Guida alla risoluzione dei problemi dei client VPN AnyConnect - Problemi comuni
Sommario
Introduzione
Questo documento descrive uno scenario di risoluzione dei problemi delle applicazioni che non funzionano tramite il client VPN di Cisco AnyConnect.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni contenute in questo documento si basano su una Cisco Adaptive Security Appliance (ASA) che esegue la versione 8.x.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Procedura di risoluzione dei problemi
Questo scenario di risoluzione dei problemi è dedicato alle applicazioni che non funzionano con il client VPN di Cisco AnyConnect per utenti finali con computer Microsoft Windows. In queste sezioni spiegheremo come risolvere i seguenti problemi:
Problemi di installazione e dell'adattatore virtuale
Attenersi alla seguente procedura:
- Acquisizione del file di registro del dispositivo:
- Windows XP/Windows 2000:
\Windows\setupapi.log
- Windows Vista:
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
Se vengono visualizzati errori nel file di log setupapi, è possibile portare il livello di dettaglio a 0x2000FFFF. - Windows XP/Windows 2000:
- Acquisizione del file di registro del programma di installazione MSI:
Se si tratta di un'installazione di implementazione web iniziale, questo registro si trova nella directory temporanea dell'utente.
- Windows XP/Windows 2000:
\Documents and Settings\<username>\Local Settings\Temp\
- Windows Vista:
\Users\<username>\AppData\Local\Temp\
Se si tratta di un aggiornamento automatico, questo registro si trova nella directory temporanea del sistema:
\Windows\Temp
Il nome del file è nel formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log. Acquisire il file più recente della versione del client che si desidera installare. x.xxxx cambia in base alla versione, ad esempio 2.0.0343, mentre yyyyyyyyyyyyyy corrisponde alla data e ora dell'installazione. - Windows XP/Windows 2000:
- Acquisizione del file delle informazioni di sistema del PC:
- Nella casella del prompt dei comandi/DOS, digitare quanto segue:
- Windows XP/Windows 2000:
winmsd /nfo c:\msinfo.nfo
- Windows Vista:
msinfo32 /nfo c:\msinfo.nfo
- Windows XP/Windows 2000:
- Acquisizione di un file dump systeminfo da un prompt dei comandi:
Windows XP e Windows Vista:
systeminfo c:\sysinfo.txt
- Nella casella del prompt dei comandi/DOS, digitare quanto segue:
Per eseguire il debug del driver, consultare il documento sul problema del database dei driver AnyConnect.
Disconnessione o impossibilità di stabilire una connessione iniziale
Se si verificano problemi di connessione con il client AnyConnect, ad esempio disconnessioni o impossibilità di stabilire una connessione iniziale, acquisire i seguenti file:
- Il file di configurazione dell'ASA per determinare se qualcosa nella configurazione causa l'errore di connessione:
Dalla console dell'ASA, immetterewrite net x.x.x.x:ASA-Config.txtdovex.x.x.xè l'indirizzo IP di un server TFTP sulla rete.
O
Dalla console dell'ASA, immettereshow running-config. Lasciare che la configurazione sulla schermata venga completata, quindi tagliarla e incollarla in un editor di testo e salvarla. - I registri evento ASA:
- Per abilitare la registrazione su ASA degli eventi auth, WebVPN, SSL (Secure Sockets Layer) e SVC (Client VPN SSL), utilizzare questi comandi CLI:
config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging - Creare una sessione AnyConnect e assicurarsi che l'errore possa essere riprodotto. Acquisire l'output di registrazione dalla console, copiarlo su un editor di testo e salvarlo.
- Per disabilitare la registrazione sui log, immettere
no logging enable.
- Per abilitare la registrazione su ASA degli eventi auth, WebVPN, SSL (Secure Sockets Layer) e SVC (Client VPN SSL), utilizzare questi comandi CLI:
- Il registro del client VPN di Cisco AnyConnect dal Visualizzatore eventi di Windows del PC client:
- Scegliere Start > Esegui.
- Inserire:
eventvwr.msc /s
- Fare clic con il tasto destro del mouse sul registro del client VPN di Cisco AnyConnect e selezionare Salva registro con nome... AnyConnect.evt.
- Scegliere Start > Esegui.
Se l'utente non riesce a connettersi con il client VPN di AnyConnect, il problema potrebbe essere correlato a una sessione di RDP (Remote Desktop Protocol) o all'abilitazione del Cambio rapido utente sul PC client. Sul PC client potrebbe comparire questo messaggio AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established. Per risolvere il problema, disconnettere tutte le sessioni RDP stabilite e disabilitare la funzionalità di Cambio rapido utente. Questa condizione è controllata dall'attributo Windows Logon Enforcement nel profilo del client, tuttavia attualmente non esiste alcuna impostazione che consenta a un utente di stabilire una connessione VPN mentre più utenti sono connessi contemporaneamente allo stesso computer. È stata avviata una richiesta di miglioramento CSCsx15061 per risolvere il problema.
Quando un utente non riesce a connettere il client VPN AnyConnect all'ASA, il problema potrebbe dipendere da un'incompatibilità tra la versione del client di AnyConnect e la versione dell'immagine del software ASA. In questo caso, viene visualizzato il seguente messaggio di errore: Il programma di installazione non è in grado di avviare il client VPN Cisco, l'accesso senza client non è disponibile.
Per risolvere il problema, aggiornare la versione del client di AnyConnect per renderla compatibile con l'immagine del software ASA.
Quando si accede per la prima volta a AnyConnect, lo script di accesso non viene eseguito. Se ci si disconnette e si esegue di nuovo l'accesso, lo script di accesso viene eseguito correttamente. Si tratta di un comportamento previsto.
Quando si connette il client VPN AnyConnect all'appliance ASA, è possibile che venga visualizzato questo messaggio: Se l'utente non è autorizzato ad accedere al client AnyConnect, contattare l'amministratore.
Questo errore viene visualizzato quando l'immagine di AnyConnect non è presente nell'ASA. Una volta caricata l'immagine, AnyConnect può connettersi all'ASA senza problemi.
Questo errore può essere risolto disabilitando il DTLS (Datagram Transport Layer Security). Selezionare Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles e deselezionare la casella di controllo Enable DTLS. Il DTLS viene disabilitato.
I file dartbundle mostrano questo messaggio di errore quando l'utente si disconnette: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:Il gateway sicuro non è riuscito a rispondere ai pacchetti Dead Peer Detection. Questo errore indica che il canale DTLS è stato disattivato a causa di un errore DPD (Dead Peer Detection). L'errore viene risolto se si modificano i keepalive DPD e si immettono i seguenti comandi:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
In ASA versione 8.4 (1) e successive, i comandi keepalive svc e svc dpd-interval vengono sostituiti rispettivamente dai comandi anyconnect keepalive e anyconnect dpd-interval, come mostrato di seguito:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
Problemi di transito del traffico
Quando vengono rilevati problemi relativi al transito del traffico verso la rete privata con una sessione AnyConnect tramite ASA, completare questi passaggi di acquisizione dei dati:
- Acquisizione dell'output del comando ASA show vpn-sessiondb detail svc filter name<username> dalla console. Se nell'output viene visualizzato
Nome filtro: XXXXX, raccogliere l'output per show access-list XXXXX. Verificare che access-list XXXXX non blocchi il flusso di traffico interessato. - Esportare le statistiche AnyConnect da Client VPN AnyConnect > Statistics > Details > Export (AnyConnect-ExportedStats.txt).
- Controllare il file di configurazione ASA per le istruzioni nat. Se la Network Address Translation (NAT) è attivata, le istruzioni devono escludere i dati che vengono restituiti al client come risultato della NAT. Ad esempio, per fare in modo che la NAT escluda (nat 0) gli indirizzi IP dal pool AnyConnect, usare questo comando sulla CLI:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out - Determinare se il gateway con tunneling predefinito deve essere abilitato per l'installazione. Il gateway predefinito tradizionale è il gateway di ultima istanza per il traffico non decriptato.
Esempio:
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
Ad esempio, se il client VPN deve accedere a una risorsa che non è presente nella tabella di routing del gateway VPN, il pacchetto viene instradato attraverso il gateway predefinito standard. Per questa condizione, il gateway VPN non ha bisogno della tabella di routing interna completa. In questo caso è possibile utilizzare la parola chiave tunneled. - Verificare se il traffico AnyConnect viene interrotto dalla policy di ispezione dell'ASA. È possibile escludere l'applicazione specifica utilizzata dal client di AnyConnect se si implementa il framework di policy modulare dell'ASA di Cisco. Ad esempio, con questi comandi è possibile escludere il protocollo Skinny.
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
Problemi di arresto anomalo di AnyConnect
Procedere come segue alla raccolta dei dati:
- Assicurarsi che la utility Dr Watson di Microsoft sia abilitata. A tale scopo, scegliere Start > Esegui ed eseguire Drwtsn32.exe. Configurare i seguenti parametri e fare clic su OK:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
Quando si verifica l'arresto anomalo, prelevare i file .log e .dmp da C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson. Se questi file sembrano essere in uso, utilizzare ntbackup.exe. - Acquisizione del registro del client VPN di Cisco AnyConnect dal Visualizzatore eventi di Windows del PC client:
- Scegliere Start > Esegui.
- Inserire:
eventvwr.msc /s
- Fare clic con il tasto destro del mouse sul registro del client VPN di Cisco AnyConnect e selezionare Salva registro con nome... AnyConnect.evt.
- Scegliere Start > Esegui.
Problemi di frammentazione/transito del traffico
Alcune applicazioni, come Microsoft Outlook, non funzionano. Tuttavia, il tunnel è in grado di far transitare altro traffico, ad esempio piccoli ping.
Questo può essere indicativo di un problema di frammentazione nella rete. I router consumer sono particolarmente carenti in termini di frammentazione e riassemblaggio dei pacchetti.
Provare una serie di ping di dimensioni progressive per determinare se si verifica un errore a un determinato livello. Ad esempio, ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.
Si consiglia di configurare un gruppo speciale per utenti con problemi di frammentazione e di impostare l'MTU (Maximum Transition Unit) SVC per questo gruppo su 1200. In questo modo è possibile fornire un rimedio ai soli utenti che riscontrano questo problema, senza interferire con tutti gli altri.
Problema
Le connessioni TCP si bloccano una volta connesse a AnyConnect.
Soluzione
Per verificare se l'utente ha un problema di frammentazione, regolare l'MTU per i client AnyConnect sull'ASA.
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
Disinstallazione automatica
Problema
Il client VPN AnyConnect si disinstalla automaticamente al termine della connessione. I log del client mostrano che la funzione di mantenimento dell'installazione è disabilitata.
Soluzione
AnyConnect si disinstalla nonostante in ASDM (Adaptive Security Device Manager) sia selezionata l'opzione keep installed. Per risolvere il problema, configurare il comando svc keep-installer installed in policy di gruppo.
Problema di popolamento dell'FQDN del cluster
Problema: il client AnyConnect è precompilato con il nome host anziché con il nome di dominio completo (FQDN) del cluster.
Quando per la rete VPN SSL è impostato un cluster a bilanciamento del carico e il client tenta di connettersi al cluster, la richiesta viene reindirizzata all'ASA del nodo e il client accede correttamente. In seguito, quando il client tenta di connettersi nuovamente al cluster, il nome di dominio completo (FQDN) del cluster non viene visualizzato tra le voci Connect to. Invece, viene visualizzata la voce ASA del nodo a cui è stato reindirizzato il client.
Soluzione
Questo accade perché il client AnyConnect conserva il nome host a cui si è connesso l'ultima volta. Questo comportamento viene rilevato e viene registrato un bug. Per ulteriori informazioni sul bug, consultare l'ID bug Cisco CSCsz39019. Per ovviare al problema, si consiglia di aggiornare Cisco AnyConnect alla versione 2.5.
Configurazione dell'elenco dei server di backup
L'elenco di server di backup viene configurato per fornire una soluzione nel caso in cui il server principale selezionato dall'utente non sia raggiungibile. L'elenco viene definito nel riquadro Backup Server nel profilo di AnyConnect. Attenersi alla seguente procedura:
- Scaricare l'editor di profili di AnyConnect (solo clienti registrati). Il nome del file è AnyConnectProfileEditor2_4_1.jar.
- Creare un file XML con l'editor di profili di AnyConnect.
- Passare alla scheda Server List.
- Fare clic su Add.
- Digitare il server principale nel campo Hostname.
- Aggiungere il server di backup sotto l'elenco dei server di backup nel campo Host address. Quindi fare clic su Add.
- Passare alla scheda Server List.
- Una volta ottenuto il file XML, è necessario assegnarlo alla connessione in uso sull'ASA.
- In ASDM, scegliere Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles.
- Selezionare il profilo e fare clic su Edit.
- Fare clic su Manage nella sezione Default Group Policy.
- Selezionare la policy di gruppo e fare clic su Edit.
- Selezionare Advanced, quindi fare clic su SSL VPN Client.
- Fare clic su New. Quindi immettere un nome per il profilo e assegnare il file XML.
- In ASDM, scegliere Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles.
- Connettere il client alla sessione per scaricare il file XML.
AnyConnect: problema del database dei driver danneggiato
Questa voce nel file SetupAPI.log suggerisce che il sistema del catalogo è danneggiato:
L'elenco della classe di firma del driver W239 genera il messaggio di errore "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Errore 0xfffde5: errore sconosciuto., presupponendo che tutte le classi di dispositivo siano soggette ai criteri di firma del driver.
È inoltre possibile ricevere il seguente messaggio di errore: Errore(3/17): Impossibile avviare VA, configurare la coda condivisa o VA ha abbandonato la coda condivisa.
È possibile ricevere questo registro sul client: "Il driver del client VPN ha rilevato un errore".
Riparazione
il problema è dovuto all'ID bug Cisco CSCsm54689. Per risolvere il problema, verificare che il servizio Routing e Accesso remoto sia disabilitato prima di avviare AnyConnect. Se il problema persiste, procedere come segue:
- Aprire un prompt dei comandi come amministratore sul PC (prompt con privilegi elevati su Vista).
- Eseguire il comando
net stop CryptSvc. - Lanciare:
esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Quando richiesto, scegliere OK per tentare la riparazione.
- Uscire dal prompt dei comandi.
- Riavviare.
Riparazione non riuscita
Se la riparazione non riesce, attenersi alla seguente procedura:
- Aprire un prompt dei comandi come amministratore sul PC (prompt con privilegi elevati su Vista).
- Eseguire il comando
net stop CryptSvc. - Rinominare la directory %WINDIR%\system32\catroot2 in catroot2_old.
- Uscire dal prompt dei comandi.
- Riavviare.
Analisi del database
È possibile analizzare il database in qualsiasi momento per determinare se è valido.
- Aprire un prompt dei comandi come Amministratore sul PC.
- Lanciare:
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Per ulteriori informazioni consultare Integrità del database del catalogo di sistema.
Messaggi di errore
Errore: impossibile aggiornare il database di gestione delle sessioni
Mentre la VPN SSL è connessa tramite un browser Web, viene visualizzato il messaggio di errore Unable to Update the Session Management Database (Impossibile aggiornare il database di gestione delle sessioni) e nei log ASA viene visualizzato %ASA-3-211001: errore di allocazione della memoria. The adaptive security appliance failed to allocate RAM system memory.
Soluzione 1
il problema è dovuto all'ID bug Cisco CSCsm51093. Per risolvere il problema, ricaricare l'ASA o aggiornare il software ASA alla versione provvisoria menzionata nel bug. Per ulteriori informazioni, consultare il bug Cisco ID CSCsm51093.
Soluzione 2
Questo problema può essere risolto anche disabilitando la funzione di rilevamento delle minacce sull'ASA, se utilizzata.
Errore: "Impossibile registrare il modulo c:\Programmi\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll"
Quando si utilizza il client AnyConnect su laptop o PC, si verifica un errore durante l'installazione:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
Quando si verifica questo errore, il programma di installazione non può procedere e il client viene rimosso.
Soluzione
Le possibili soluzioni per aggirare questo errore sono:
- Il client AnyConnect più recente non è più supportato da Microsoft Windows 2000. Si tratta di un problema di registro dei computer con Windows 2000.
- Rimuovere le applicazioni VMware. Una volta installato AnyConnect, è possibile aggiungere nuovamente le applicazioni VMware al PC.
- Aggiungere l'ASA ai siti attendibili.
- Copiare questi file dalla cartella \Programmi\Cisco\CiscoAnyconnect in una nuova cartella ed eseguire il prompt dei comandi regsvr32 vpnapi.dll:
- vpnapi.dll
- vpncommon.dll
- vpncommoncrypt.dll
- Ricreare l'immagine del sistema operativo sul laptop/PC.
Il messaggio di registro relativo a questo errore sul client AnyConnect è simile al seguente:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
Errore: "Errore ricevuto dal gateway sicuro in risposta alla richiesta di negoziazione VPN. Contattare l'amministratore di rete.
Questo errore viene visualizzato Quando i client tentano di connettersi alla VPN con il client VPN di Cisco AnyConnect.
Il gateway di sicurezza ha ricevuto questo messaggio:
"Classe di indirizzo non valida" o "Host o rete 0" o "Altro errore"
Soluzione
Il problema è dovuto all'esaurimento del pool IP locale dell'ASA. Poiché la risorsa del pool VPN è esaurita, è necessario aumentare l'intervallo del pool IP.
Per questo problema consultare il bug Cisco ID CSCsl82188. Questo errore si verifica in genere quando il pool locale per l'assegnazione degli indirizzi è esaurito o se viene utilizzata una subnet mask a 32 bit per il pool di indirizzi. Per risolvere il problema espandere il pool di indirizzi e utilizzare una subnet mask a 24 bit.
Errore: impossibile stabilire la sessione. È stato raggiunto il limite di 2 sessioni.
Quando si cerca di connettere più di due client con AnyConnect VPN Client, viene visualizzato il messaggio di errore Login Failed sul Client e il messaggio di avviso Session could not be established. È stato raggiunto il limite di 2 sessioni. Uso della licenza AnyConnect essential sull'ASA versione 8.0.4.
Soluzione 1
Questo errore si verifica perché la licenza AnyConnect Essentials non è supportata da ASA versione 8.0.4. Aggiornare l'ASA alla versione 8.2.2. In questo modo l'errore viene risolto.
Soluzione 2
Questo errore può verificarsi anche se si utilizza il comando vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit per impostare il limite di sessioni VPN da stabilire. Se il limite di sessioni è impostato a due, l'utente non può stabilire più di due sessioni anche se la licenza installata ne supporta di più. Per evitare il messaggio di errore, impostare il limite di sessioni sul numero di sessioni VPN necessarie.
Errore: Anyconnect non abilitata sul server VPN durante il tentativo di connessione di anyconnect ad ASA
Quando si cerca di connettere AnyConnect all'ASA, viene visualizzato il messaggio di errore Anyconnect not enabled on VPN server.
Soluzione
Questo errore si risolve abilitando AnyConnect sull'interfaccia esterna dell'ASA con ASDM. Per ulteriori informazioni su come abilitare AnyConnect sull'interfaccia esterna, fare riferimento a Configurazione della VPN SSL clientless (WebVPN) sull'ASA.
Errore:- %ASA-6-72036: gruppo client-gruppo utente xxxx IP x.x.x.x Trasmissione pacchetto di grandi dimensioni 1220 (soglia 1206)
Nei log dell'ASA viene visualizzato il messaggio di errore %ASA-6-72036: Group < gruppo client > Utente < xxxx > IP < x.x.x> Transmitting large packet 1220 (soglia 1206). Che cosa significa questo messaggio e come si risolve l'errore?
Soluzione
Questo messaggio di registro indica al client è stato inviato un pacchetto grande. L'origine del pacchetto non conosce il valore MTU del client. L'errore potrebbe anche dipendere dalla compressione di dati non comprimibili. Per risolvere il problema, disattivare la compressione SVC con il comando svc compression none. In questo modo il problema viene risolto.
Errore: il gateway sicuro ha rifiutato la richiesta di connessione o riconnessione vpn dell'agente.
Quando ci si connette al client AnyConnect, viene visualizzato questo errore: "Il gateway sicuro ha rifiutato la richiesta di connessione o riconnessione vpn dell'agente. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. Il gateway sicuro ha inviato il seguente messaggio: "nessun indirizzo assegnato".
Questo errore si verifica anche quando ci si connette al client AnyConnect: "Il gateway sicuro ha rifiutato il tentativo di connessione. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway:Host or network is 0".
Questo errore si verifica anche quando ci si connette al client AnyConnect: "Il gateway sicuro ha rifiutato la richiesta di connessione o riconnessione vpn dell'agente. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Dal gateway sicuro è stato ricevuto il seguente messaggio: No License".
Soluzione
Sul router mancava la configurazione del pool dopo il reload. È necessario aggiungere nuovamente la configurazione interessata sul router.
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
Quando la licenza di AnyConnect Mobility manca, viene visualizzato il seguente messaggio "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Il gateway sicuro ha inviato il seguente messaggio: No License" (Nessuna licenza) quando la licenza AnyConnect Mobility non è disponibile. Una volta installata la licenza, il problema viene risolto.
Errore: "Impossibile aggiornare il database di gestione delle sessioni"
Quando si tenta di eseguire l'autenticazione in WebPortal, viene visualizzato il seguente messaggio di errore: "Unable to update the session management database".
Soluzione
Questo problema è correlato all'allocazione della memoria sull'ASA. Questo problema si verifica principalmente quando la versione ASA è 8.2.1. In origine, questo richiedeva una RAM da 512 MB per le sue funzionalità complete.
Come soluzione permanente, aggiornare la memoria a 512 MB.
Come soluzione temporanea, provare a liberare la memoria con questi passaggi:
- Disabilitare il rilevamento delle minacce.
- Disabilitare la compressione SVC.
- Ricaricare l'ASA.
Errore: "Il driver del client VPN ha rilevato un errore"
Questo messaggio di errore viene visualizzato sul computer client quando si cerca di connettersi a AnyConnect.
Soluzione
Per risolvere questo errore completare la procedura per impostare manualmente l'agente VPN AnyConnect su Interactive:
- Fare clic con il tasto destro del mouse su Risorse del computer > Gestisci > Servizi e applicazioni > Servizi e selezionare Cisco AnyConnect VPN Agent.
- Fare clic con il tasto destro del mouse su Proprietà, quindi accedere e selezionare Consenti al servizio di interagire con il desktop.
In questo modo il valore del tipo di registro DWORD viene impostato su 110 (l'impostazione predefinita è 010) per HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.
Quando il servizio di Routing e Accesso remoto (RRAS) è abilitato sul PC Windows, AnyConnect ha esito negativo eil driver del client VPN ha rilevato un errore.Messaggio di errore. Per risolvere il problema, assicurarsi che il RRAS sia disabilitato prima di avviare AnyConnect. Per ulteriori informazioni, consultare il bug Cisco ID CSCsm54689.
Errore: "Impossibile elaborare la risposta da xxx.xxx.xxx.xxx"
I client AnyConnect non riescono a connettersi a un'ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore "Unable to process response from xxx.xxx.xxx.xxx".
Soluzione
Per risolvere questo problema, provare le soluzioni indicate:
- Rimuovere WebVPN dall'ASA e riattivarlo.<
- Modificare il numero di porta 443 in 444 e riabilitarlo sulla porta 443.
Per ulteriori informazioni su come abilitare WebVPN e modificare la porta, fare riferimento a questa soluzione.
Errore: "Accesso negato, meccanismo di connessione non autorizzato, contattare l'amministratore"
I client AnyConnect non riescono a connettersi a un'ASA di Cisco. Nella finestra AnyConnect, viene visualizzato il messaggio di errore "Login Denied, unauthorized connection mechanism, contact your administrator".
Soluzione
Questo messaggio di errore si verifica principalmente per problemi di configurazione inadeguata o incompleta. Per risolvere il problema, controllare la configurazione e verificare che sia quella richiesta.
<
Errore: "Il pacchetto Anyconnect non è disponibile o è danneggiato. Contattare l'amministratore di sistema.
Questo errore si verifica quando si tenta di avviare il software AnyConnect da un client Macintosh per connettersi a un'ASA.
Soluzione
Per risolvere questo problema eseguire questi passaggi:
- Caricare il pacchetto AnyConnect per Macintosh nella memoria flash dell'ASA.
- Modificare la configurazione WebVPN per specificare il pacchetto AnyConnect utilizzato.
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
Il comando svc image viene sostituito dal comando anyconnect image nelle ASA versione 8.4 (1) e successive, come mostrato di seguito:
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
Errore: "Impossibile individuare il pacchetto AnyConnect sul gateway sicuro"
Questo errore si verifica su macchine Linux quando tentano di connettersi all'ASA avviando AnyConnect. Questo è l'errore completo:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
Soluzione
Per risolvere questo messaggio di errore, verificare se il sistema operativo (SO) utilizzato sul computer client è supportato dal client AnyConnect.
Se il sistema operativo è supportato, verificare se il pacchetto AnyConnect è specificato nella configurazione WebVPN o meno. Per ulteriori informazioni, consultare la sezione Pacchetto AnyConnect non disponibile o danneggiato in questo documento.
Errore: "VPN sicura tramite desktop remoto non supportata"
Gli utenti non sono in grado di eseguire un accesso al desktop remoto. Viene visualizzato il messaggio di errore Secure VPN via remote desktop is not supported.
Soluzione
Il problema è dovuto ai seguenti ID bug Cisco: CSCsu2088 e CSCso42825. Se si aggiorna il client VPN AnyConnect, il problema può essere risolto. Per ulteriori informazioni, fare riferimento a questi bug.
Errore: "Il certificato server ricevuto o la relativa catena non è conforme a FIPS. La connessione VPN non verrà stabilita.
Quando si tenta di connettersi tramite VPN all'ASA 5505, viene visualizzato il messaggio di errore The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established.
Soluzione
Per risolvere questo errore è necessario disabilitare gli standard FIPS (Federal Information Processing Standards) nel file della policy locale di AnyConnect. Il file è in genere disponibile in C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Se non si trova il file in questo percorso, cercarlo in una directory diversa provando ad esempio in: C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Una volta individuato il file xml, modificarlo come mostrato di seguito:
Modificare la frase:
<FipsMode>true</FipsMode>
A:
<FipsMode>false</FipsMode>
Riavviare il computer. Per modificare questo file occorrono permessi di amministratore.
Errore: "Errore di convalida del certificato"
Gli utenti non possono avviare AnyConnect e ricevono il messaggio di errore Certificate Validation Failure.
Soluzione
L'autenticazione del certificato funziona in modo diverso con AnyConnect rispetto al client IPSec. Affinché l'autenticazione del certificato funzioni, è necessario importare il certificato del client nel browser e modificare il profilo di connessione per utilizzare l'autenticazione del certificato. È inoltre necessario abilitare questo comando nell'ASA per consentire l'utilizzo dei certificati client SSL sull'interfaccia esterna:
ssl certificate-authentication interface outside port 443
Errore: "Si è verificato un problema e il servizio agente VPN deve essere chiuso. Siamo spiacenti per l'inconveniente.
Quando AnyConnect versione 2.4.0202 è installato su un PC con Windows XP, si interrompe durante l'aggiornamento dei file di localizzazione e un messaggio di errore indica che vpnagent.exe non funziona.
Soluzione
Questo comportamento è registrato nell'ID bug Cisco CSCsq49102. Per ovviare al problema, si consiglia di disabilitare il client Citrix.
Errore: "Impossibile aprire il pacchetto di installazione. Verificare che il pacchetto esista.
Quando viene scaricato AnyConnect, viene visualizzato questo messaggio di errore:
"Contact your system administrator. Errore durante l'installazione. Impossibile aprire il pacchetto di installazione. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package."
Soluzione
Per risolvere il problema procedere come segue:
- Rimuovere eventuali software antivirus.
- Disabilitare il firewall di Windows.
- Se i passaggi 1 o 2 non sono di aiuto, formattare la macchina e installare.
- Se il problema persiste, aprire una richiesta TAC.
Errore: "Errore durante l'applicazione delle trasformazioni. Verificare che i percorsi di trasformazione specificati siano validi.
Questo messaggio di errore viene visualizzato durante il download automatico di AnyConnect dall'ASA:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
Questo è il messaggio di errore visualizzato durante la connessione a AnyConnect per MacOS:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
Soluzione
Per risolvere il problema provare una di queste soluzioni alternative:
- La causa principale di questo errore potrebbe dipendere da un file di traduzione MST danneggiato (ad esempio, importato). Per risolvere il problema procedere come segue:
- Rimuovere la tabella di conversione MST.
- Configurare l'immagine di AnyConnect per MacOS nell'ASA.
- Rimuovere la tabella di conversione MST.
- Da ASDM, seguire il percorso Network (Client) Access > AnyConnect Custom > Installs ed eliminare il file del pacchetto AnyConnect. Assicurarsi che il pacchetto rimanga in Network (Client) Access > Advanced > SSL VPN > Client Setting.
Se nessuna di queste soluzioni risolve il problema contattare il supporto tecnico Cisco.
Errore: "Il driver del client VPN ha rilevato un errore"
Viene visualizzato questo errore:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
Soluzione
Questo problema può essere risolto disinstallando il client AnyConnect e rimuovendo il software antivirus. Successivamente, reinstallare il client AnyConnect. Se la risoluzione non funziona, riformattare il PC.
Errore: "Una riconnessione VPN ha determinato un'impostazione di configurazione diversa. L'impostazione della rete VPN è in corso di reinizializzazione. Potrebbe essere necessario ripristinare le applicazioni che utilizzano la rete privata.
Questo errore viene visualizzato quando si avvia AnyConnect:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
Soluzione
Per risolvere questo errore, procedere come segue:
group-policy <Name> attributes
webvpn
svc mtu 1200
Sostituire il comando svc mtu con il comando anyconnect mtu nelle ASA versione 8.4 (1) e successive, come mostrato qui:
hostname(config)#group-policy <Name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
Errore di AnyConnect durante l'accesso
Problema
AnyConnect riceve questo errore quando si connette al client:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
Soluzione
Il problema può essere risolto apportando queste modifiche al profilo di AnyConnect:
Aggiungere questa riga al profilo di AnyConnect:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
L'impostazione del proxy IE non viene ripristinata dopo la disconnessione di AnyConnect in Windows 7
Problema
In Windows 7, se il proxy IE è impostato su Rileva automaticamente impostazioni ed AnyConnect invia una nuova impostazione proxy, il proxy IE non viene ripristinato su Rileva automaticamente impostazioni quando l'utente ha terminato la sessione AnyConnect. Ciò causa problemi di LAN agli utenti che richiedono un proxy impostato su Rileva automaticamente impostazioni.
Soluzione
Questo comportamento è registrato nell'ID bug Cisco CSCtj51376. Per ovviare al problema, si consiglia di eseguire l'aggiornamento a AnyConnect 3.0.
Errore: per abilitare AnyConnect Essentials, chiudere tutte le sessioni.
Quando si cerca di abilitare la licenza AnyConnect Essentials, su Cisco ASDM viene visualizzato questo messaggio di errore:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
Soluzione
Si tratta di un normale comportamento dell'ASA. AnyConnect Essentials è un client VPN SSL con licenza separata. È interamente configurato sull'ASA e offre la piena funzionalità AnyConnect, con le seguenti eccezioni:
- Nessun CSD (Cisco Secure Desktop) (incluso HostScan/Vault/Cache Cleaner)
- Nessuna VPN SSL senza client
- Supporto facoltativo per Windows Mobile
Questa licenza non può essere utilizzata contemporaneamente alla licenza premium VPN SSL condivisa. Per utilizzare una licenza, è necessario disabilitare l'altra.
Errore: la scheda Connessione dell'opzione Internet di Internet Explorer si nasconde dopo la connessione al client AnyConnect.
Dopo la connessione al client AnyConnect, la scheda Connessioni di Opzioni Internet in Internet Explorer viene nascosta.
Soluzione
Questo errore è dovuto alla funzione msie-proxy lockdown. Se si abilita questa funzione, la scheda Connessioni in Microsoft Internet Explorer viene nascosta per la durata della sessione VPN AnyConnect. Se si disabilita la funzione, la scheda Connessioni rimane visibile.
Errore: pochi utenti ricevono il messaggio di errore Accesso non riuscito quando altri utenti sono in grado di connettersi tramite AnyConnect VPN
Qualche utente riceve il messaggio di errore Login Failed, mentre altri riescono a connettersi correttamente tramite la VPN AnyConnect.
Soluzione
Questo problema può essere risolto selezionando la casella di controllo do not require pre-authentication per gli utenti.
Errore: il certificato visualizzato non corrisponde al nome del sito che si sta tentando di visualizzare.
Durante l'aggiornamento del profilo di AnyConnect, un errore indica che il certificato non è valido. Questo si verifica solo con Windows e nella fase di aggiornamento del profilo. Questo il messaggio di errore visualizzato:
The certificate you are viewing does not match with the name of the site
you are trying to view.
Soluzione
Questo errore può essere risolto modificando l'elenco dei server del profilo AnyConnect al fine di utilizzare il nome FQDN del certificato.
Questo è un esempio di profilo XML:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
Impossibile avviare AnyConnect dal Vault CSD su un computer con Windows 7
Quando AnyConnect viene avviato dal vault CSD, non funziona. Questo accade sui computer con Windows 7.
Soluzione
Attualmente non è possibile risolvere il problema perché la funzione non è supportata.
Il profilo di AnyConnect non viene replicato in standby dopo il failover
Il client VPN AnyConnect 3.0 funziona correttamente con il software ASA versione 8.4.1. Tuttavia, dopo il failover, non avviene alcuna replica per la configurazione relativa al profilo AnyConnect.
Soluzione
Il problema è stato rilevato e registrato con l'ID bug Cisco CSCtn71662. La soluzione temporanea è copiare manualmente i file sull'unità in standby.
Il client AnyConnect si arresta in modo anomalo se Internet Explorer va offline
In questi casi il registro eventi di AnyConnect contiene voci simili alle seguenti:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
Soluzione
Questo comportamento viene osservato e registrato con l'ID bug Cisco CSCtx28970. Per risolvere questo problema, chiudere l'applicazione AnyConnect e riavviare. Le voci di connessione vengono visualizzate nuovamente dopo il riavvio.
Messaggio di errore: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER
Il client AnyConnect non riesce a connettersi e viene visualizzato il messaggio di errore Unable to establish a connection. Nel log degli eventi di AnyConnect, è presente il messaggio di errore TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.
Soluzione
Questo si verifica quando l'headend è configurato per il tunneling ripartito con un elenco di tunnel ripartiti molto esteso (circa 180-200 voci) e uno o più altri attributi client sono configurati nella policy di gruppo, come i server DNS.
Per risolvere il problema procedere come segue:
- Ridurre il numero di voci nell'elenco dei tunnel ripartiti.
- Utilizzare questa configurazione per disabilitare il DTLS:
group-policy groupName attributes
webvpn
svc dtls none
Per ulteriori informazioni consultare il bug Cisco ID CSCtc41770.
Messaggio di errore: "Tentativo di connessione non riuscito a causa di una voce host non valida"
Il messaggio di errore Connection attempt has failed due to invalid host entry viene visualizzato mentre AnyConnect viene autenticato con l'uso di un certificato.
Soluzione
Per risolvere il problema, provare una delle seguenti soluzioni:
- Aggiornare AnyConnect alla versione 3.0.
- Disabilitare Cisco Secure Desktop sul computer.
Per ulteriori informazioni consultare il bug Cisco ID CSCti73316.
Errore: "Verificare che i certificati del server possano passare la modalità rigorosa se si configura una VPN sempre attiva"
Quando si attiva la funzionalità Always-On su AnyConnect, viene visualizzato il messaggio di errore Ensure your server certificates can pass strict mode if you configure always-on VPN.
Soluzione
Questo messaggio di errore implica che, se si desidera utilizzare la funzione Always-On, è necessario un certificato server valido configurato sull'headend. Senza un certificato server valido, questa funzione non è possibile. La modalità Strict Cert è un'opzione impostata nel file della policy locale AnyConnect per garantire che le connessioni utilizzino un certificato valido. Se si abilita questa opzione nel file della policy e ci si connette con un certificato falso, la connessione non viene stabilita.
Errore: "Errore interno nei servizi HTTP di Microsoft Windows"
Questo DART (Diagnostic AnyConnect Reporting Tool) mostra un tentativo non riuscito:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
Inoltre, sui PC con Windows, consultare i registri del visualizzatore eventi.
Soluzione
L'errore potrebbe dipendere da una connessione Winsock danneggiata. Reimpostare la connessione dal prompt dei comandi con questo comando e riavviare il computer Windows:
netsh winsock reset
Per ulteriori informazioni consultare l'articolo How to determine and to recover from Winsock2 corruption in Windows Server 2003, in Windows XP, and in Windows Vista nella knowledge base.
Errore: "Il trasporto SSL ha ricevuto un errore di canale protetto. Può trattarsi di una configurazione di crittografia non supportata sul gateway di sicurezza.
Questo DART (Diagnostic AnyConnect Reporting Tool) mostra un tentativo non riuscito:
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
******************************************
Soluzione
Secondo il seguente aggiornamento della KB, Windows 8.1 non supporta RC4:
http://support2.microsoft.com/kb/2868725
Configurare le crittografie DES/3DES per la VPN SSL sull'ASA utilizzando il comando "ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1" OPPURE modificare il file del registro di Windows sul computer client come indicato di seguito:
https://technet.microsoft.com/en-us/library/dn303404.aspx
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
04-Apr-2018 |
Versione iniziale |
Feedback