Sécurité : Cisco AnyConnect VPN Client

Client VPN AnyConnect - Forum Aux Questions

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (26 juillet 2011) | Commentaires


Questions


Introduction

Ce document apporte des réponses aux questions les plus fréquemment posées (FAQ) sur Cisco AnyConnect VPN Client.

Le Cisco AnyConnect VPN Client fournit à des utilisateurs distants les connexions VPN sécurisées à l'appliance de sécurité adaptatif de la gamme Cisco ASA 5500 utilisant le protocole de Protocole SSL (Secure Socket Layer) et le protocole du TLS de datagramme (DTLS). AnyConnect fournit aux utilisateurs finaux distants les avantages d'un Client VPN SSL Cisco, et les applications et les fonctions de supports indisponibles à une connexion sans client et basée sur navigateur de VPN SSL.

Remarque: Le public cible pour ce document est un administrateur réseau qui comprend des commandes et des caractéristiques CLI et a l'expérience avec la configuration de l'AnyConnect VPN Client.

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Installation

Q. Quel niveau de droits est requis pour AnyConnect VPN Client ?

A. Pour la première installation, vous avez besoin de privilèges d’administration. Cependant, les mises à niveau ultérieures n’exigent pas de privilèges de niveau administrateur.

Q. Est-il nécessaire de redémarrer AnyConnect après son installation ou sa mise à niveau ?

A. Non. À la différence du client vpn d'IPSec, une réinitialisation n'est pas exigée après une installation ou une mise à jour d'AnyConnect.

Remarque: Ceci applique au module VPN seulement.

Mise à niveau logicielle

Q. Est-il possible de désactiver la mise à niveau AnyConnect automatique par l’intermédiaire de l’ASA ?

A. Oui. Employez une de ces méthodes afin d'arrêter la mise à jour automatique d'AnyConnect par l'intermédiaire de l'ASA :

  • Ajustez le profil sur l'ASA pour désactiver des mises à jour.

    “<AutoUpdate UserControllable="false">false</AutoUpdate>”
    
  • Employez une stratégie locale pour désactiver le téléchargeur d'AnyConnect.

    BypassDownloader 
     true 
     The client does not check for any dynamic content present on the ASA, 
         including profile updates, translations, customization, optional 
         modules, and core software updates.

    <BypassDownloader>true</BypassDownloader>

    Référez-vous aux paramètres locaux de fichier de stratégie d'AnyConnect et évaluez le pour en savoir plus.

Autorisation

Q. Comment puis-je recevoir la licence AnyConnect Mobile pour l’ASA ?

A. La licence Mobile est un permis fixe sur le nombre existant d'utilisateurs autorisés de Protocole SSL (Secure Socket Layer). Elle peut être utilisée avec une licence Premium VPN SSL ou AnyConnect Essentials. Pour commande la licence Mobile d'AnyConnect pour une unité existante avec un permis SSL, le numéro de pièce est L-ASA-AC-M-55XX= (XX=05,10,20,40,50,80 selon le modèle). Cette licence Mobile peut également être ajoutée en tant qu’option pour de nouveaux achats d’équipements (ASA-AC-M-55XX). Pour commande la licence Mobile d'AnyConnect pour une unité existante, contactez votre revendeur Cisco. Pour un permis d'évaluation pour les périphériques qui ont des essentiel ou des licences premiums, référez-vous à l'inscription de permis de produit au mobile d'AnyConnect (clients enregistrés seulement). Si vous avez des questions spécifiques sur des conditions requises de licence Mobile, envoyez un courrier électronique à ac-mobile-license-request@cisco.com.

Périphériques pris en charge

Q. AnyConnect est-il pris en charge sur le concentrateur VPN Cisco 3000 ?

A. Non.

Q. AnyConnect VPN Client est-il pris en charge sur les appliances de sécurité PIX ?

A. Non L'AnyConnect VPN Client n'est pas pris en charge sur PIX.

Q. AnyConnect est-il pris en charge sur des périphériques de Cisco IOS® ?

A. Oui.

Pour le logiciel Cisco IOS version 12.4(15)T, seul le mode d’initialisation par navigateur est pris en charge, conformément aux nouvelles notes de dispositifs de sécurité de la version 12.4T.

Pour le logiciel Cisco IOS version 12.4(20)T, le mode autonome est également pris en charge.

Pour plus d’informations, reportez-vous au guide de l’utilisateur distant de VPN SSL.

Notes :

  • Le soutien de DTLS est introduit de la version 15.1(2)T de Cisco IOS. Référez-vous au pour en savoir plus de commande de dtls de svc.

  • Le Keepalives de client n'est pas pris en charge sur des périphériques de Cisco IOS jusqu'à ce que la release 12.4(20)T.

  • Le problème lié aux mises à jour de cryptage matériel pouvant causer des déconnexions a été résolu avec la version 12.4(T2) pour les plates-formes 87x.

  • Le Start Before Logon n'est pas actuellement pris en charge par Cisco IOS.

Q. L'AnyConnect VPN Client est-il pris en charge sur l'iPad ou l'iPhone d'Apple ?

A. Oui. Le client d'Anyconnect VPN prend en charge l'IOS d'Apple de la version 2.4. Actuellement, l'iPhone 3G, l'iPhone 3GS, l'iPhone 4, et le toucher d'iPod (seconde génération et plus tard) sont les périphériques pris en charge. On s'attend à ce que le soutien de l'iPad soit disponible avec la release d'IOS 4,2 d'Apple. Le pour en savoir plus, se rapportent aux notes de mise à jour de Cisco Anyconnect 2,4 pour l'IOS d'Apple. Pour les informations relatives de configuration, référez-vous s'il vous plaît au guide utilisateur de Cisco Anyconnect 2,4 pour l'IOS d'Apple.

Q. Est-il possible de connecter l'iPad, l'iPod, ou l'AnyConnect VPN Client d'iPhone à un routeur Cisco IOS ?

A. Non. Il n'est pas possible de connecter l'iPad, l'iPod, ou l'AnyConnect VPN Client d'iPhone à un routeur Cisco IOS. AnyConnect sur iPad/iPhone peut se connecter seulement à une ASA qui exécute la version 8.0(3).1 ou ultérieures. Le Cisco IOS n'est pas pris en charge par l'AnyConnect VPN Client pour l'IOS d'Apple. Le pour en savoir plus, se rapportent aux dispositifs de sécurité et à la section prise en charge par logiciel des notes de mise à jour pour le Client à mobilité sécurisé Cisco AnyConnect 2,4, IOS 4,2 et 4,3 d'Apple.

Q. Le basculement de session VPN (SSL) est possible avec de doubles fournisseurs d’accès Internet (ISP) sans interrompre la session. Est-ce que par exemple, si un client communique par le VPN SSL par ISP 1 et si ISP 1 descend, ceci assurera la connexion par ISP 2 sans perdre un paquet (session VPN) ? Est-ce possible avec tout périphérique Cisco ?

A. Si vous parlez du double ISP en tête de réseau, cela n’est pas possible. Cependant, si vous parlez du double ISP à un emplacement distant, le VPN SSL peut reprendre une connexion perdue. AnyConnect essaye de se reconnecter si la connexion est perturbée. Ce n’est pas configurable, mais automatique. Tant que la session sur l’ASA est encore valide, si AnyConnect peut rétablir la connexion physique, la session est reprise.

Logiciel pris en charge

Q. Quelles sont les versions prises en charge de MAC OS ?

A. Les versions de Cisco AnyConnect VPN Client de 2,0 à 3,0 prennent en charge des versions 10.4 et ultérieures de Mac OS X.

La version 3.0 de Cisco AnyConnect VPN Client prend en charge ces versions de Mac OS :

  • Mac OS 10,5 (CPU d'Intel seulement)

  • Mac OS 10.6.x (de 32 bits et 64-bit)

  • Mac OS X 10,7 (Lion)

Pour les informations de support pour d'autres clients d'AnyConnect, référez-vous aux notes de mise à jour pour le Client à mobilité sécurisé Cisco AnyConnect.

Remarque: Dans la section de conditions requises des notes de mise à jour, vous pouvez vérifier les configurations système minimales d'exécuter le client d'AnyConnect sur chacune de ces Plateformes.

Q. AnyConnect a-t-il besoin de Javas et d'autorisations ?

A. AnyConnect VPN Client exige qu’ActiveX ou Java utilise la connexion/installation Web. Pour ActiveX, les besoins de l'utilisateur d'avoir l'autorisation d'installer dans leur navigateur Web (ou elle peut être préinstallé). Si ActiveX n’est pas pris en charge ou utilisé, une tentative de connexion à l’aide de Java a lieu. La version peut être 1.4.x ou 1.5. La mise en œuvre de Java se présente sous forme d'applet et est basée sur un navigateur (aucun téléchargement).

Sur la première connexion, l'ActiveX/Java est utilisé pour installer le logiciel AnyConnect VPN Client. Cette connexion initiale exige des droites d'admin. Les connexions ultérieures n’exigent pas de droits administrateurs (même pour les mises à niveau client). Le client dispose d’un programme d’installation autonome pour les cas où les privilèges d'administrateur ne sont pas accordés à l’utilisateur.

Q. Quelles sont les versions prises en charge de système d'exploitation windows ?

A. Le client d'AnyConnect fournit le support pour les utilisateurs finaux distants qui exécutent Microsoft Vista, Windows 7, Windows XP, et le Windows 2000.

La version 3.0 de Cisco AnyConnect VPN Client prend en charge ces versions du système d'exploitation de Windows :

  • Windows 7 x86 (de 32 bits) et x64 (64-bit)

  • Windows Vista SP2 x86 (de 32 bits) et x64 (64-bit)

  • Windows XP SP3 x86 (de 32 bits)

Pour les informations de support pour d'autres clients d'AnyConnect, référez-vous aux notes de mise à jour pour le Client à mobilité sécurisé Cisco AnyConnect.

Remarque: Dans la section de conditions requises des notes de mise à jour, vous pouvez vérifier les configurations système minimales d'exécuter le client d'AnyConnect sur chacune de ces Plateformes.

Q. Quelles sont les versions prises en charge de système d'exploitation Linux ?

A. Le Cisco AnyConnect VPN Client prend en charge une grande variété de distributions Linux, telles que Red Hat Enterprise Linux, Fedora creusent, OpenSuse, Slackware et Ubuntu.

La version 3.0 de Cisco AnyConnect VPN Client prend en charge ces versions du système d'exploitation de Linux :

  • Appareil de bureau de Red Hat Enterprise Linux 5

  • Appareil de bureau de Red Hat Enterprise Linux 6

  • Ubuntu 9.x et 10.x

Pour les informations de support pour d'autres clients d'AnyConnect, référez-vous aux notes de mise à jour pour le Client à mobilité sécurisé Cisco AnyConnect.

Q. AnyConnect prend en charge-il des périphériques de Windows Mobile ? Quelles sont les versions prises en charge ?

A. AnyConnect est compatible avec le Windows Mobile 5,0, 6,0 et 6,1. Le support a été introduit de la version 2.3 jusqu'à la version 2.5. Le plus défunt client 3,0 d'AnyConnect n'offre pas le soutien des périphériques de Windows Mobile.

Référez-vous à la section de Windows Mobile des notes en version pour le Client à mobilité sécurisé Cisco AnyConnect, version 2.5 pour une liste complète tous les périphériques pris en charge de Windows Mobile par la version du client 2,5 d'AnyConnect.

Pour les détails complets sur la procédure d'installation, référez-vous à installer AnyConnect sur un périphérique de Windows Mobile.

Q. AnyConnect prend en charge-il le nouveau logiciel de Symbian ?

A. Oui. Un client distinct d'AnyConnect pour Symbian est lancé avec la version 2.4.5. Pour les informations sur la façon dont installer le client, référez-vous au guide utilisateur de Symbian pour le Client à mobilité sécurisé Cisco AnyConnect, la version 2.4.5. Pour information les informations de support, référez-vous aux notes de mise à jour pour le Client à mobilité sécurisé Cisco AnyConnect 2,4 pour Symbian.

Q. AnyConnect VPN Client est-il pris en charge sur le navigateur Google Chrome ?

A. Oui. Il est pris en charge dans la version 3.0 d'AnyConnect. Référez-vous à AnyConnect 3,0 systèmes d'exploitation d'ordinateur pris en charge pour les détails complets.

Q. Le client d'Anyconnect VPN prend en charge-il le système d'exploitation androïde ?

A. Oui. Le Client à mobilité sécurisé Cisco AnyConnect 2,4 pour l'androïde prend en charge les périphériques androïdes. Référez-vous à ces documents pour plus d'informations :

Q. Quels sont les détails de compatibilité pour les différentes versions d'AnyConnect et d'ASA ?

A. Référez-vous à l'ASA, à l'ASDM, au Cisco Secure Desktop, et à la compatibilité d'AnyConnect pour les informations sur la compatibilité.

Q. Y a-t-il une matrice de compatibilité qui affiche toutes les caractéristiques prises en charge d'AnyConnect en ce qui concerne différents systèmes d'exploitation ?

A. Oui. Référez-vous aux fonctionnalités client, aux permis, et à l'OSs sécurisés de mobilité d'AnyConnect, pour en savoir plus de version 2.5. Ce document décrit également la prise en charge de fonctionnalité en vue de les différents permis disponibles.

Q. Le VPN SSL (Secure Socket Layer) (AnyConnect/Clientless) a-t-il été validé sur l’édition client léger de Novell Linux Desktop ?

A. Cisco ne teste pas avec cette édition de Linux. Le mieux est de s’assurer que vous répondez aux conditions préalables définies dans les notes de publication. Effectuez ensuite un essai, s'il s'agit d'AnyConnect. Ceci ne serait pas officiellement qualifié, mais si le système rencontre les conditions préalables il pourrait fonctionner bien. Le VPN SSL Clientless devrait bien fonctionner, car vous n’avez généralement besoin que du navigateur.

Messages de log

Q. À quel emplacement les journaux d’installation d'AnyConnect sont-ils enregistrés sur les systèmes d’exploitation Linux ?

A. Sur le système d’exploitation Linux, ces journaux sont enregistrés sous /opt/cisco/vpn.

Q. À quel emplacement les journaux d’installation de Windows AnyConnect sont-ils enregistrés sur les systèmes d’exploitation Windows ?

A. Il existe deux emplacements possibles pour les journaux d’'installation sur les systèmes d’exploitation Windows :

  • S’il s’agit d’une nouvelle installation, les journaux d’installation se trouvent dans le répertoire temporaire de l’utilisateur. Afin de localiser ce répertoire, terminez-vous ces étapes basées sur votre système d'exploitation :

    • Windows XP et Windows 2000 : Allez à Start > Run, entrez %TEMP% et cliquez sur OK.

    • Windows Vista : Entrez %TEMP% dans la fenêtre de recherche et appuyez sur Enter.

  • S’il s’agit d’une mise à niveau, les journaux d’installation se trouvent dans le répertoire temporaire du système qui est typiquement %SYSTEMDRIVE%\temp ou %SYSTEMROOT%\temp. Cependant, les journaux peuvent se trouver ailleurs.

    Le nom du fichier utilise une convention semblable à WinSetup-Release-2.0install-21333219012007.log.

Transport Layer Security de datagramme (DTLS)

Q. Quelle est la différence entre le tunnel SSL et le tunnel DTLS ? Quel type de traffic passe par chacun ?

A. Le tunnel SSL est le premier tunnel TCP créé dans l’ASA. Lorsqu’il est entièrement établi, le client essaie de négocier un tunnel UDP DTLS. Lorsque le tunnel DTLS est en cours d’établissement, les données peuvent passer par le tunnel SSL. Quand le tunnel DTLS est entièrement établi, toutes les données sont désormais migrées vers le tunnel DTLS et le tunnel SSL est seulement utilisé pour le trafic de canal de contrôle occasionnel. Si l’UDP rencontre un problème, le tunnel DTLS est désactivé et toutes les données passent à nouveau par le tunnel SSL.

La décision relative à la façon d’envoyer les données est extrêmement dynamique. Au cours du traitement de chaque paquet de données lié au réseau, il existe un point dans le code où la décision est prise d’utiliser la connexion SSL ou la connexion DTLS. Si la connexion DTLS est saine à ce moment, le paquet est envoyé par l'intermédiaire de la connexion DTLS. Sinon, il est envoyé par l’intermédiaire de la connexion SSL.

La connexion SSL est établie en premier et les données passent par cette connexion en attendant l’établissement d’une connexion DTLS. Une fois que la connexion DTLS est établie, le point de décision dans le code décrit ci-dessus commence à envoyer les paquets par l’intermédiaire de cette connexion au lieu de la connexion SSL. D’autre part, les paquets de contrôle passent toujours par la connexion SSL.

Le point clé réside dans la détermination du bon fonctionnement de la connexion. Si le DTLS, protocole peu fiable, est utilisé et que la connexion DTLS se détériore pour une raison quelconque, le client n’en est pas informé jusqu’à ce que la détection DPD (Dead Peer Detection) se produise. Par conséquent, les données seront perdues via la connexion DTLS pendant cette courte période, car la connexion est toujours considérée comme fonctionnant correctement. Une fois que la détection DPD se produit, les données sont immédiatement définies par l’intermédiaire de la connexion SSL et une reconnexion DTLS se produit.

L’ASA envoie les données par la dernière connexion par laquelle il a reçu des données. Par conséquent, si le client a déterminé que la connexion DTLS ne fonctionne pas correctement et commence à envoyer des données par la connexion SSL, l’ASA répond par le biais de cette connexion. L’ASA reprend l’utilisation de la connexion DTLS lorsque les données sont reçues par le biais de cette connexion.

Q. Sur quelles Plateformes le Transport Layer Security de datagramme (DTLS) est-il pris en charge ?

A. DTLS est pris en charge sur le Windows 2000, le Windows XP, des Windows Vista, le Mac OS, et les systèmes d'exploitation Linux.

Q. Le DTLS prend-il en charge les plates-formes de 32 octets et de 64 octets ?

A. Oui.

Q. Les deux tunnels (SSL et DTLS), doivent-ils tourner au ralenti le délai d'attente pour que la session soit-elle déconnectée ?

A. Quand un tunnel DTLS est actif, c'est le seul tunnel où le délai d’inactivité peut avoir de l'importance. Étant donné que très peu de trafic de canal de contrôle passe par le tunnel SSL, celui-ci est presque toujours inactif et échappe à cette condition lorsqu’il y a un tunnel DTLS actif. Si l’UDP rencontre un problème et que le tunnel DTLS est désactivé, le délai d’inactivité s’applique au tunnel SSL.

Malheureusement avec la plupart des ordinateurs Windows, ils ne sont jamais vraiment « inactifs » et beaucoup de personnes pensent ainsi que le délai d’inactivité ne fonctionne pas. L'idée de définir une valeur « seuil de données » pour le délai d’inactivité a été discutée, mais même cela pouvait être compliqué. Pour qu’un ordinateur Windows soit vraiment inactif, vous devez supprimer les options Gestion du réseau et Partage de fichiers et d’imprimantes de la configuration réseau de l’interface physique de l’ordinateur.

Q. AnyConnect se connecte par un serveur proxy et le DTLS n’est pas utilisé. Pourquoi ?

A. Le client de VPN SSL d'AnyConnect peut utiliser un serveur proxy configuré en votre navigateur (Internet Explorer seulement). Cependant, lorsqu’il est connecté, il ne négocie pas un tunnel UDP (User Datagram Protocol) DTLS (Datagram Transport Layer Security). Seul le protocole TLS TCP est utilisé lorsque vous vous connectez de cette manière, car la configuration du serveur proxy n’est pas applicable aux paquets UDP de serveur proxy utilisés par le DTLS.

Q. Quand j’utilise le DTLS (Datagram Transport Layer Security) sur un tunnel VPN AnyConnect, je ne peux pas télécharger des fichiers volumineux et je rencontre des problèmes de connectivité. Comment puis-je résoudre ce problème ?

A. Assurez-vous que le port UDP n'est pas bloqué pendant que ce port est utilisé par DTLS. Vérifiez également si le DTLS n’est pas bloqué ou abandonné par l'ISP. Activez le DTLS sur l’interface à laquelle vous vous connectez à partir d’AnyConnect. Pour plus d’informations sur l’activation du DTLS, reportez-vous à la rubrique Activer le DTLS (Datagram Transport Layer Security) à l’aide de connexions AnyConnect (SSL).

Caractéristiques prises en charge

Q. Est-il possible d'enregistrer les informations de mot de passe sur AnyConnect de sorte qu'il n’exige pas d’authentification de la part de l’utilisateur (fonctionnalité d’enregistrement de mot de passe) ?

A. Non, il n'est pas possible de sauvegarder les qualifications de mot de passe sur AnyConnect.

Q. Lancer une caractéristique de numéroteur est-il disponible sur l'AnyConnect VPN Client ?

A. Non Des lanceurs de numéroteur et d'application tierce ne sont pas pris en charge pour le Start Before Logon d'AnyConnect (SBL).

Q. Quelles sont les conditions requises pour AnyConnect et pour les versions SSL ?

A. AnyConnect a besoin de que l'ASA soit configurée pour recevoir le trafic TLSv1 et de que les configurations du navigateur soient placées pour TLSV1.0.

AnyConnect VPN Client ne peut pas établir une connexion avec ces paramètres ASA pour la version du serveur SSL :

  • VERSION DU SERVEUR SSL SSLV3

  • VERSION DU SERVEUR SSLV3 UNIQUEMENT (CSCSH76698)

Q. Existe-t-il une méthode pour mettre automatiquement les lecteurs réseau en correspondance lorsque les utilisateurs se connectent par l’intermédiaire du VPN et pour les déconnecter lorsque l’utilisateur se déconnecte du VPN ?

A. Oui. Vous devez écrire un script afin de réaliser ceci. Référez-vous à l'écriture et à déployer le pour en savoir plus de scripts.

Q. AnyConnect VPN Client peut-il fonctionner par le biais d’un tunnel du client VPN IPsec ?

A. Cette fonctionnalité n’est pas officiellement prise en charge. La raison que ceci ne fonctionne pas une fois utilisé pendant que conçu est parce que le client vpn d'IPSec et l'essai d'AnyConnect VPN Client pour conduire le trafic à leurs adaptateurs virtuels. Le trafic d'AnyConnect d'interceptions de client vpn d'IPSec à la couche instantanée de Messagerie (IM).

Q. Les utilisateurs d’AnyConnect (ou de VPN SSL Clientless) peuvent-ils lancer des modifications de gestion de mot de passe à même AnyConnect VPN Client ?

A. Non AnyConnect n'a aucune option à l'intérieur de lui de déclencher ou initier une modification de mot de passe.

Les modifications de mot de passe sont uniquement déclenchées de la tête de réseau, lorsque c’est nécessaire, en tant qu’élément de MSCHAPv2 RADIUS avec échéance ou de l’expiration du mot de passe du protocole LDAP (Lightweight Directory Access Protocol). Les clients peuvent changer leur mot de passe de Répertoire actif (AD) utilisant le même mécanisme de CTRL-Alt-effacement supposant qu'ils « ouvrent une session au réseau » (début avant procédure de connexion).

Q. AnyConnect prend-il en charge un pool avec une adresse unique ? Si vous souhaitez que l’ASA effectue un PAT (traduction d’adresse de port), de façon à ce que tous les clients distants apparaissent sur le réseau interne en tant qu’adresse unique, différenciés par le numéro de port TCP source ?

A. AnyConnect a besoin d'une adresse IP unique pour chaque client. Ainsi, le pool PAT ne s’applique pas à AnyConnect dans ce contexte. Le passage par un dispositif qui effectue le PAT (tel que l’accueil) ne pose certainement pas de problème sur AnyConnect.

Q. Est-ce qu'y a-t-il une manière de tenir compte pour qu'un utilisateur sélectionne le certificat d'authentification ?

A. Oui. Vous devez placer l'élément de <AutomaticCertSelection> à faux dans le profil de client.

Voici un exemple :

<AnyConnectProfile>
	<ClientInitialization>
		<AutomaticCertSelection>false</AutomaticCertSelection>
	</ClientInitialization>
</AnyConnectProfile>

Le pour en savoir plus, se rapportent à la sélection automatique de certificat.

Q. Le VPN SSL dispose-t-il de l’installation dans lequel l’utilisateur peut créer deux tunnels simultanément et le client VPN peut automatiquement rediriger l’utilisateur vers le second tunnel après accès au réseau en cas de panne d’un tunnel ?

A. Le VPN SSL ne peut pas avoir de plusieurs tunnels en même temps et décaler d'un à un si on descend.

Q. Un serveur DHCP peut-il assigner des serveurs DNS et WINS à n’importe quel AnyConnect VPN Client ?

A. L'affectation DHCP assigne seulement l'adresse IP au client. Des paramètres, tels que DNS et WINS, sont assignés à partir des paramètres de stratégie de groupe et ne sont pas définis à partir du DHCP.

Q. Je voudrais pouvoir traiter un script de connexion seulement quand je me connecte au réseau d'entreprise. Est-ce que je peux exécuter un script de connexion après qu'AnyConnect établisse une connexion VPN plutôt que le Start Before Logon courant (SBL), qui doit être exécuté chaque fois je mettent en marche l'ordinateur (si je veux au VPN) ?

A. AnyConnect a introduit la caractéristique de script d'OnConnect dans la version 2.4 et ultérieures. Référez-vous à la section Scripting des notes en version pour le Cisco AnyConnect VPN Client, version 2.4. Pour des informations complètes sur scripting, référez-vous à la section Scripting du guide de l'administrateur de Cisco AnyConnect VPN Client, version 2.4.

Q. La procédure SBL (Start Before Logon) d’AnyConnect fonctionne-t-elle avec un logiciel de cryptage complet de disque dur, tel que Encryption Anywhere, PointSec et PGP ?

A. Oui, cette fonctionnalité est prise en charge dans la version 2.2 d’AnyConnect.

Q. Existe-t-il un moyen de prendre en charge un serveur proxy de type SOCKS ?

A. AnyConnect n'est pas pris en charge avec le proxy de type de SOCKS. SOCKS n’est pas un serveur proxy HTTPS. Ainsi, Cisco ne prend pas en charge ce type de serveur proxy.

AnyConnect fonctionne en mode SSL par l’intermédiaire des serveurs proxy « HTTPS » (spécifiquement HTTPS 1.1). En outre, les serveurs proxy d’authentification qui utilisent Basic ou NTLM pour l’autorisation peuvent également être utilisés.

Vous devez activer les https 1,1 d'utilisation pour des proxys dans les configurations avancées d'Internet Explorer.

Q. Comment inviter les utilisateurs distants à télécharger le client ?

A. Vous pouvez activer le dispositif de sécurité pour inviter les utilisateurs du client VPN SSL distants à télécharger le client à l’aide de la commande svc ask à partir des modes de configuration webvpn de stratégie de groupe ou webvpn de nom d’utilisateur :

svc ask {none | enable [default {webvpn | svc} timeout value]}

La commande svc ask enable invite l’utilisateur distant à télécharger le client ou à accéder à la page du portail pour bénéficier d’une connexion clientless et attend indéfiniment la réponse de l’utilisateur.

  • svc ask enable default svc : permet de télécharger immédiatement le client.

  • svc ask enable default webvpn : permet d’accéder immédiatement à la page du portail.

  • svc ask enable default svc timeout value : invite l’utilisateur distant à télécharger le client ou à accéder à la page du portail et attend pendant la durée de la valeur avant d’effectuer l’action par défaut, c’est-à-dire télécharger le client.

  • svc ask enable default webvpn timeout value : invite l’utilisateur distant à télécharger le client ou à accéder à la page du portail et attend pendant la durée de la valeur avant d’effectuer l’action par défaut, c’est-à-dire afficher la page du portail.

Q. Quel est le comportement de reconnexion d’AnyConnect ?

A. AnyConnect essaye de se reconnecter si la connexion est perturbée. Ce comportement est automatique et non configurable. Tant que la session sur l’ASA est encore valide, la session est reprise si AnyConnect peut rétablir la connexion physique.

La version 2.2 intègre une fonctionnalité d’itinérance qui permet à AnyConnect de se reconnecter après l’état de veille de l’ordinateur. Le client continue à essayer de se reconnecter indéfiniment jusqu’à ce que la tête de réseau lui indique qu’il est impossible de se reconnecter et il ne désactive pas immédiatement le tunnel lorsque le système entre en veille prolongée/veille. Pour les clients qui n’ont pas besoin de cette fonctionnalité, définissez le délai de session sur une faible valeur pour éviter d’entrer en mode veille ou de reprendre la connexion.

Q. Quand une reconnexion se produit, l’adaptateur virtuel (VA) d’AnyConnect se referme-t-il ou la table de routage subit-elle une modification quelconque ?

A. Une reconnexion de faible niveau n’effectue aucune de ces opérations. Il s’agit d’une reconnexion sur SSL ou DTLS uniquement. Ces opérations sont tentées pendant environ 30 secondes avant d’être abandonnées. Si le DTLS échoue, il est juste abandonné. Si le SSL échoue, il entraîne une reconnexion de haut niveau. Une reconnexion de haut niveau redéfinit entièrement le routage. Si l’adresse du client assignée à la reconnexion (ou tout autre paramètre de configuration ayant un impact sur le VA) n’est pas modifiée, le VA n’est pas désactivé.

Q. AnyConnect VPN Client prend-il en charge l’authentification à deux facteurs ?

A. L'AnyConnect VPN Client prend en charge le début à deux facteurs d'authentification avec la version 8.2(x) ASA. Il n’est pas pris en charge sur les versions antérieures à 8.2.(x).

Q. L'AnyConnect VPN Client prend en charge-il d'autres clients vpn d'autres constructeurs installés simultanément sur le même PC ?

A. AnyConnect 2,5 installations peut coexister avec d'autres clients vpn, y compris des clients d'IPsec, sur tous les points finaux pris en charge ; cependant, Cisco ne prend en charge pas AnyConnect courant tandis que d'autres clients vpn s'exécutent.

Q. AnyConnect prend en charge-il le partage de connexion internet (ICS) ?

A. Le partage de connexion internet (ICS) n'est pas compatible avec AnyConnect. Vous devez désactiver l'ICS pour la fonctionnalité appropriée d'AnyConnect.

Quand vous essayez de lancer AnyConnect sur un PC sur lequel l'ICS s'exécute déjà, AnyConnect renvoie ce message d'erreur :

L'agent de client vpn ne pouvait pas créer le dépôt de communication entre processus.

Afin de résoudre ce problème, désactivez l'ICS et lancez de nouveau AnyConnect.

Q. L'ASA prend en charge-elle l'estimation de pré-procédure de connexion CSD pour des périphériques IOS tout en se connectant à AnyConnect ?

A. Actuellement, il n'est pas pris en charge sur l'ASA. Référez-vous à la demande d'amélioration CSCtr63396 (clients enregistrés seulement) pour plus de détails.

Q. Comment est-ce que je vérifie si AnyConnect est connecté ou pas de l'invite DOS sur un ordinateur Windows ?

A. Procédez comme suit :

  1. Sur l'ordinateur Windows, le Start > Run de clic, le cmd de type, et le clic entrent afin d'ouvrir la fenêtre d'invite de commande.

  2. Émettez cette commande sur le CLI :

    C:\Program Files\Cisco\Cisco AnyConnect VPN Client> vpncli.exe state
    
    Cisco AnyConnect VPN Client (version 2.5.0193) beta.
    
    Copyright (c) 2004 - 2010 Cisco Systems, Inc. All Rights Reserved.
    
     >> state: Connected
     >> state: Connected
     >> registered with local VPN subsystem.
     >> state: Connected
     >> state: Connected

Q. L'adresse IP assignée au client d'AnyConnect peut-elle être identique que l'adresse IP d'origine du PC de client ?

A. Non. L'ASA (par conception) assigne les adresses IP internes à tous les utilisateurs. Si vous deviez conduire le trafic de nouveau à un utilisateur final sans adresse IP assignée, l'ASA devrait être la passerelle par défaut pour tout sur le réseau. Ce ne serait pas réaliste d'un point de vue de conception de réseaux.

Q. AnyConnect est-il un client de plainte PAP ?

A. Oui. Commençant par la version 2.4 d'AnyConnect, c'est un client de plainte PAP. Il exige de vous d'acheter un permis PAP afin d'aller sur l'ASA. Le permis (par ASA) te donne l'accès à l'information requise afin d'avoir une version conforme PAP d'AnyConnect. Référez-vous aux PAP et à la Sécurité supplémentaire dans la nouvelle stratégie locale d'AnyConnect pour plus de détails.

Q. L'AnyConnect VPN Client prend en charge-il la fonctionnalité fendue de DN ?

A. Oui. Commençant par la version 3.0.4235, AnyConnect prend en charge la véritable fonctionnalité fendue de DN pour les deux ordinateurs de Windows et Mac. Référez-vous à l'amélioration fendue de fonctionnalité de DN pour plus de détails.

Q. Quels ports doivent être ouverts de deux manières sur un client pour qu'AnyConnect fonctionne-t-il correctement ?

A. Pour AnyConnect 3,0, ces ports doivent être permis :

TLS (SSL)          – TCP 443
SSL Redirection    – TCP 80   (optional)
DTLS               – UDP 443  (optional but HIGHLY recommended)
IPsec/IKEv2        – UDP 500, UDP 4500  (and the client services port used for SSL)
Legacy IPsec IKEv1 -  ESP mode – UDP 500, Protocol 50
IPsec/NAT-T  – UDP 500, UDP 4500
IPsec/TCP  – TCP XXX	 	(admin definable)
IPsec/UDP   – UDP 500, UDP XXX 	(admin definable) 

Le pour en savoir plus, se rapportent aux informations de port pour l'AnyConnect VPN Client.

Q. Quels attributs sont signalés par DAP quand un client d'AnyConnect se connecte sans support CSD et le CSD est activé sur l'ASA ?

A. Quand le CSD n'est pas disponible pour une plate-forme d'AnyConnect, mais le CSD est activé sur l'ASA, AnyConnect exécute un « contournement CSD ». Quand le contournement CSD est exécuté, AnyConnect signale ces attributs DAP :

endpoint.os.version = "MacOS" | "Palm WebOS" | "Linux" | "Pocket PC" | 
   "Apple Plugin" | "Unknown"
endpoint.feature = "failure"

L'attribut embrochable de « Apple » est signalé pour l'iPad et l'iPhone. Le « Palm WebOS » est signalé pour des périphériques exécutant WebOS, tel que la pression « Linux » de Palm est signalé pour des bureaux Linux et des clients dérivés par Linux encastrés (tels que le client de TelePresence du consommateur). Le « PC de poche » est signalé pour des périphériques de Windows Mobile. Le « MaOS » est signalé pour des périphériques d'Apple Mac. Le « inconnu » est signalé pour tous autres périphériques.

Par exemple, un suivi DAP sur un client d'iPhone affichera ces informations :

DAP_TRACE: dap_add_to_lua_tree:endpoint["application"]
   ["clienttype"]="AnyConnect"
DAP_TRACE: dap_add_csd_data_to_lua:endpoint.feature="failure"
DAP_TRACE: dap_add_csd_data_to_lua:endpoint.os.version="Apple Plugin"

L'attribut DAP pour des périphériques IOS peut être cassé dans quelques versions ASA. En conséquence, si son ne pas fonctionner, assurez-vous que vous ne vous exécutez pas dans la question dans l'ID de bogue Cisco CSCtj46900 (clients enregistrés seulement).

Q. Lesquelles des quatre classes de protection est-ce que (la classe A, B, C, ou D) est utilisée pour enregistrer les données d'AnyConnect (telles que des identifiants utilisateurs, des sessions VPN, etc.) qui est enregistré localement sur des périphériques IOS d'Apple ?

A. Le client d'AnyConnect sur l'iPhone n'enregistre pas des identifiants utilisateurs. Les Certificats numériques ne sont enregistrés dans la mémoire du CERT d'Apple et sont protégés par l'intermédiaire d'Apple, pas Cisco.

AnyConnect enregistre directement les données qui sont non sensibles - thème en cours, des configurations de gestionnaire d'URI, et des données de localisation. AnyConnect ne place aucune propriété spéciale de cryptage pour ces données. Tout l'autre contenu (les profils, connectent des attributs, etc.) est manipulé par l'intermédiaire de la particularité API d'Apple VPN. Selon Apple, la configuration est enregistrée dans un .plist sans n'importe quelle protection ajoutée (c'est-à-dire, classe D).

Q. AnyConnect sur l'androïde prend en charge-il la caractéristique d'Équilibrage de charge VPN ?

A. Oui. Cette caractéristique est prise en charge d'AnyConnect pour la version 2.4 androïde. Pour plus de détails, référez-vous à ce Tableau.

Messages d'erreur

Q. L'installation d'AnyConnect VPN Client échoue avec ce message d'erreur : Erreur 1722. Il y a un problème avec ce module d'installer windows. Comment puis-je résoudre ce problème ?

A. L'installation d'AnyConnect échoue avec cette erreur :

MSI (s) (D8:70) [14:59:10:750]: Product: Cisco AnyConnect VPN Client
-- Error 1722. There is a problem with this Windows Installer package

A program run as part of the setup did not finish as expected. Contact
 your support personnel or package vendor. Action VACon_Install,
	location: C:\Program Files\Cisco\Cisco AnyConnect VPN Client\VACon.exe, command:
	-install "C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnva.inf" VPNVA

L’erreur 1722 est un code générique désignant un échec d’action MSI. Dans ce cas, comme indiqué dans le journal MSI, le programme d’installation de l’adaptateur virtuel a échoué. Par conséquent, vous devez vérifier la présence ou non de cette clé de registre : HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows\CurrentVersion\RunOnce.

En outre, vous pouvez essayer une de ces actions afin de résoudre le problème :

  • Exécutez cette commande afin d'exécuter une installation tranquille d'AnyConnect :

    msiexec /quiet /norestart /i anyconnect.msi

  • Analysez votre registre pour AnyConnect a associé des clés factices et les retire.

Q. Les utilisateurs utilisant un serveur proxy Microsoft reçoivent le message d’erreur suivant quand ils se connectent au concentrateur VPN par l'intermédiaire du client VPN SSL : Aucun des protocoles d’authentification offerts par le serveur proxy n’est pris en charge. Comment puis-je résoudre ce problème ?

A. Le message d’erreur suivant signifie habituellement que le serveur proxy est configuré pour utiliser un mécanisme d’authentification qui n’est pas pris en charge par le client VPN SSL.

AnyConnect fonctionne en mode SSL par l’intermédiaire des serveurs proxy HTTPS (spécifiquement HTTPS 1.1). En outre, les serveurs proxy d’authentification, qui utilisent Basic ou NTLM (NT Lan Manager) pour l’autorisation, peuvent également être utilisés. Il est recommandé d’utiliser NTLM lorsque vous utilisez le serveur proxy.

Proxy Internet Explorer avec AnyConnect VPN Client

Si Internet Explorer est configuré avec un proxy sur votre ordinateur, vous devez activer le paramètre Use HTTP 1.1 dans les connexions proxy avant d'utiliser AnyConnect VPN Client. Si cette option n’est pas définie, la connexion AnyConnect VPN Client n’est pas activée.

Dans Internet Explorer, choisissez Options Internet dans le menu Outils. Cliquez sur l’onglet Avancé et, sous les paramètres HTTP 1.1, cochez la case Utiliser HTTP 1.1 dans les connexions proxy.

Comment ce paramètre Internet Explorer affecte-t-il AnyConnect ?

AnyConnect, comme SVC, utilise Windows Internet (WinINet) pour la connexion pré-tunnel. Il s’agit de la connexion utilisée pour exécuter l’authentification et le téléchargement initiaux des mises à jour. WinINet est l’interface de programmation qu'Internet Explorer utilise également sous les couvertures. WinINet expose sa configuration par le biais du menu d’options dans Internet Explorer. Un des éléments de ce menu consiste à utiliser http:1.1 sur les serveurs proxy.

Par conséquent, quand le programme de téléchargement VPN se connecte à la tête de réseau pour effectuer une validation, il utilise des API WinINet. Cela fait partie de l’opération pré-tunnel.

Le tunnel réel des données se produit sur un canal distinct qui n’utilise pas WinINet et qui est le seul à détenir des informations sur ProxyIP : ProxyTCPPort.

En résumé, considérez l’interface graphique utilisateur/le programme de téléchargement VPN d’AnyConnect et le lancement du navigateur comme des extensions d’Internet Explorer à des fins de négociation de la connexion tunnel. Cependant, toutes les données de tunnel sont transmises par le biais d’un canal distinct qui n’utilise pas WinINet.

Q. Quand je tente d'installer l'AnyConnect VPN Client sur l'ordinateur Windows, je reçois ce message d'erreur : Des privilèges administrateur sont requis pour installer le client VPN. Comment puis-je résoudre ce problème ?

A. Essayez un de ces contournements afin de résoudre ce problème :

  • Désactivez le Pare-feu de client, n'importe quel logiciel anti-virus, et tous les tiers logiciels s'exécutant sur la machine cliente.

  • Vérifiez la compatibilité du système d'exploitation sur la machine cliente. Référez-vous au pour en savoir plus de notes de mise à jour en Client à mobilité sécurisé Cisco AnyConnect.

  • Vérifiez si l'adaptation linguistique est configurée et, si elle est, le désactive.

    utilisation ASDM de vérifier le chemin : La configuration > l'Accès à distance VPN > localisation de langage > langage du client MST transforme.

  • Assurez-vous que la clé de registre de RunOnce (HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ RunOnce) existe comme documenté dans l'ID de bogue Cisco CSCsr54507 (clients enregistrés seulement).

  • Ajoutez l'adresse IP ou le nom de l'ASA à la liste de confiance de site sur le navigateur Web. Le pour en savoir plus, se rapportent à l'ID de bogue Cisco CSCsu54601 (clients enregistrés seulement).

Q. AnyConnect VPN Client télécharge les profils plus anciens quand un nouveau profil avec le même nom de fichier est chargé sur le flash ASA. Comment puis-je résoudre ce problème ?

A. Émettez la commande de profil de svc de recharger de nouveau le cache (préféré). Vous pouvez copier manuellement le profil à partir de disk0 : dans la mémoire cache : /stc/profiles.

Sinon, en téléchargeant le nom du fichier pour le nouveau profil (tel que profil1.xml, profil2.xml, etc.) et en mettant en correspondance ce nouveau nom de fichier avec le groupe, vous pouvez mettre à jour AnyConnect avec les nouvelles informations de profil à sa prochaine connexion.

Q. Le logiciel AnyConnect VPN Client tombe en panne avec le message d’erreur suivant : Le programme de téléchargement de Cisco AnyConnect VPN Client a rencontré un problème et doit fermer. Comment puis-je résoudre ce problème ?

A. L’erreur se produit en raison du gestionnaire biolsp.dll. C’est un problème connu avec ce gestionnaire. L’erreur est résolue en mettant à jour le gestionnaire.

Q. Quand j’essaie de me connecter par le biais d’AnyConnect VPN Client version 2.4, je reçois le message d’erreur suivant : Un problème de certificat s’est produit. La connexion VPN ne sera pas établie. Comment puis-je résoudre ce problème ?

A. Cette erreur se produit suite à un problème décrit dans le bogue Cisco ayant l’ID CSCtb73337 (réservés aux clients enregistrés uniquement). AnyConnect Client version 2.4 n’est pas compatible avec la tête de réseau Cisco IOS lorsqu’un certificat utilisé n’est pas fiable ou lorsque le nom d’hôte entré dans l’URL ne correspond pas à celui du CN (nom commun) ou du SAN (nom alternatif du sujet) dans le certificat du routeur de Cisco IOS.

AnyConnect 2,4 ne se connecte pas au headend de Cisco IOS devant délivrer un certificat vérifient l'erreur d'échouer.

Cette question peut être résolue par un de ces contournements :

  • Assurez-vous que le certificat du routeur est fiable (importé dans le magasin de certificats) et comparez le CN/SAN du certificat à celui de l’URL. S’il n’y a aucune entrée DNS, vous pouvez utiliser une entrée DNS locale en mettant le fichier de l’hôte à jour dans le certificat.

  • Effectuez une mise à niveau vers une version antérieure d’Anyconnect : 2,3.

Q. Quand je me connecte à l'ASA à la version 2.5 d'AnyConnect sur mon ordinateur de Linux, je reçois cette erreur : Le module d'AnyConnect sur la passerelle sécurisée ne pourrait pas se trouvent. Comment puis-je résoudre ce problème ?

A. Vérifiez que vous avez téléchargé le module correct d'AnyConnect (pour le Linux) en fonction à l'ASA et avez spécifié cette image dans la configuration de webvpn. Utilisez ces commandes d'effectuer ces tâches :

  • Copiez le fichier d'image :

    hostname#copy tftp flash
    
  • Spécifiez la priorité de l'image pour l'utiliser pour AnyConnect :

    hostname(config-webvpn)#svc image anyconnect-linux-2.X.XXXX-k9.pkg 1
    

Q. Je ne peux pas me connecter à AnyConnect et je reçois le message d’erreur suivant : ANYConnect n’est pas activé sur le serveur VPN. Comment puis-je résoudre ce problème ?

A. Il se peut que le message d’erreur ANYConnect n’est pas activé sur le serveur VPN apparaisse pour les raisons suivantes :

  • Vous n'avez pas chargé le fichier de package sur l’ASA.

  • La version du fichier de package sur l’ASA diffère de celle du MSI (AnyConnect VPN Client) utilisée sur l’ordinateur.

    Par exemple, le package pour la version 2.1 d’AnyConnect VPN Client est installé sur l’ASA et le MSI 2.3 est installé sur l’ordinateur. Les mêmes versions doivent être utilisées sur l’ASA et l’ordinateur pour éviter ce problème.

Q. Quand j’essaie de me connecter à AnyConnect VPN Client avec Internet Explorer 7, je reçois le message d’erreur suivant : Les informations de révocation pour le certificat de sécurité pour ce site Web ne sont pas disponibles. Voulez-vous continuer ? Je dois cliquer sur la case d'option Yes trois fois avant que la fenêtre ne se ferme. Pourquoi cette erreur se produit-elle et comment la résoudre ?

A. Le message d’erreur Les informations de révocation pour le certificat de sécurité pour ce site Web ne sont pas disponibles est habituellement dû à un problème du certificat que vous utilisez ainsi qu’au navigateur qui essaie d’établir une connexion. Cela signifie généralement qu’un point de distribution HTTP ou LDAP CRL est configuré dans votre certificat et que votre navigateur est configuré pour le vérifier, mais ne peut pas l’atteindre.

Pour résoudre ce problème, vérifiez que l’option Vérifier la révocation du certificat du serveur qui se trouve sous Tools > Internet Options > Advanced Tab > Check for server certificate revocation (requiert le redémarrage du navigateur) est désactivée. Si l’option est activée, désactivez-la et enregistrez les paramètres pour résoudre ce problème.

Q. Je ne parviens pas à me connecter à AnyConnect VPN Client sur Windows Vista après que la fonctionnalité de veille et de reprise a été utilisée. Je reçois le message d’erreur suivant sur l’interface graphique utilisateur d’AnyConnect : Le gestionnaire de client VPN a rencontré une erreur. Pourquoi cette erreur se produit-elle et comment la résoudre ?

A. Cette question est documentée dans l'ID de bogue Cisco CSCsm60339 (clients enregistrés seulement).

Pour résoudre ce problème, redémarrez l’ordinateur et essayez de reconnecter le tunnel. La solution de contournement consiste à appliquer le correctif logiciel décrit dans l’article KB-952876.leavingcisco.com

Q. J'ai reçu ce message d'erreur : Le certificat de serveur reçu ou sa chaîne n'est pas conforme aux PAP. Comment puis-je résoudre ce problème ?

A. Vous pourriez recevoir le message d'erreur pendant un essai raté d'ouvrir une session au client d'AnyConnect. Référez-vous à Anyconnect « le certificat de serveur reçu ou sa chaîne n'est pas conforme aux PAP » pour les informations sur la façon dont résoudre ce problème.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 107391