Gebruik AnyConnect Captive Portal voor detectie en herstel

Downloadopties

  • PDF     (360.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (198.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (131.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 november 2024
Document-id:118086

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de functie Cisco AnyConnect Mobility Client captive portal voor detectie en de vereisten voor een correcte werking beschreven.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van de Cisco AnyConnect Secure Mobility Client.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • AnyConnect versie 4.7
    • Cisco adaptieve security applicatie (ASA) versie 9.10

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Veel draadloze hotspots in hotels, restaurants, vliegvelden en andere openbare plaatsen maken gebruik van portals voor onbevoegden om de toegang tot internet te blokkeren. Ze leiden HTTP-verzoeken door naar hun eigen websites die van gebruikers eisen dat ze hun referenties invoeren of de voorwaarden van de hotspothost bevestigen. 

    Overzicht

    Veel faciliteiten die Wi-Fi en bekabelde toegang bieden, zoals luchthavens, coffeeshops en hotels, vereisen van gebruikers dat ze betalen voordat ze toegang krijgen, stemmen ermee in zich te houden aan een acceptabel gebruiksbeleid, of beide. Deze faciliteiten maken gebruik van een techniek genaamd captive portal om te voorkomen dat applicaties toegang krijgen totdat gebruikers een browser openen en de voorwaarden voor toegang accepteren.

    Vereisten voor probleemoplossing voor Captive Portal

    Ondersteuning voor zowel detectie als herstel van een captive portal vereist een van deze licenties:

    • AnyConnect Premium (Secure Sockets Layer (SSL) VPN Edition)
    • Cisco AnyConnect beveiligde mobiliteit

    U kunt een Cisco AnyConnect Secure Mobility-licentie gebruiken om ondersteuning te bieden voor detectie en herstel van interne poorten in combinatie met een AnyConnect Essentials of een AnyConnect Premium-licentie.

    Opmerking: Captive portal detectie en herstel wordt ondersteund op de Microsoft Windows- en Macintosh OS X-besturingssystemen die worden ondersteund door de release van AnyConnect die in gebruik is.

    Opmerking: Always-ON VPN ondersteunt verbinding niet via een proxy

    hotspotdetectie in Captive Portal

    AnyConnect geeft de foutmelding "Kan geen contact opnemen met VPN-server" op de GUI weer als er geen verbinding kan worden gemaakt, ongeacht de oorzaak. De VPN-server specificeert de beveiligde gateway. Als Always-on is ingeschakeld en er geen portal voor captive is, blijft de client proberen verbinding te maken met VPN en werkt de statusmelding dienovereenkomstig bij.

    Als de Altijd-aan VPN is ingeschakeld, het beleid voor Verbindingsfouten is gesloten, het herstel van een toegangsportaal is uitgeschakeld en AnyConnect de aanwezigheid van een toegangsportaal detecteert, wordt dit bericht in de AnyConnect GUI weergegeven, eenmaal per verbinding en eenmaal per opnieuw verbinding:

    The service provider in your current location is restricting access to the internet. 
    The AnyConnect protection settings must be lowered for you to log on with the service 
    provider. Your current enterprise security policy does not allow this.

    Als AnyConnect de aanwezigheid van een interactief portaal detecteert en de AnyConnect-configuratie verschilt van de eerder beschreven configuratie, wordt in de AnyConnect GUI dit bericht eenmaal per verbinding weergegeven en eenmaal per keer per opnieuw verbinding:

    The service provider in your current location is restricting access to the internet. 
    You need to log on with the service provider before you can establish a VPN session. 
    You can try this by visiting any website with your browser.

    Waarschuwing: de detectie van een intern portaal is standaard ingeschakeld en niet configureerbaar. AnyConnect wijzigt geen instellingen voor de browserconfiguratie tijdens de detectie van een intern portaal.

    Captive Portal Hotspot-herstel

    Captive portal remediation is het proces waarbij u voldoet aan de eisen van een captive portal hotspot om netwerktoegang te verkrijgen.

    AnyConnect lost het interne portal niet op; de eindgebruiker is verantwoordelijk voor de probleemoplossing.

    Om de interne poortsanering uit te voeren, voldoet de eindgebruiker aan de eisen van de hotspotprovider. Deze eisen kunnen de betaling omvatten van een vergoeding voor toegang tot het netwerk, een handtekening met een beleid voor aanvaardbaar gebruik, beide, of een andere eis die door de aanbieder wordt vastgesteld.

    Herstel van interfaceportal moet expliciet worden toegestaan in een AnyConnect VPN-clientprofiel als AnyConnect Always-on is ingeschakeld en het beleid voor Verbindingsfouten is ingesteld op Gesloten. Als Always-on is ingeschakeld en het beleid voor Verbindingsfout op Openen is ingesteld, hoeft u geen openstaande portal-herstel expliciet toe te staan in een AnyConnect VPN-clientprofiel omdat de gebruiker geen netwerktoegang heeft.

    Detectie van valse gevangenisportal

    AnyConnect kan er ten onrechte van uitgaan dat het in deze situaties een captive portal is:

    • Als AnyConnect probeert contact op te nemen met een ASA met een certificaat met een incorrecte servernaam (CN), behandelt de AnyConnect-client het als een captieve portaalomgeving.

      Zorg ervoor dat het ASA-certificaat goed is geconfigureerd om dit probleem te voorkomen. De GN-waarde in het certificaat moet overeenkomen met de naam van de ASA-server in het VPN-clientprofiel.

    • Als er een ander apparaat in het netwerk is voordat de ASA reageert wanneer de gebruiker probeert contact op te nemen met een ASA door de toegang van HTTPS tot de ASA te blokkeren, behandelt de AnyConnect-client dit apparaat als een interne portaalomgeving. Deze situatie kan voorkomen wanneer een gebruiker op een intern netwerk is en via een firewall verbinding maakt met de ASA.

      Als u de toegang tot de ASA van binnen het bedrijf moet beperken, moet u uw firewall zodanig configureren dat HTTP- en HTTPS-verkeer naar het ASA-adres geen HTTP-status retourneert. HTTP/HTTPS-toegang tot de ASA is toegestaan of volledig geblokkeerd (ook wel bekend als zwart-holed) om ervoor te zorgen dat de HTTP/HTTPS-verzoeken die naar de ASA zijn verzonden geen onverwachte reactie opleveren.

    AnyConnect-gedrag

    In dit gedeelte wordt beschreven hoe AnyConnect zich gedraagt.

    1. AnyConnect probeert een HTTPS-sonde naar de volledig gekwalificeerde domeinnaam (FQDN) die in het XML-profiel is gedefinieerd.

    2. Als er een certificaatfout (niet vertrouwde/verkeerde FQDN) is, probeert AnyConnect een HTTP-sonde naar de FQDN die in het XML-profiel is gedefinieerd. Als er een andere reactie is dan een HTTP 302, dan functioneert het alsof het achter een captive portal.

    Captive Portal niet correct herkend met IKEv2

    Wanneer u probeert een Internet Key Exchange Versie 2 (IKEv2)-verbinding met een ASA met SSL-verificatie uitgeschakeld, die de Adaptieve Security Device Manager (ASDM)-portal op poort 443 uitvoert, wordt de HTTPS-sonde uitgevoerd voor detectie van een intern portaal en wordt deze doorgestuurd naar het ASDM-portal (/admin/public/index.html). Aangezien dit niet wordt verwacht door de klant, verschijnt het als een captive portal omleiden, en de verbindingspoging wordt voorkomen omdat het lijkt dat captive portal herstel is vereist.

    Voorwendselen

    Als u dit probleem tegenkomt, zijn dit een paar mogelijke omzeilingen:

    • Verwijder HTTP-opdrachten op die interface zodat de ASA niet naar HTTP-verbindingen op de interface luistert.

    • Verwijder SSL trustpoint op de interface.

    • Schakel IKEV2 client-services in.

    • Schakel Web VPN in op de interface.

    Waarschuwing: hetzelfde probleem bestaat voor Cisco IOS® routers. Als ip http server is ingeschakeld op Cisco IOS, wat vereist is als dezelfde doos wordt gebruikt als de PKI-server, detecteert AnyConnect een onterecht interactief portaal. De tijdelijke oplossing is om ip http access-class te gebruiken om reacties op AnyConnect HTTP-verzoeken te stoppen, in plaats van een verzoek om verificatie.

    De functie Captive Portal uitschakelen

    Het is mogelijk om de captive portal functie uit te schakelen in AnyConnect client versie 4.2.00096 en hoger. De beheerder kan bepalen of de optie door de gebruiker kan worden geconfigureerd of uitgeschakeld. Deze optie is beschikbaar onder de sectie Voorkeuren (Deel 1) in de profieleditor. De beheerder kan Captive Portal Detection of User Controlable uitschakelen zoals in deze schermopname van de profieleditor wordt getoond:

    Disable Captive Portal 2

    Als het selectievakje Gebruiker aangevinkt is, verschijnt het selectievakje op het tabblad Voorkeuren van de AnyConnect Secure Mobility Client UI, zoals hier wordt weergegeven:

    Captive Portal Disable 3

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    07-Nov-2024
    Bijgewerkte opmaak.
    2.0
    03-Nov-2023
    Bijgewerkte Inleiding, Stijlvereisten en Opmaak.
    1.0
    13-Aug-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Gustavo Medina
      Architect van technische oplossingen

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten