Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 8.x: Ejemplo de Configuración de Acceso VPN con el Cliente VPN AnyConnect SSL

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (6 Noviembre 2007) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Antecedentes
Configuración
      Paso 1. Configure un Certificado Auto-Emitido
      Paso 2. Cargue e Identifique la Imagen de un Cliente SSL VPN
      Paso 3. Habilite el Acceso Anyconnect
      Paso 4. Cree un nuevo group policy
      Paso 5. Configure Omisión de Listas de Acceso para Conexiones VPN
      Paso 6. Cree un Perfil de Conexión y un tunnel-group para las Conexiones de un Cliente AnyConnect
      Paso 7. Configure Exención de NAT para Clientes AnyConnect
      Paso 8. Agregue Usuarios a la Base de Datos Local
Verificación
Troubleshooting
      Comandos para Troubleshooting (Opcional)
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se describe cómo permitir conexiones VPN de acceso remoto al ASA desde el cliente Cisco AnyConnect 2.0.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

  • Configuración básica del ASA que ejecuta la versión 8.0 del software

  • ASDM 6.0(2)

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco ASA 8.0(2), ASDM 6.0 (2)

  • Cisco AnyConnect 2.0

Convenciones

Consulte Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

El cliente Cisco AnyConnect 2.0 es un cliente de VPN basado en SSL. Se puede utilizar e instalar al cliente AnyConnect en diversos sistemas operativos, tales como Windows 2000, XP, Vista, Linux (Distribuciones Múltiples) y MAC OS X. El administrador del sistema puede instalar el cliente AnyConnect manualmente en la PC remota. También se lo puede cargar en el ASA y permitir que los usuarios remotos lo descarguen. Luego de descargar la aplicación, se la puede desinstalar automáticamente después de terminar la conexión o se puede permanecer en la PC remota para conexiones de VPN SSL futuras. Este ejemplo permite que el cliente AnyConnect pueda realizar la descarga después de una correcta autenticación SSL basada en el explorador.

Para obtener más información sobre el cliente AnyConnect 2.0, consulte Notas de la Versión 2.0 de AnyConnect.

Nota: MS Terminal Services no está soportado en conjunto con el cliente AnyConnect. No se puede acceder por medio de RDP a una computadora y luego iniciar una sesión AnyConnect. No se puede acceder por medio de RDP a un cliente que está conectado a través de AnyConnect.

Nota: La primera instalación de AnyConnect requiere que el usuario posea derechos de administración (ya sea si utiliza el paquete msi AnyConnect independiente o si envía el archivo pkg desde el ASA). Si el usuario no posee derechos de administración, aparece un cuadro de diálogo que indica este requisito. Las actualizaciones posteriores no requerirán que el usuario que anteriormente instaló AnyConnect posea derechos de administración.

Configuración

Siga los siguientes pasos para configurar el ASA para el acceso VPN con el cliente AnyConnect:

  1. Configure un Certificado Auto-Emitido

  2. Carge e Identifique de la Imagen SSL de un Cliente de VPN

  3. Habilite el Acceso Anyconnect

  4. Cree un Group-Policy Nuevo

  5. Configure la Omisión de Listas de Acceso para Conexiones VPN

  6. Cree un Perfil de Conexión y un Tunnel-Group para las Conexiones de un Cliente AnyConnect

  7. Configure la Exención de NAT para Clientes AnyConnect

  8. Agregue Usuarios a la Base de Datos Local

Paso 1. Configure un Certificado Auto-Emitido

Por defecto, el ASA posee un certificado con firma propia que se vuelve a generar cada vez que se reinicia el dispositivo. Puede adquirir su propio certificado de proveedores tales como Verisign o EnTrust, o puede configurar el ASA para que emita un certificado de identidad para sí mismo. Este certificado se mantiene igual, incluso cuando se reinicia el dispositivo. Complete los siguientes pasos para generar un certificado auto-emitido que persista al reiniciar el dispositivo.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda Certificate Management y luego elija Identity Certificates.

  3. Haga clic en Add y luego en el botón Add a new identity certificate.

  4. Haga clic en New .

  5. En el cuadro de diálogo Add Key Pair, haga clic en botón Enter new key pair name.

  6. Ingrese un nombre para identificar al par de llaves.

    En este ejemplo, se utiliza sslvpnkeypair.

  7. Haga clic en Generate Now.

  8. En el cuadro de diálogo Add Identity Certificate, asegúrese de que esté seleccionado el par de llaves recientemente creado.

  9. Para Certificate Subject DN, ingrese el nombre de dominio completamente calificado (FQDN) que se utilizará para la conexión con la interfaz de terminación de la VPN.

    CN=sslvpn.cisco.com

  10. Haga clic en Advanced e ingrese el FQDN utilizado para el campo Certificate Subject DN.

    Por ejemplo, FQDN: sslvpn.cisco.com

  11. Haga clic en OK.

  12. Seleccione la casilla de verificación Generate Self Signed Certificate y haga clic en Add Certificate.

  13. Haga clic en OK.

  14. Haga clic en Configuration y luego en Remote Access VPN.

  15. Expanda Advanced y elija SSL Settings.

  16. En el área Certificates, elija la interfaz que se utilizará como terminación para la VPN SSL (outside) y haga clic en Edit.

  17. En el menú desplegable Certificate, elija el certificado con firma propia que generó anteriormente.

  18. Haga clic en OK y luego en Apply.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#crypto key generate rsa label sslvpnkeypair
INFO: The name for the keys will be: sslvpnkeypair
Keypair generation process begin. Please wait...

!--- Generación de una llave RSA para el certificado. (El nombre debe ser único). 
!--- Por ejemplo, sslvpnkeypair.)

ciscoasa(config)#crypto ca trustpoint localtrust

!--- Creación de un trustpoint para el certificado auto-emitido.

ciscoasa(config-ca-trustpoint)#enrollment self
ciscoasa(config-ca-trustpoint)#fqdn sslvpn.cisco.com
ciscoasa(config-ca-trustpoint)#subject-name CN=sslvpn.cisco.com

!--- El nombre de dominio completamente calificado se utiliza para fqdn y CN.
!--- El nombre debe resolverse según la dirección IP de la interfaz outside del ASA.

ciscoasa(config-ca-trustpoint)#keypair sslvpnkeypair

!--- La llave RSA se asigna al trustpoint para crear el certificado. 

ciscoasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm
% The fully-qualified domain name in the certificate will be: sslvpn.cisco.com
ciscoasa(config)# ssl trust-point localtrust outside

!--- Asigna el trustpoint que se utilizará para las conexiones SSL en la interfaz outside.

Paso 2. Cargue e Identifique de la Imagen de un Cliente SSL VPN

En este documento, se utiliza el cliente AnyConnect SSL 2.0. Puede obtener este cliente en el Sitio Web de Descargas de Software de Cisco. Se requiere una imagen Anyconnect diferente para cada sistema operativo que los usuarios remotos tengan previsto utilizar. Para obtener más información, consulte Notas de la Versión 2.0 de Cisco AnyConnect.

Una vez que obtuvo el cliente AnyConnect, siga los siguientes pasos:

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda Network (Client) Access y luego expanda Advanced.

  3. Expanda SSL VPN y elija Client Settings.

  4. En el área SSL VPN Client Images, haga clic en Add y luego haga en Upload.

  5. Acceda a la ubicación donde descargó el cliente AnyConnect.

  6. Seleccione el archivo y haga clic en Upload File.

    Una vez que se carga el cliente, se recibe un mensaje que indica que el archivo se cargó correctamente a Flash.

  7. Haga clic en OK.

    Aparece un cuadro de diálogo para confirmar que desea utilizar la imagen creada recientemente como la imagen SSL actual del cliente de VPN.

  8. Haga clic en OK.

  9. Haga clic en OK y luego en Apply.

  10. Repita los pasos de esta sección para todos los paquetes Anyconnect específicos del sistema operativo que desea utilizar.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#copy tftp://192.168.50.5/anyconnect-win-2.0.0343-k9.pkg flash

Address or name of remote host [192.168.50.5]?

Source filename [anyconnect-win-2.0.0343-k9.pkg]?

Destination filename [anyconnect-win-2.0.0343-k9.pkg]?

Accessing tftp://192.168.50.5/anyconnect-win-2.0.0343-k9.pkg...!!!!!!!!!!!!!
Writing file disk0:/anyconnect-win-2.0.0343-k9.pkg...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2635734 bytes copied in 4.480 secs (658933 bytes/sec)

!--- Se descarga la imagen AnyConnect al ASA a través de TFTP.

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1

!--- Especificación de la imagen AnyConnect que los usuarios descargarán. La imagen que 
!--- más se descarga debe tener el número más bajo. Esta imagen utiliza 1 para la
!--- imagen de AnyConnect para Windows.

Paso 3. Habilite el Acceso Anyconnect

Para permitir que el cliente AnyConnect se conecte al ASA, se debe activar el acceso en la interfaz que brinda terminación para las conexiones de VPN SSL. En este ejemplo, se utiliza la interfaz outside como terminación para las conexiones Anyconnect.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda Network (Client) Access y luego elija SSL VPN Connection Profiles.

  3. Seleccione la casilla de verificación Enable Cisco AnyConnect VPN Client.

  4. Seleccione la casilla de verificación Allow Access para la interfaz outside y haga clic en Apply.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enable outside
ciscoasa(config-webvpn)#svc enable

!--- Habilitación de AnyConnect para que los equipos remotos lo descarguen.

Paso 4. Cree un Group-Policy Nuevo

El group-policy especifica los parámetros de configuración que se deben aplicar a los clientes cuando de conectan. En este ejemplo, se crea un group-policy llamada SSLClientPolicy.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda Network (Client) Access y elija Group Policies.

  3. Haga clic en Add.

  4. Elija General e ingrese SSLClientPolicy en el campo Name.

  5. Desmarque la casilla de verificación Inherit de Address Pools.

  6. Haga clic en Select y luego en Add.

    Aparece el cuadro de diálogo Add IP Pool.

  7. Configuración del pool de direcciones de un rango IP que actualmente no se utilice en la red.

    En este ejemplo, se utilizan los siguientes valores:

    • Name: SSLClientPool

    • Starting IP Address: 192.168.25.1

    • Ending IP Address: 192.168.25.50

    • Subnet Mask: 255.255.255.0

  8. Haga clic en OK.

  9. Elija el pool recientemente creado y haga clic en Assign.

  10. Haga clic en OK y luego en More Options.

  11. Desmarque la casilla de verificación Inherit de Tunneling Protocols.

  12. Marque SSL VPN Client.

  13. En el panel izquierdo, elija Servers.

  14. Desmarque la casilla de verificación Inherit de DNS Servers e ingrese la dirección IP del servidor DNS interno que utilizarán los clientes AnyConnect.

    En este ejemplo, se utiliza 192.168.50.5.

  15. Haga clic en More Options.

  16. Demarque la casilla de verificación Inherit de Default Domain.

  17. Ingrese el dominio que utiliza su red inside. Por ejemplo, tsweb.local .

  18. Haga clic en OK y luego en Apply.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#ip local pool SSLClientPool 192.168.25.1-192.168.25.50 mask 255.255.255.0

!--- Defina el pool IP. El pool IP debe ser un rango de direcciones IP 
!--- que no se utiliza actualmente en la red inside. 

ciscoasa(config)#group-policy SSLCLientPolicy internal
ciscoasa(config)#group-policy SSLCLientPolicy attributes
ciscoasa(config-group-policy)#dns-server value 192.168.50.5

!--- Especifique el servidor DNS interno que se utilizará.

ciscoasa(config-group-policy)#vpn-tunnel-protocol svc

!--- Especificación del protocolo de túnel VPN que el group-policy utilizará.
 
ciscoasa(config-group-policy)#default-domain value tsweb.local

!--- Defina el dominio predeterminado asignado a los usuarios VPN.

ciscoasa(config-group-policy)#address-pools value SSLClientPool

!--- Asigne el pool IP creada para el group-policy SSLClientPolicy.

Paso 5. Configure la Omisión de Listas de Acceso para Conexiones VPN

Al activar esta opción, se permite que los clientes SSL/IPsec omitan la lista de acceso de la interfaz.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda Network (Client) Access y luego expanda Advanced.

  3. Expanda SSL VPN y elija Bypass Interface Access List.

  4. Asegúrese que la casilla de verificación Enable inbound SSL VPN and IPSEC Sessions to bypass interface access lists esté seleccionada y haga clic en Apply.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#sysopt connection permit-vpn

!--- Habilite la omisión de la lista de acceso de la interfaz para las conexiones VPN. 
!--- En este ejemplo, se utiliza el comando vpn-filter para el control de acceso.

ciscoasa(config-group-policy)#

Paso 6. Cree un Perfil de Conexión y un Tunnel-Group para las Conexiones de un Cliente AnyConnect

Cuando los clientes de VPN se conectan al ASA, se conectan a un perfil de conexión o un tunnel-group. El tunnel-group se utiliza para definir los parámetros de conexión para tipos específicos de conexiones VPN, tales como IPsec L2L, acceso remoto IPsec, SSL sin cliente y SSL con cliente.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda Network (Client) Access y luego expanda SSL VPN.

  3. Elija Connection Profiles y haga clic en Add.

  4. Elija Basic e ingrese los siguientes valores:

    • Name: SSLClientProfile

    • Authentication: LOCAL

    • Default Group Policy: SSLClientPolicy

  5. Asegúrese de que la casilla de verificación SSL VPN Client Protocol esté seleccionada.

  6. En el panel izquierdo, expanda Advanced y elija SSL VPN.

  7. En Connection Aliases, haga clic en Add e ingrese un nombre al cual los usuarios puedan asociar sus conexiones VPN. Por ejemplo, SSLVPNClient.

  8. Haga clic en OK y luego nuevamente en OK.

  9. En la parte inferior de la ventana ASDM, seleccione la casilla de verificación Allow user to select connection, identified by alias in the table above at login page y haga clic en Apply.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#tunnel-group SSLClientProfile type remote-access

!--- Definición del tunnel-group que se utilizará para las conexiones VPN de acceso remoto.

ciscoasa(config)#tunnel-group SSLClientProfile general-attributes
ciscoasa(config-tunnel-general)#default-group-policy SSLCLientPolicy
ciscoasa(config-tunnel-general)#tunnel-group SSLClientProfile webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias SSLVPNClient enable

!--- Asignación de alias para el tunnel-group.

ciscoasa(config-tunnel-webvpn)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

!--- Habilitación de la selección de alias o tunnel-group para las conexiones VPN de SSL.

Paso 7. Configure la Exención de NAT para Clientes AnyConnect

Se debe configurar la exención de NAT para todas las direcciones IP o rangos IP para los que se desea permitir el acceso a los clientes de VPN SSL. En este ejemplo, los clientes de VPN SSL solamente necesitan acceder a la IP interna 192.168.50.5.

Nota: Si el control de NAT no está habilitado, no se requiere realizar este paso. Utilice el comando show run nat-control para verificarlo. Para verificar por medio de ASDM, haga clic en Configuration, haga clic en Firewall y elija Nat Rules. Si la casilla de verificación Enable traffic through the firewall without address translation está seleccionada, puede omitir este paso.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Firewall.

  2. Elija Nat Rules y haga clic en Add.

  3. Elija Add NAT Exempt Rule e ingrese los siguientes valores:

    • Action: Exempt

    • Interface: inside

    • Source: 192.168.50.5

    • Destination: 192.168.25.0/24

    • NAT Exempt Direction: NAT Exempt outbound traffic from interface 'inside' to lower security interfaces (Default)

  4. Haga clic en OK y luego en Apply.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#access-list no_nat extended permit 
                  ip host 192.168.50.5 192.168.25.0 255.255.255.0

!--- Defina la lista de acceso que se utilizará para la exención de NAT. 

ciscoasa(config)#nat (inside) 0 access-list no_nat

!--- Permita conexiones externas para direcciones internas 
!--- sin traducir definidas por la lista de acceso no_nat.

ciscoasa(config)#

Paso 8. Agregue Usuarios a la Base de Datos Local

Si utiliza autenticación local (la predeterminada), debe definir nombres de usuario y contraseñas en la base de datos local para la autenticación de usuarios.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Remote Access VPN.

  2. Expanda AAA Setup y elija Local Users.

  3. Haga clic en Add e ingrese los siguientes valores:

    • Username: matthewp

    • Password: p@ssw0rd

    • Confirm Password: p@ssw0rd

  4. Seleccione el botón No ASDM, SSH, Telnet or Console Access.

  5. Haga clic en OK y luego en Apply.

  6. Repita este paso para los usuarios adicionales y luego haga clic en Save.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#username matthewp password p@ssw0rd
ciscoasa(config)#username matthewp attributes
ciscoasa(config-username)#service-type remote-access

!--- Asigne acceso remoto de usuario únicamente. No se permite acceso de SSH, Telnet ni ASDM.

ciscoasa(config-username)#write memory

!--- Guarde la configuración.

Verificación

Utilice esta sección para verificar que la configuración de VPN SSL sea correcta.

Conexión al ASA con el Cliente AnyConnect

Instale el cliente directamente en una PC y conéctese a la interfaz outside del ASA, o ingrese https y la FQDN/dirección IP del ASA en un explorador Web. Si utiliza un explorador Web, el cliente se instala automáticamente luego de iniciar sesión correctamente.

Verificación de las Conexiones de Cliente VPN SSL

Utilice el comando show vpn-sessiondb svc para verificar los clientes de VPN SSL conectados.

ciscoasa(config-group-policy)#show vpn-sessiondb svc

Session Type: SVC

Username     : matthewp               Index        : 6
Assigned IP  : 192.168.25.1           Public IP    : 172.18.12.111
Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
Encryption   : RC4 AES128             Hashing      : SHA1
Bytes Tx     : 35466                  Bytes Rx     : 27543
Group Policy : SSLClientPolicy        Tunnel Group : SSLClientProfile
Login Time   : 20:06:59 UTC Tue Oct 16 2007
Duration     : 0h:00m:12s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

ciscoasa(config-group-policy)#

El comando vpn-sessiondb logoff name username finaliza la sesión de los usuarios por nombre de usuario. Se envía un mensaje Administrator Reset al usuario cuando se lo desconecta.

ciscoasa(config)#vpn-sessiondb logoff name matthewp
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "matthewp" logged off : 1

ciscoasa(config)#

Para obtener más información sobre el cliente AnyConnect 2.0, consulte Guía del Administrador de VPN Cisco AnyConnect.

Troubleshooting

En esta sección, encontrará información que puede utilizar para resolver problemas de configuración.

Comandos para Troubleshooting (Opcional)

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • debug webvpn svc 255: Muestra los mensajes de debug sobre las conexiones a clientes de VPN SSL a través de WebVPN.

    Inicio de sesión AnyConnect Correcto

    ciscoasa(config)#debug webvpn svc 255
    INFO: debug webvpn svc enabled at level 255.
    ciscoasa(config)#ATTR_FILTER_ID: Name: SSLVPNClientAccess
    
    , Id: 1, refcnt: 1
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 10.10.1.5' - 
    !--- IP externa de ASA
    
    Processing CSTP header line: 'Host: 10.10.1.5'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343' - 
    !--- Versión AnyConnect
    
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect 
                                              VPN Client 2, 0, 0343'
    Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=3338474156@28672@1192565782@EFB9042D72C
                       63CE02164F790435897AC72EE70AE'
    Processing CSTP header line: 'Cookie: webvpn=3338474156@28672@119
                       2565782@EFB9042D72C63CE02164F790435897AC72EE70AE'
    Found WebVPN cookie: 'webvpn=3338474156@28672@1192565782@EFB9042D72C
                       63CE02164F790435897AC72EE70AE'
    WebVPN Cookie: 'webvpn=3338474156@28672@1192565782@EFB9042D72C63CE02
                       164F790435897AC72EE70AE'
    IPADDR: '3338474156', INDEX: '28672', LOGIN: '1192565782'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: wkstation1' - 
    !--- Nombre de host del equipo de escritorio del cliente
    
    Processing CSTP header line: 'X-CSTP-Hostname: wkstation1'
    Setting hostname to: 'wkstation1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1206'
    Processing CSTP header line: 'X-CSTP-MTU: 1206'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: 72B8AD72F327059AE22CBB451CB0948AFBE98296FD849
                              49EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51'
    Processing CSTP header line: 'X-DTLS-Master-Secret: 72B8AD72F327059AE22CBB451C
           B0948AFBE98296FD84949EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:
                                  DES-CBC3-SHA:DES-CBC-SHA'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.25.1/255.255.255.0 - 
    !--- IP asignada desde el pool IP
    
    CSTP state = HAVE_ADDRESS
    SVC: NP setup
    np_svc_create_session(0x7000, 0xD41612C8, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC IPv6 ACL Name: NULL
    SVC IPv6 ACL ID: -1
    SVC: adding to sessmgmt
    SVC: Sending response
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    

    Inicio de Sesión AnyConnect Incorrecto (Contraseña Incorrecta)

    webvpn_portal.c:ewaFormSubmit_webvpn_login[1808]
    ewaFormSubmit_webvpn_login: tgCookie = 0
    ewaFormSubmit_webvpn_login: cookie = d53d2990
    ewaFormSubmit_webvpn_login: tgCookieSet = 0
    ewaFormSubmit_webvpn_login: tgroup = NULL
    webvpn_portal.c:http_webvpn_kill_cookie[627]
    webvpn_auth.c:http_webvpn_pre_authentication[1905]
    WebVPN: calling AAA with ewsContext (-717386088) and nh (-717388536)!
    WebVPN: started user authentication...
    webvpn_auth.c:webvpn_aaa_callback[4380]
    WebVPN: AAA status = (REJECT)
    webvpn_portal.c:ewaFormSubmit_webvpn_login[1808]
    ewaFormSubmit_webvpn_login: tgCookie = 0
    ewaFormSubmit_webvpn_login: cookie = d53d2990
    ewaFormSubmit_webvpn_login: tgCookieSet = 0
    ewaFormSubmit_webvpn_login: tgroup = NULL
    webvpn_auth.c:http_webvpn_post_authentication[1180]
    WebVPN: user: (matthewp) rejected.
    http_remove_auth_handle(): handle 9 not found!
    webvpn_portal.c:ewaFormServe_webvpn_login[1749]
    webvpn_portal.c:http_webvpn_kill_cookie[627]
    

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 99756