock2 corruption in Windows Server 2003, in Windows XP, and in Windows Vista nella knowledge base.

Errore: Il trasporto SSL ha ricevuto un errore Secure Channel.   Può trattarsi di una configurazione di crittografia non supportata sul gateway di sicurezza.

Questo DART (Diagnostic AnyConnect Reporting Tool) mostra un tentativo non riuscito:

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
******************************************

Soluzione

Secondo il seguente aggiornamento della KB, Windows 8.1 non supporta RC4:

http://support2.microsoft.com/kb/2868725

Configurare le crittografie DES/3DES per la VPN SSL sull'ASA utilizzando il comando "ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1" OPPURE modificare il file del registro di Windows sul computer client come indicato di seguito:

https://technet.microsoft.com/en-us/library/dn303404.aspx

Informazioni correlate

• Cisco ASA serie 5500 Adaptive Security Appliance
• FAQ sul client VPN di AnyConnect
• FAQ su CSD (Cisco Secure Desktop)
• Client VPN di Cisco AnyConnect
• Documentazione e supporto tecnico – Cisco Systems