De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt een troubleshooting-scenario beschreven voor toepassingen die niet werken via de Cisco AnyConnect VPN-client.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op een Cisco ASA (adaptieve security applicatie) met versie 8.x.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Dit typische troubleshooting-scenario geldt voor toepassingen die niet werken via de Cisco AnyConnect VPN-client en is bedoeld voor eindgebruikers met Microsoft Windows-computers. In de volgende secties worden oplossingen beschreven voor de volgende problemen:
Voer de volgende stappen uit:
\Windows\setupapi.log
Opmerking: verborgen mappen moeten zichtbaar worden gemaakt om deze bestanden te kunnen zien.
\Windows\Inf\setupapi.app.log
\Windows\Inf\setupapi.dev.log
\Documents and Settings\<username>\Local Settings\Temp\
\Users\<username>\AppData\Local\Temp\
\Windows\Temp
winmsd /nfo c:\msinfo.nfo
msinfo32 /nfo c:\msinfo.nfo
Opmerking: nadat u deze prompt hebt getypt, wacht u. Het kan twee tot vijf minuten duren voordat het bestand is gegenereerd.
systeminfo c:\sysinfo.txt
Raadpleeg AnyConnect: corrupte driver database probleem om het probleem met het stuurprogramma te verhelpen.
Heeft verbindingsproblemen met de AnyConnect-client, zoals verbroken verbindingen, of als het niet mogelijk is om een eerste verbinding tot stand te brengen? Haal dan de volgende bestanden op:
write net x.x.x.x:ASA-Config.txt
waarbij x.x.x.x
het IP-adres van een TFTP-server op het netwerk is.show running-config
. Wacht tot de configuratie volledig op het scherm wordt getoond, kopieer deze dan naar een tekstverwerker en sla de configuratie op.config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging
no logging enable
uit.eventvwr.msc /s
Opmerking: Sla het altijd op als de bestandsindeling .evt.
Als de gebruiker geen verbinding kan maken met de AnyConnect VPN-client, wordt het probleem mogelijk veroorzaakt door een tot stand gebrachte RDP-sessie (Remote Desktop Protocol) of doordat Snelle gebruikerswisseling is ingeschakeld op de client-pc. De gebruiker ziet de foutmelding AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established. (AnyConnect-profielinstellingen machtigen één lokale gebruiker, maar momenteel zijn meerdere gebruikers bij uw computer aangemeld. Er wordt geen VPN-verbinding tot stand gebracht.) op de client-pc.
Om dit probleem op te lossen, moet elke tot stand gebrachte RDP-sessie worden verbroken en de functie Snelle gebruikerswisseling worden uitgeschakeld. Dit gedrag wordt gestuurd door uitvoering van het kenmerk Windows Logon Enforcement (Afdwinging van Windows-aanmelding) in het clientprofiel, maar momenteel is er geen instelling die een gebruiker toestaat een VPN-verbinding tot stand te brengen terwijl meerdere gebruikers tegelijk op dezelfde computer zijn aangemeld. Verbeteringsaanvraag CSCsx15061 is vastgelegd om dit probleem aan te pakken.
Opmerking: zorg ervoor dat poort 443 niet wordt geblokkeerd, zodat de AnyConnect-client verbinding kan maken met de ASA.
Wanneer een gebruiker de AnyConnect VPN-client niet kan verbinden met de ASA, wordt het probleem mogelijk veroorzaakt door een incompatibiliteit tussen de versie van de AnyConnect-client en de versie van de software-image van de ASA. In dit geval ontvangt de gebruiker deze foutmelding: het installatieprogramma kon de Cisco VPN-client niet starten, clientloze toegang is niet beschikbaar
.
Om dit probleem op te lossen, voert u een upgrade uit van de versie van de AnyConnect-client zodat deze compatibel is met de versie van de software-image van de ASA.
Wanneer u zich voor de eerste keer aanmeldt bij AnyConnect, wordt het aanmeldingsscript niet uitgevoerd. Als u de verbinding verbreekt en uzelf opnieuw aanmeldt, wordt het aanmeldingsscript wel goed uitgevoerd. Dit is het verwachte gedrag.
Wanneer u de AnyConnect VPN-client met de ASA verbindt, krijgt u mogelijk deze fout: Gebruiker is niet geautoriseerd voor AnyConnect-clienttoegang, neem dan contact op met uw beheerder
.
Deze foutmelding wordt getoond wanneer de AnyConnect-image ontbreekt in de ASA. Zodra de image in de ASA is geladen, kan AnyConnect zonder problemen verbinding maken met de ASA.
Deze fout kan worden opgelost door Datagram Transport Layer Security (DTLS) uit te schakelen. Ga naar Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (Configuratie > VPN voor externe toegang > Netwerktoegang (client) > AnyConnect-verbindingsprofielen) en verwijder het vinkje uit het selectievakje Enable DTLS (DTLS inschakelen). Hierdoor wordt DTLS uitgeschakeld.
De dartbundle-bestanden tonen deze foutmelding wanneer de gebruiker wordt losgekoppeld: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE:De beveiligde gateway reageerde niet op Dead Peer Detection-pakketten
. Deze melding geeft aan dat het DTLS-kanaal is verbroken als gevolg van een DPD-fout (Dead Peer Detection). U kunt deze fout oplossen door de DPD-keepalives aan te passen en de volgende opdrachten uit te voeren:
webvpn
svc keepalive 30
svc dpd-interval client 80
svc dpd-interval gateway 80
In ASA-versie 8.4(1) en hoger worden de opdrachten svc keepalive en svc dpd-interval vervangen door de respectievelijke opdrachten anyconnect keepalive en anyconnect dpd-interval zoals hieronder wordt getoond:
webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5
Wanneer problemen worden gedetecteerd met passerend verkeer naar het private netwerk tijdens een AnyConnect-sessie via de ASA, moet u de volgende stappen uitvoeren om data te verzamelen:
Filternaam: XXXXX
toont, verzamel dan de uitvoer voor show access-list XXXXX. Controleer of access-list XXXXX de beoogde verkeersstroom niet blokkeert.access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
!--- Route outside 0 0 is an incorrect statement.
route outside 0 0 10.145.50.1
route inside 0 0 10.0.4.2 tunneled
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# no inspect skinny
Voer de volgende stappen uit om data te verzamelen:
Number of Instructions : 25
Number of Errors To Save : 25
Crash Dump Type : Mini
Dump Symbol Table : Checked
Dump All Thread Contexts : Checked
Append To Existing Log File : Checked
Visual Notification : Checked
Create Crash Dump File : Checked
eventvwr.msc /s
Opmerking: Sla het altijd op als de bestandsindeling .evt.
Sommige toepassingen, zoals Microsoft Outlook, werken niet. De tunnel kan echter wel ander verkeer laten passeren, zoals kleine pings.
Dit kan inzicht wijzen op een fragmentatieprobleem in het netwerk. Met name niet-zakelijke routers zijn slecht in het fragmenteren en opnieuw samenstellen van pakketten.
Gebruik een reeks pings van toenemende lengte om te bepalen of het misgaat bij een bepaalde grootte. Bijvoorbeeld ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.
Het wordt aanbevolen een speciale groep te configureren voor gebruikers met fragmentatieproblemen en de Maximum Transition Unit (MTU) van de SVC voor die groep in te stellen op 1200. Op die manier kunt u gebruikers helpen die dit probleem ervaren, maar wordt de bredere gebruikersgroep niet beïnvloed.
Probleem
TCP-verbindingen blijven hangen nadat verbinding is gemaakt met AnyConnect.
Oplossing
Om te verifiëren of de gebruiker een fragmentatieprobleem heeft, past u de MTU voor AnyConnect-clients op de ASA aan.
ASA(config)#group-policy <name> attributes
webvpn
svc mtu 1200
Probleem
De AnyConnect VPN-client verwijdert zichzelf zodra de verbinding wordt beëindigd. In de logboeken van de client staat dat de optie keep installed is uitgeschakeld.
Oplossing
AnyConnect verwijdert zichzelf, ondanks dat de optie keep installed is geselecteerd in Adaptive Security Device Manager (ASDM). Om dit probleem op te lossen, configureert u de opdracht svc keep-installer installed onder groepsbeleid.
Probleem: AnyConnect-client is vooraf ingevuld met de hostnaam in plaats van de cluster Fully Qualified Domain Name (FQDN).
Wanneer u een taakverdelingscluster heeft ingesteld voor SSL VPN en de client verbinding met het cluster probeert te maken, wordt het verzoek omgeleid naar het ASA-knooppunt en kan de client zich aanmelden. Wanneer de client na enige tijd opnieuw verbinding met het cluster probeert te maken, is de cluster-FQDN niet aanwezig bij de vermeldingen Connect to (Verbinding maken met). In plaats daarvan wordt het ASA-knooppunt getoond waarnaar de client was omgeleid.
Oplossing
Dit probleem wordt veroorzaakt doordat de AnyConnect-client de hostnaam behoudt waarmee voor het laatst verbinding is gemaakt. Dit gedrag is vastgelegd als een bug. Raadpleeg Cisco bug-ID CSCsz39019 voor alle details. De aanbevolen tijdelijke oplossing is om een upgrade uit te voeren van Cisco AnyConnect naar versie 2.5.
Een back-upserverlijst wordt geconfigureerd voor het geval dat de hoofdserver die de gebruiker selecteert niet bereikbaar is. Dit wordt gedefinieerd in het venster Backup Server (Back-upserver) in het AnyConnect-profiel. Voer de volgende stappen uit:
De volgende vermelding in het bestand SetupAPI.log geeft aan dat het catalogussysteem mogelijk beschadigd is:
W239 driver signing class list "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Fout 0xfff5: Onbekende fout.
, ervan uitgaande dat alle apparaatklassen onderhevig zijn aan het beleid voor driver-ondertekening.
U kunt ook deze foutmelding ontvangen: Fout (3/17): Kan VA niet starten, gedeelde wachtrij instellen of VA opgegeven gedeelde wachtrij
.
U kunt dit logbestand op de client ontvangen: "Het VPN-clientstuurprogramma is op een fout gestuit"
.
Dit probleem wordt veroorzaakt door Cisco bug-ID CSCsm54689. Om dit probleem op te lossen, moet de Routing and Remote Access Service (RRAS) worden uitgeschakeld voordat u AnyConnect start. Als dit het probleem niet oplost, voer dan de volgende stappen uit:
net stop CryptSvc
uit.esentutl /p%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Als het herstellen mislukt, voer dan de volgende stappen uit:
net stop CryptSvc
uit.U kunt de database op elk gewenst moment analyseren om te bepalen of deze geldig is.
esentutl /g%systemroot%\System32\catroot2\
{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Terwijl SSL VPN is verbonden via een webbrowser, kan
de Session Management Database niet bijwerken.
foutmelding verschijnt en de ASA-logbestanden tonen %ASA-3-211001: Memory Allocatie Error. The adaptive security appliance failed to allocate RAM system memory.
(Geheugentoewijzingsfout. De adaptieve security applicatie kan geen RAM-systeemgeheugen toekennen.)
Dit probleem wordt veroorzaakt door Cisco bug-ID CSCsm51093. U kunt dit probleem oplossen door de ASA opnieuw te laden of de ASA-software te upgraden naar de onderhoudsrelease die in de bug wordt aangegeven. Raadpleeg Cisco bug-ID CSCsm51093voor meer informatie.
Dit probleem kan ook worden opgelost door dreigingsdetectie op de ASA uit te schakelen (als dreigingsdetectie wordt gebruikt).
Wanneer u de AnyConnect-client gebruikt op laptops of pc’s kan tijdens de installatie een fout optreden:
"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."
In dat geval kan het installatieprogramma niet verder worden uitgevoerd en wordt de client verwijderd.
Hierna volgen de mogelijke tijdelijke oplossingen om deze fout op te lossen:
Het logboekbericht gerelateerd aan deze fout op de AnyConnect-client is ongeveer als volgt:
DEBUG: Error 2911: Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911: Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r
Deze fout wordt getoond wanneer clients verbinding proberen te maken met het VPN via de Cisco AnyConnect VPN-client.
De volgende melding is ontvangen van de beveiligde gateway:
"Illegal address class" (Ongeldige adresklasse), "Host or network is 0" (Host of netwerk is 0) of "Other error" (Andere fout)
Het probleem treedt op als gevolg van het leegraken van de lokale IP-adresgroep van de ASA. Als de VPN-groepsbron leeg is, moet het bereik van de IP-adresgroep worden vergroot.
Voor dit probleem is Cisco bug-ID CSCsl82188 vastgelegd. Deze fout treedt doorgaans op wanneer de lokale groep voor adrestoewijzing leeg is, of als een 32-bits subnetmasker wordt gebruikt voor de adresgroep. De tijdelijke oplossing hiervoor is het uitbreiden van de adresgroep en het gebruik van een 24-bits subnetmasker.
Wanneer u meer dan twee clients verbinding wilt laten maken met de AnyConnect VPN-client, wordt de foutmelding Login Failed (Aanmelden mislukt) getoond op de client en wordt in de ASA-logboeken het volgende waarschuwingsbericht opgenomen: Session could not be established. Session limit of 2 reached.
Ik heb een AnyConnect Essentials-licentie op de ASA, die versie 8.0.4 draait.
Deze fout treedt op omdat de licentie van AnyConnect Essentials niet wordt ondersteund door ASA-versie 8.0.4. Voer een upgrade uit naar ASA-versie 8.2.2. Hiermee wordt het probleem opgelost.
Opmerking: ongeacht de gebruikte licentie, als de sessielimiet is bereikt, ontvangt de gebruiker de mislukte
foutmelding login
.
Deze fout kan ook optreden wanneer de opdracht vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit wordt gebruikt om de limiet in te stellen voor het aantal VPN-sessies dat tot stand kan worden gebracht. Als de sessielimiet wordt ingesteld op twee, kan de gebruiker slechts twee sessies tot stand brengen, ook als de geïnstalleerde licentie meer sessies ondersteunt. Stel de sessielimiet in op het aantal benodigde VPN-sessies om deze foutmelding te voorkomen.
U krijgt de foutmelding AnyConnect not enabled on VPN server (AnyConnect niet ingeschakeld op VPN-server) wanneer u AnyConnect wilt verbinden met de ASA.
U lost deze fout op door AnyConnect in te schakelen op de buiteninterface van de ASA met ASDM. Raadpleeg Clientless SSL VPN (WebVPN) configureren op de ASA voor meer informatie over het inschakelen van AnyConnect op de buiteninterface.
De foutmelding %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x> Transmitting Large Packet 1220 (drempelwaarde 1206)
verschijnt in de logs van de ASA. Wat betekent dit logboekbericht en hoe kan het probleem worden opgelost?
Dit logboekbericht geeft aan dat een groot pakket naar de client is verzonden. De bron van het pakket is niet op de hoogte van de MTU van de client. Dit kan ook het gevolg zijn van compressie van data die niet kunnen worden gecomprimeerd. Als tijdelijke oplossing kan SVC-compressie worden uitgeschakeld met de opdracht svc compression none. Hiermee wordt het probleem opgelost.
Wanneer u verbinding maakt met de AnyConnect-client, wordt deze fout ontvangen: "De beveiligde gateway heeft de aanvraag voor VPN-verbinding of herverbinding van de agent afgewezen. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. Het volgende bericht werd ontvangen van de beveiligde gateway: geen toegewezen adres"
.
Deze fout wordt ook ontvangen wanneer u verbinding maakt met de AnyConnect-client: "De beveiligde gateway heeft de verbindingspoging afgewezen. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. The following message was received from the secure gateway: Host or network is 0".
Deze fout wordt ook ontvangen wanneer u verbinding maakt met de AnyConnect-client: "De beveiligde gateway heeft de aanvraag voor VPN-verbinding of herverbinding van de agent afgewezen. A new connection requires re-authentication and must be started manually. Please contact the network administrator if the problem persists. Het volgende bericht werd ontvangen van de beveiligde gateway: Geen licentie"
.
De router had geen groepsconfiguratie na het opnieuw laden. U moet de betreffende configuratie opnieuw toevoegen aan de router.
Router#show run | in pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
svc address-pool SSLPOO
De foutmelding "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires re-authentication and must be started manually. Please contact the network administrator if the problem persists. Het volgende bericht is ontvangen van de beveiligde gateway: Er
treedt geen "Licentie"
fout op wanneer de AnyConnect-mobiliteitslicentie ontbreekt. Zodra de licentie is geïnstalleerd is het probleem opgelost.
Wanneer u probeert te verifiëren in WebPortal, wordt deze foutmelding ontvangen: "Kan de database voor sessiebeheer niet bijwerken"
.
Dit probleem is gerelateerd aan geheugentoewijzing op de ASA. Het probleem treedt met name op bij ASA-versie 8.2.1. Oorspronkelijk was 512 MB RAM vereist voor volledige functionaliteit.
Upgrade het geheugen naar 512 MB om dit probleem permanent op te lossen.
Als tijdelijke oplossing kunt u geheugen proberen vrij te maken door de volgende stappen uit te voeren:
Deze foutmelding wordt getoond op de clientcomputer wanneer u verbinding maakt met AnyConnect.
Voer de volgende procedure uit om de AnyConnect VPN-agent handmatig op Interactive (Interactief) te zetten en dit probleem op te lossen:
Opmerking: Als dit wordt gebruikt, dan is het de voorkeur om de .MST transformatie in deze instantie te gebruiken. Als u dit namelijk handmatig via deze methoden instelt, moet dit na elke installatie/upgrade worden gedaan. Daarom is het van belang de toepassing te identificeren die het probleem veroorzaakt.
VPN-clientstuurprogramma dat een fout heeft aangetroffen.
foutbericht. Om dit probleem op te lossen, moet de Routing and Remote Access Service (RRAS) worden uitgeschakeld voordat u AnyConnect start. Raadpleeg Cisco bug-ID CSCsm54689 voor meer informatie.AnyConnect-clients kunnen geen verbinding maken met een Cisco ASA. In het AnyConnect-venster wordt de foutmelding "Unable to process response from xxx.xxx.xxx.xxx" (Kan respons van xxx.xxx.xxx.xxx niet verwerken) getoond.
Probeer deze tijdelijke oplossingen om dit probleem op te lossen:
Raadpleeg deze oplossing voor meer informatie over het inschakelen van WebVPN en het wijzigen van de poort voor WebVPN.
AnyConnect-clients kunnen geen verbinding maken met een Cisco ASA. In het AnyConnect-venster wordt de foutmelding "Login Denied, unauthorized connection mechanism, contact your administrator"
(Aanmelden niet toegestaan, ongeautoriseerd verbindingsmechanisme, neem contact op met de beheerder) getoond.
Deze foutmelding is meestal het gevolg van configuratieproblemen (onjuiste of onvolledige configuratie). Controleer de configuratie en zorg dat deze aan de eisen voldoet om het probleem op te lossen.
<
Deze fout treedt op wanneer u de AnyConnect-software start op een Macintosh-client om verbinding te maken met een ASA.
Voer de volgende stappen uit om dit probleem op te lossen:
webvpn
svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3
hostname(config)#webvpn
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-win-3.0.0527-k9.pkg 1
hostname(config-webvpn)#anyconnect image disk0:/
anyconnect-macosx-i386-3.0.0414-k9.pkg 2
Deze fout wordt veroorzaakt op de Linux-computer van de gebruiker wanneer wordt getracht verbinding te maken met de ASA door AnyConnect te starten. De volledige foutmelding is als volgt:
"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."
Controleer of het besturingssysteem (OS) op de clientcomputer wordt ondersteund door de AnyConnect-client.
Als het besturingssysteem wordt ondersteund, moet u controleren of het AnyConnect-pakket is opgegeven in de WebVPN-configuratie. Zie AnyConnect package unavailable or corrupted in dit document voor meer informatie.
Gebruikers krijgen geen toegang tot een externe desktop. De foutmelding Secure VPN via remote desktop is not supported (Beveiligd VPN via externe desktop wordt niet ondersteund) wordt getoond.
Dit probleem wordt veroorzaakt door deze Cisco bug-id’s: CSCsu2088 en CSCso42825. Upgraden van de AnyConnect VPN-client kan het probleem oplossen. Raadpleeg de genoemde bugs voor meer informatie.
Wanneer u verbinding via VPN wilt maken met ASA 5505 wordt de foutmelding The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established. (Het ontvangen servercertificaat of de certificaatketen voldoet niet aan FIPS. Er wordt geen VPN-verbinding tot stand gebracht.) getoond.
U moet FIPS (Federal Information Processing Standards) uitschakelen in het bestand AnyConnectLocalPolicy. Dit bestand bevindt zich doorgaans in C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml.
Als het bestand daar niet staat, zoek dan in een andere map met een pad zoals C:\Documents and Settings\AllUsers\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml
. Wanneer u het XML-bestand heeft gevonden, voert u daarin de volgende wijzigingen door:
Wijzig de waarde:
<FipsMode>true</FipsMode>
in:
<FipsMode>false</FipsMode>
Start vervolgens de computer opnieuw op. Gebruikers moeten beheerdersrechten hebben om dit bestand te kunnen wijzigen.
Gebruikers kunnen AnyConnect niet starten en krijgen de foutmelding Certificate Validation Failure (Certificaatvalideringsfout).
Certificaatverificatie met de AnyConnect-client werkt anders dan met de IPsec-client. Voor goede certificaatverificatie moet u het clientcertificaat importeren naar uw browser en het verbindingsprofiel wijzigen. U moet ook de volgende opdracht inschakelen op de ASA om het gebruik van SSL-clientcertificaten toe te staan op de buiteninterface:
ssl certificate-authentication interface outside port 443
Wanneer AnyConnect-versie 2.4.0202 wordt geïnstalleerd op een computer met Windows XP, wordt er gestopt bij het bijwerken van lokalisatiebestanden en wordt de foutmelding getoond dat vpnagent.exe niet werkt.
Dit gedrag is vastgelegd als Cisco bug-ID CSCsq49102. De aanbevolen tijdelijke oplossing is om de Citrix-client uit te schakelen.
Wanneer AnyConnect wordt gedownload, wordt de volgende foutmelding getoond:
"Contact your system administrator. Het installatieprogramma is mislukt met de volgende fout: Dit installatiepakket kan niet worden geopend. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package." (Neem contact op met de systeembeheerder. De installatie is mislukt met de volgende foutmelding: Kan dit installatiepakket niet openen. Controleer of het pakket bestaat en toegankelijk is, of neem contact op met de leverancier van de toepassing om te controleren of dit een geldig Windows Installer-pakket is.)
Voer de volgende stappen uit om dit probleem op te lossen:
De volgende foutmelding wordt getoond tijdens het automatisch downloaden van AnyConnect van de ASA:
"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."
De volgende foutmelding wordt getoond wanneer verbinding wordt gemaakt met AnyConnect voor macOS:
"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."
Probeer een van de volgende tijdelijke oplossingen om dit probleem op te lossen:
Neem contact op met Cisco Technical Support als geen van deze tijdelijke oplossingen het probleem oplost.
De volgende foutmelding wordt getoond:
The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.
Dit probleem kan worden opgelost door de AnyConnect-client te verwijderen en vervolgens de antivirussoftware te verwijderen. Installeer daarna de AnyConnect-client opnieuw. Als deze oplossing niet werkt, moet u de computer opnieuw formatteren.
De volgende foutmelding wordt getoond wanneer u AnyConnect start:
"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."
Los deze fout als volgt op:
group-policy <Name> attributes
webvpn
svc mtu 1200
In ASA-versie 8.4(1) en hoger wordt de opdracht svc mtu vervangen door de opdracht anyconnect mtu zoals hieronder wordt getoond:
hostname(config)#group-policy <Name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#anyconnect mtu 500
Probleem
De volgende foutmelding wordt getoond wanneer AnyConnect verbinding maakt met de client:
The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.
Het probleem kan worden opgelost door wijzigingen door te voeren in het AnyConnect-profiel.
Voeg de volgende regel toe aan het AnyConnect-profiel:
<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>
Probleem
Als in Windows 7 de instelling voor IE-proxy is ingesteld op Instellingen automatisch detecteren en AnyConnect een nieuwe proxy-instelling oplegt, wordt de instelling voor IE-proxy niet teruggezet naar Instellingen automatisch detecteren nadat de gebruiker de AnyConnect-sessie heeft beëindigd. Dit leidt tot LAN-problemen bij gebruikers die de optie Instellingen automatisch detecteren nodig hebben.
Dit gedrag is vastgelegd als Cisco bug-ID CSCtj51376. De aanbevolen tijdelijke oplossing is om een upgrade uit te voeren naar AnyConnect 3.0.
Deze foutmelding wordt getoond op Cisco ASDM wanneer u de AnyConnect Essentials-licentie wilt inschakelen:
There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.
Dit is het normale gedrag van de ASA. AnyConnect Essentials is een afzonderlijk gelicentieerde SSL VPN-client. Deze wordt volledig op de ASA geconfigureerd en biedt alle AnyConnect-mogelijkheden met de volgende uitzonderingen:
Deze licentie kan niet gelijktijdig met de gedeelde SSL VPN Premium-licentie worden gebruikt. Wanneer u een van deze licenties wilt gebruiken, moet u de andere uitschakelen.
In Internet Explorer is het tabblad Connections (Verbindingen) bij Internet Options (Internetopties) verborgen nadat u verbinding heeft gemaakt met de AnyConnect-client.
Dit probleem wordt veroorzaakt door de functie msie-proxy lockdown. Als u deze functie inschakelt, wordt het tabblad Verbindingen in Microsoft Internet Explorer gedurende de duur van de AnyConnect VPN-sessie verborgen. Als u deze functie uitschakelt, wordt het tabblad Verbindingen wel weergegeven.
Enkele gebruikers krijgen de foutmelding Login Failed (Aanmelden mislukt) terwijl anderen wel verbinding kunnen maken via AnyConnect VPN.
Dit probleem kan worden opgelost door ervoor te zorgen dat het selectievakje do not require pre-authentication (verificatie vooraf niet vereisen) is ingeschakeld voor de gebruikers.
Tijdens het bijwerken van het AnyConnect-profiel wordt aangegeven dat het certificaat ongeldig is. Dit gebeurt alleen onder Windows en in de fase dat het profiel wordt bijgewerkt. De getoonde foutmelding is als volgt:
The certificate you are viewing does not match with the name of the site
you are trying to view.
Pas de serverlijst van het AnyConnect-profiel aan om de FQDN van het certificaat te gebruiken.
Hieronder volgt een voorbeeld van het XML-profiel:
<ServerList>
<HostEntry>
<HostName>vpn1.ccsd.net</HostName>
</HostEntry>
</ServerList>
Opmerking: als er een bestaande vermelding voor het openbare IP-adres van de server is, zoals <HostAddress>
, verwijdert u deze en behoudt u alleen het FQDN van de server (bijvoorbeeld <HostName>
maar niet <Host Address>
).
Wanneer AnyConnect wordt gestart via de CSD-vault, werkt AnyConnect niet. Dit is van toepassing op computers met Windows 7.
Momenteel is er geen oplossing omdat deze gebruikstoepassing niet wordt ondersteund.
De VPN-client van AnyConnect 3.0 met ASA-softwareversie 8.4.1 werkt prima. Na failover vindt er echter geen replicatie plaats van de aan het AnyConnect-profiel gerelateerde configuratie.
Dit probleem is vastgelegd als Cisco bug-ID CSCtn71662. De tijdelijke oplossing is het handmatig kopiëren van de bestanden naar de stand-by unit.
Wanneer dit probleem optreedt, bevat de gebeurtenislogboek van AnyConnect een vermelding vergelijkbaar met de volgende:
Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type
Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION
Dit gedrag is vastgelegd als Cisco bug-ID CSCtx28970. Sluit de AnyConnect-app en start deze opnieuw om het probleem op te lossen. De verbindingsvermeldingen worden daarna weer getoond.
De AnyConnect-client kan geen verbinding maken en de foutmelding Unable to establish a connection (Kan geen verbinding maken) wordt getoond.
In het gebeurtenislogboek van AnyConnect wordt de fout TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER vastgelegd.
Dit probleem treedt op wanneer de head-end is geconfigureerd voor split-tunneling met een zeer grote split-tunnellijst (circa 180 tot 200 vermeldingen) en een of meer andere clientkenmerken zijn geconfigureerd in het groepsbeleid, zoals dns-server.
Voer de volgende stappen uit om dit probleem op te lossen:
group-policy groupName attributes
webvpn
svc dtls none
Raadpleeg Cisco bug-ID CSCtc41770 voor meer informatie.
De foutmelding Connection attempt has failed due to invalid host entry (Verbindingspoging is mislukt als gevolg van ongeldige hostvermelding) wordt getoond terwijl AnyConnect wordt geverifieerd via een certificaat.
Probeer een van de volgende oplossingen om dit probleem op te lossen:
Raadpleeg Cisco bug-ID CSCti73316 voor meer informatie.
Wanneer u de functie Always-On uitschakelt in AnyConnect, wordt de foutmelding Ensure your server certificates can pass strict mode if you configure always-on VPN (Zorg dat uw servercertificaten aan de strikte modus voldoen als u always-on VPN configureert) getoond.
Deze foutmelding geeft aan dat een geldig, op de head-end geconfigureerd servercertificaat nodig is om de functie Always-On te kunnen gebruiken. Deze functie werkt niet zonder een geldig servercertificaat. U kunt de optie Strict Cert Mode instellen in het lokale AnyConnect-beleidsbestand om ervoor te zorgen dat de verbindingen een geldig certificaat gebruiken. Als u deze optie inschakelt in het beleidsbestand en verbinding maakt met een ongeldig certificaat, wordt er geen verbinding tot stand gebracht.
De Diagnostic AnyConnect Reporting Tool (DART) toont één mislukte poging:
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft
Windows HTTP Services
*****************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date : 03/25/2014
Time : 09:52:21
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed. Please try again.
******************************************
Raadpleeg tevens de logboeken op de Windows-computer.
Dit probleem kan worden veroorzaakt door een beschadigde Winsock-verbinding. Stel de verbinding via de opdrachtprompt met de volgende opdracht opnieuw in en start de Windows-computer opnieuw op:
netsh winsock reset
Raadpleeg het Knowledge Base-artikel Vaststellen en herstellen van Winsock2-beschadiging in Windows Server 2003, Windows XP en Windows Vista voor meer informatie.
De Diagnostic AnyConnect Reporting Tool (DART) toont één mislukte poging:
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure. May be a result of a unsupported crypto configuration on the Secure Gateway.
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
******************************************
Date : 10/27/2014
Time : 16:29:09
Type : Error
Source : acvpnui
Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed. Please try again.
******************************************
Volgens de volgende KB-update ondersteunt Windows 8.1 RC4 niet:
http://support2.microsoft.com/kb/2868725
Configureer DES/3DES-encryptie voor SSL VPN op de ASA met de opdracht "ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1" OF bewerk het Windows-register op de clientcomputer zoals hieronder aangegeven:
https://technet.microsoft.com/en-us/library/dn303404.aspx
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
04-Apr-2018 |
Eerste vrijgave |