Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 8.x: Nota técnica del troubleshooting del cliente VPN de AnyConnect

7 Septiembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (4 Mayo 2014) | Comentarios


Contenido


Introducción

Este escenario de troubleshooting corresponde a las aplicaciones que no funcionan con Cisco AnyConnect VPN Client.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el Dispositivo de Seguridad ASA que ejecuta la versión 8.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Proceso de Troubleshooting

Este escenario de troubleshooting típico corresponde a las aplicaciones que no funcionan con Cisco AnyConnect VPN Client para los usuarios finales con equipos compatibles con Microsoft Windows. Estas secciones abordan y brindan las soluciones a los problemas:

Problemas de la Instalación y del Adaptador Virtual

Complete estos pasos:

  1. Obtenga el archivo del log del dispositivo:

    • Windows XP/Windows 2000:

      \Windows\setupapi.log
      
    • Windows Vista:

      Nota: Las carpetas ocultas deben estar visibles para que puedan verse estos archivos.

      \Windows\Inf\setupapi.app.log 
          \Windows\Inf\setupapi.dev.log
      

    Si detecta errores en el archivo del log, puede aumentar la verbosidad a 0x2000FFFF según lo descrito en este artículo de Windows KB.leavingcisco.com Observe que el artículo le indica configurarla en 0xFFFF, pero si agrega el valor de orden superior de 0x2, aumentará la velocidad del registro.

  2. Obtenga el archivo del log del Instalador MSI:

    Si se trata de una instalación de implementación web inicial, este log está ubicado en el directorio temporal por usuario.

    • Windows XP/Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\
      
    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\
      

    Si se trata de una actualización automática, este log se encuentra en el directorio temporal del sistema:

    \Windows\Temp
    

    El nombre del archivo está en este formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Obtenga el archivo más reciente para la versión del cliente que desee instalar. Los cambios x.xxxx basados en la versión, tal como 2.0.0343, y yyyyyyyyyyyyyyis la fecha y hora del instalar.

  3. Obtenga el archivo de información del sistema de la PC:

    1. Desde el Indicador del Comando/cuadro DOS, escriba lo siguiente:

      • Windows XP/Windows 2000:

        winmsd /nfo c:\msinfo.nfo
        
      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo
        

      Nota: Una vez que escriba esta indicación, espere. El archivo puede tardar entre dos y cinco minutos en completarse.

    2. Obtenga un vaciado del archivo systeminfo de un Indicador de Comando:

      Windows XP y Windows Vista:

      systeminfo c:\sysinfo.txt
      

Consulte AnyConnect: Problema en la Base de Datos del Driver Dañado para ejecutar un debug del problema del driver.

Desconexión o Imposibilidad de Establecer la Conexión Inicial

Si usted experimenta los Problemas de conexión con el cliente de AnyConnect, tal como desconexiones o la incapacidad de establecer una conexión inicial, obtenga estos archivos:

  • El archivo de configuración de ASA para determinar si hay algo en la configuración que provoque la falla de conexión:

    Desde la consola del ASA, escriba write net x.x.x.x: ASA-Config.txt donde está direccionamiento x.x.x.x del theIP de un servidor TFTP en la red.

    O

    Desde la consola de ASA, escriba show running-config. Deje la configuración completa en la pantalla, después corte y pegar a un editor de textos y a una salvaguardia.

  • Los logs de eventos ASA:

    1. Para habilitar el registro en el ASA para los eventos auth, webvpn, ssl y svc, ejecute estos comandos CLI:

      config terminal 
      logging enable 
      logging timestamp 
      logging class auth console debugging 
      logging class webvpn console debugging 
      logging class ssl console debugging
      logging class svc console debugging
    2. Origine una sesión de Anyconnect, y asegúrese de que la falla pueda ser reproducida. Capture la salida de registro de la consola a un editor de textos y sálvela.

    3. Para inhabilitar el registro, ejecute no logging enable.

  • El log de Cisco AnyConnect VPN Client de Windows Event Viewer en el equipo cliente:

    1. Elija Start > Run.

    2. Ingrese:

      eventvwr.msc /s
    3. Haga clic con el botón derecho del ratón el registro del Cliente Cisco AnyConnect VPN, y seleccione el archivo del registro de la salvaguardia como AnyConnect.evt.

      Nota: Siempre guarde el archivo con el formato de archivo .evt.

Si el usuario no puede conectar con el cliente VPN de AnyConnect, el problema se pudo relacionar con una sesión establecida o el fast switching de usuarios RDP habilitado en PC del cliente. El usuario puede ver que las configuraciones del perfil de AnyConnect requieren un solo usuario local, pero varios usuarios locales actualmente tienen una sesión iniciada en su equipo. No se establecerá la conexión VPN; aparece un mensaje de error en el equipo cliente. Para resolver este problema, desconecte cualquier sesión establecida RDP y inhabilite el fast switching de usuarios.

Nota: Aseegurese que el puerto 443 no está bloqueado así que el cliente de AnyConnect puede conectar con el ASA.

Cuando un usuario no puede conectar al cliente VPN de AnyConnect con el ASA, el problema se pudo causar por una incompatibilidad entre la versión de cliente de AnyConnect y la versión de la imagen del software ASA. En este caso, el usuario recibe este mensaje de error: El instalador no podía comenzar al Cliente Cisco VPN, acceso del clientless no está disponible.

Para resolver este problema, actualice la versión de cliente de AnyConnect para ser compatible con la imagen del software ASA. Para verificar la compatibilidad, consulte la sección Dispositivos de Seguridad y Soporte de Software de las notas de Anyconnect Client Release.

Cuando un usuario no puede conectar con el cliente VPN de AnyConnect del PC, el problema se puede causar por el Software anti virus presente en el PC.

Nota: AnyConnect se debe instalar en el ordenador antes de que usted instale cualquier software del Firewall/de los contras virus del otro vendedor. Si AnyConnect está instalado después de algunos softwares de tercera persona del Firewall/de los contras virus, después el AnyConnect no podrá conectar. Para resolver este problema, inhabilite todas las características del firewall/AV personal. Entonces, realice los cambios pequeños en el adaptador virtual de AnyConnect e intente volver a conectar el AnyConnect. Para más información, refiera al bug Cisco ID CSCsj91840 (clientes registrados solamente) y CSCti16453 (clientes registrados solamente).

Cuando usted inicia sesión la primera vez al AnyConnect, el script del login no se ejecuta. Si usted desconecta y inicia sesión otra vez, después el script del login se ejecuta muy bien. Ésta es la conducta esperada.

Cuando usted conecta al cliente VPN de AnyConnect con el ASA, usted puede ser que reciba este error: El usuario no autorizado para el acceso al cliente de AnyConnect, entra en contacto a su administrador.

Se considera este error cuando la imagen de AnyConnect falta del ASA. Una vez que la imagen se carga al ASA, AnyConnect puede conectar sin ningunos problemas con el ASA.

Este error puede ser resuelto inhabilitando la Seguridad de la capa de transporte de datagrama (DTL). Vaya a la configuración > al acceso del VPN de acceso remoto > de la red (cliente) > a los perfiles de la conexión de AnyConnect y desmarque la casilla de verificación del permiso DTL. Esto inhabilita los DTL.

Los archivos del dartbundle muestran este mensaje de error cuando el usuario consigue disconnected: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: El gateway seguro no pudo responder a los paquetes del Dead Peer Detection. Este error significa que el canal DTL era rasgado debido al error del dpd. Este error es resuelto pellizcando el Keepalives del dpd y publicando estos comandos:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

El keepalive svc y los comandos del DPD-intervalo svc son substituidos por el keepalive del anyconnect y los comandos del DPD-intervalo del anyconnect respectivamente en la Versión de ASA 8.4(1) y posterior como se muestra aquí:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemas con el Paso del Tráfico

Si detecta problemas con el paso del tráfico a la red privada con una sesión de Anyconnect a través del ASA, siga estos pasos de recolección de datos:

  1. Obtenga la salida del comando del <username> ASA del nombre del filtro svc del detalle de VPN-sessiondb de la demostración de la consola. Si la salida muestra el nombre del filtro: XXXXX, recopile el resultado para show access-list XXXXX . Verifique que la lista de acceso XXXXX no bloquee el flujo de tráfico deseado.

  2. Exporte las estadísticas de AnyConnect del cliente VPN > de las estadísticas > de los detalles > de la exportación de AnyConnect (AnyConnect-ExportedStats.txt).

  3. Verifique el archivo de configuración ASA para las sentencias NAT. Si se habilita la NAT, se deben excluir los datos que vuelven al cliente como resultado de la NAT. Por ejemplo, al NAT exento (0 nacional) los IP Addresses del pool de AnyConnect, utilizan esto en el CLI:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out
  4. Determine si el gateway predeterminado tunelado debe habilitarse para la configuración. El gateway predeterminado tradicional es el gateway de último recurso para el tráfico no descifrado.

    Ejemplo:

    
    !--- Route outside 0 0 is an incorrect statement.
    
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled
    

    Por ejemplo, si el cliente VPN necesita acceder un recurso que no esté en la tabla de ruteo del gateway de VPN, el paquete se rutea a través del default gateway estándar. El gateway de VPN no necesita la tabla de ruteo interno completa para resolver este problema. La palabra clave tunneled puede ser en este caso usado.

  5. Verifique si el tráfico de AnyConnect está siendo caído por la directiva del examen del ASA. Usted podría eximir la aplicación específica que es utilizada por el cliente de AnyConnct implementando el Marco de políticas modular de Cisco ASA. Por ejemplo, usted podría eximir el Skinny Protocol de la exención usando los siguientes comandos.

    ASA(config)# policy-map global_policy
    ASA(config-pmap)#  class inspection_default
    ASA(config-pmap-c)# no inspect skinny

Problemas por Crash de AnyConnect

Complete estos pasos de progresión de la recolección de datos:

  1. Asegúrese de que esté habilitada la Utilidad de Microsoft Dr. Watson. Para hacerlo, seleccione Start> Run, y ejecute Drwtsn32.exe. Configure esto y haga clic en OK:

    Number of Instructions      : 25
    Number of Errors To Save    : 25
    Crash Dump Type             :  Mini 
    Dump Symbol Table           : Checked
    Dump All Thread Contexts    : Checked
    Append To Existing Log File : Checked
    Visual Notification         : Checked
    Create Crash Dump File      : Checked

    Cuando se produzca el crash, recopile los archivos .log y .dmp de C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. Si estos archivos se están usando, utilice ntbackup.exe.

  2. Obtenga el log del Cisco AnyConnect VPN Client del Visor de Eventos de Windows en el equipo cliente:

    1. Elija Start > Run.

    2. Ingrese:

      eventvwr.msc /s
    3. Haga clic con el botón derecho en el log de Cisco AnyConnect VPN Client, y seleccione Save Log File As AnyConnect.evt.

      Nota: Siempre guarde el archivo con el formato de archivo .evt.

Problemas con la Fragmentación o el Paso del Tráfico

Algunas aplicaciones, tales como Microsoft Outlook, no trabajan. Sin embargo, el túnel puede pasar el otro tráfico tal como pequeños ping.

Esto puede proporcionar pistas en cuanto a un problema de fragmentación en la red. El Routers del consumidor es determinado pobre en la fragmentación de paquetes y el nuevo ensamble.

Pruebe con un conjunto escalado de pings para determinar si falla en ciertos tamaños. Por ejemplo, ping - l 500, ping - l 1000, ping - l 1500, ping - l 2000.

Se recomienda que configure un grupo especial para los usuarios que realizan fragmentación, y que configure el MTU svc para este grupo en 1200. Esto le permite a los usuarios del remediate que experimentan este problema, pero no afectar las Bases del usuario más amplias.

Problema:

Caída de las conexiones TCP conectada una vez con AnyConnect.

Solución:

Para verificar si su usuario tiene un problema de fragmentación, ajuste el MTU para que haya clientes de AnyConnect en el ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Desinstalación Automática

Problema:

El cliente VPN de AnyConnect se desinstala una vez que la conexión termina.

Los logs del cliente muestran que la opción mantener instalado está inhabilitada.

Solución:

AnyConnect se desinstala a pesar de ése que la opción instalada custodia se selecciona en el Administrador de dispositivos de seguridad adaptante (ASDM). Para resolver este problema, configure el comando svc keep-installer installed debajo de la política de grupo.

Problemas con la Latencia de AnyConnect

Problema:

Se detectan problemas de latencia con AnyConnect VPN Client.

Solución:

La Seguridad de la capa de transporte de datagrama (DTL) evita el tiempo de espera y los problemas de ancho de banda asociados a algunas conexiones SSL-solamente, incluyendo las conexiones de AnyConnect, y mejora el funcionamiento de las aplicaciones en tiempo real que son sensibles a los retrasos de paquetes. Los DTL permiten al cliente de AnyConnect que establece una conexión VPN SSL para utilizar dos túneles simultáneos, un túnel SSL y los DTL hacen un túnel.

Si utiliza DTLS, evita los problemas de latencia y de ancho de banda asociados a algunas conexiones SSL y mejora el funcionamiento de las aplicaciones en tiempo real que son propensas a las demoras de paquetes. DTLS es un protocolo SSL basado en normas que proporciona una trayectoria de datos de latencia baja que utiliza UDP. DTLS se puede habilitar con el comando svc dtls enable, como se muestra:

hostname(config)#group-policy sales attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#svc dtls enable

También, si usted inhabilitan la compresión y DF-bit-la ignoran, se reduce el tiempo de espera y los problemas de ancho de banda. DF-bit-ignore puede ser habilitado y la compresión se puede inhabilitar como se muestra aquí:

hostname(config)#group-policy <name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#svc df-bit-ignore enable
hostname(config-group-webvpn)#svc routing-filtering-ignore enable
hostname(config-group-webvpn)#svc mtu 1200
hostname(config-group-webvpn)#svc compression none

También, los ACL exteriores de modificación en el ASA para permitir el puerto 443 UDP resolverán el problema del tiempo de espera.

Problema:

Anyconnect está tardando mismo un tiempo prolongado de conectar.

Solución:

La configuración de representación en el navegador es un problema conocido que causaría los problemas de la lentitud. Una de las soluciones alternativas es fijar al cliente para ignorarla. Habilite el “proxy de puente” en el perfil de Anyconnect de modo que el problema pudiera ser eliminado.

Agregue la siguiente línea al perfil de AnyConnect.

<ProxySettings>IgnoreProxy</ProxySettings>

Publique la población del cluster FQDN

Problema: PRE-pueblan al cliente de AnyConnect con el nombre de host en vez del FQDN del cluster.

Cuando usted tiene una configuración del cluster del Equilibrio de carga para SSL VPN y el cliente intenta conectar para agrupar, la petición se reorienta al nodo ASA y el cliente abre una sesión con éxito. Después de una cierta hora, cuando el cliente intenta otra vez conectar con el cluster, el FQDN del cluster no se ve en “conecta con” las entradas. En lugar, se considera la entrada del nodo ASA a la cual han reorientado al cliente.

Solución

Esto ocurre porque el cliente de AnyConnect está conservando el nombre del host al cual él la más reciente conectado. Se observa este comportamiento y se ha clasifiado un bug. Para los detalles completos sobre el bug, refiera al Id. de bug Cisco CSCsz39019 (clientes registrados solamente). Actualizar Cisco AnyConnect a 2.5 es la solución alternativa sugerida.

Configuración de la lista del servidor de backup

Se configura una lista del servidor de backup en caso de que el servidor principal seleccionado por el usuario no sea accesible. Esto se define en el cristal del “servidor de backup” en el perfil de AnyConnect. Complete estos pasos:

  1. Descargue el editor del perfil de AnyConnect (clientes registrados solamente). El nombre del archivo es AnyConnectProfileEditor2_4_1.jar.

  2. Cree un archivo XML usando el editor del perfil de AnyConnect.

    1. Vaya a la lengueta de la lista de servidores.

    2. Haga clic en Add (Agregar).

    3. Teclee el servidor principal en el campo del nombre de host.

    4. Agregue el servidor de backup debajo de la lista del servidor de backup en el campo de la dirección de host. Entonces, haga click en Add

  3. Una vez que usted tiene el archivo XML, usted necesita asignarlo a la conexión que usted está utilizando en el ASA.

    1. En el ASDM, elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > los perfiles de la conexión de AnyConnect.

    2. Seleccione su perfil y el tecleo edita.

    3. El tecleo maneja de la sección Política del grupo predeterminado.

    4. Seleccione su grupo-directiva y el tecleo edita.

    5. Seleccione avanzado y después haga clic al cliente VPN SSL.

    6. Haga clic en New. Entonces, usted necesita teclear un nombre para el perfil y asignar el archivo XML.

  4. Conecte al cliente con la sesión para descargar el archivo XML.

AnyConnect: Problema en la Base de Datos del Driver Dañado

Esta entrada en el archivo SetupAPI.log sugiere que el sistema de catálogo está dañado:

Falta la lista de clase de firma del driver W239 “C:\WINDOWS\INF\certclas.inf” o no es válida. Error 0xfffffde5: El Error desconocido., si se asume que todas las clases de dispositivo está conforme a la directiva de firma del driver.

Usted puede también recibir este mensaje de error: Error(3/17): Incapaz de comenzar el VA, la configuración compartió la cola, o el VA abandonó la cola compartida.

Y este log en el cliente: “El driver del cliente VPN ha encontrado un error”

Reparación

Este problema se debe a la ID de bug Cisco CSCsm54689 (sólo clientes registrados). Para resolver este problema, asegúrese de que el Routing and Remote Access Service esté inhabilitado antes de iniciar AnyConnect. Si esto no resuelve el problema, siga estos pasos:

  1. Abra un indicador de comando como Administrador en el equipo (indicador elevado en Vista).

  2. Ejecute net stop CryptSvc.

  3. Ejecútese:

    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
  4. Cuando se le solicite, elija OK para iniciar la reparación.

  5. Salga del indicador de comando.

  6. Reiniciar.

Si la Reparación Falla

Si la reparación falla, siga estos pasos:

  1. Abra un indicador de comando como Administrador en el equipo (indicador elevado en Vista).

  2. Ejecute net stop CryptSvc.

  3. Cambie el nombre del directorio %WINDIR%\system32\catroot2 to catroot2_old.

  4. Salga del indicador de comando.

  5. Reiniciar.

Analizar la Base de Datos

Puede analizar la base de datos en cualquier momento para determinar si es válida.

  1. Abra un indicador de comando como Administrador en el equipo.

  2. Ejecútese:

    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

    Consulte Integridad de la Base de Datos del Catálogo del Sistema para obtener más información.

    Nota: Refiera al asapedialeavingcisco.com para más información.

Mensajes de error

Error: Unable to Update the Session Management Database

Cuando la SSL VPN está conectada a través de un navegador web, aparece Unable to Update the Session Management Database como mensaje de error, y los logs de ASA muestran %ASA-3-211001: Memory allocation Error. El dispositivo de seguridad adaptante no pudo afectar un aparato la memoria del sistema del RAM.

Solución 1

Este problema se debe a la ID de bug Cisco CSCsm51093 (sólo clientes registrados). Para resolver este problema, recargue el ASA o actualice el software ASA a la versión provisoria mencionada en el bug. Consulte ID de bug Cisco CSCsm51093 (sólo clientes registrados) para obtener más información.

solución 2

Este problema puede también ser resuelto inhabilitando la amenaza-detección en el ASA si se está utilizando la amenaza-detección.

Error: “El cliente VPN \ vpnapi.dll de c:\Program Files\Cisco\Cisco AnyConnect del módulo no pudo registrarse”

Al usar al cliente de AnyConnect en las laptopes o los PC, un error ocurre durante el instalar:

“El cliente VPN \ vpnapi.dll de C:\Program Files\Cisco\Cisco AnyConnect del módulo no pudo registrarse…”

Cuando se encuentra este error, el instalador no puede moverse adelante y quitan al cliente.

Solución

Éstas son las soluciones alternativas posibles para resolver este error:

  • Soportan al último cliente de AnyConnect no más oficialmente con el Windows 2000. Es un problema del registro con el ordenador 2000. Refiera a la sección de los requisitos de Windows de los Release Note de AnyConnect.

  • Quite las aplicaciones del vmware. Una vez que AnyConnect está instalado, las aplicaciones del vmware se pueden agregar de nuevo al PC.

  • Agregue el ASA a sus sitios confiables. Para más información, refiera al dispositivo de seguridad que agrega para enumerar de la sección de los sitios confiables de los Release Note de AnyConnect.

  • Copie estos archivos del \ la carpeta de ProgramFiles \ de Cisco \ de CiscoAnyconnect a una nueva carpeta y funcione con el comando prompt regsvr32 vpnapi.dll:

    • vpnapi.dll

    • vpncommon.dll

    • vpncommoncrypt.dll

  • Rehacer la imagen el sistema operativo en el laptop/PC.

El mensaje del registro relacionado con este error en el cliente de AnyConnect parece similar a esto:

DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, , 
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, , 
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Error: “Un error fue recibido del gateway seguro en respuesta a la petición de la negociación VPN. Entre en contacto por favor a su administrador de la red”

Cuando los clientes intentan conectar con el VPN usando el Cliente Cisco AnyConnect VPN, se recibe este error:

Este mensaje fue recibido del gateway seguro:

La “clase de la extensión ilegal” o el “host o la red es 0" o “otros errores

Solución

El problema ocurre debido al agotamiento de la agrupación IP local ASA. Mientras que se agota el recurso del pool VPN, el rango de la agrupación IP necesita ser agrandado.

Un bug se clasifía para este problema. El Id. de bug Cisco es CSCsl82188 (clientes registrados solamente). Este error ocurre generalmente cuando agotan a la agrupación local para la asignación de dirección, o si la máscara de subred de bits 32 se utiliza para la agrupación de direcciones. La solución alternativa es ampliar a la agrupación de direcciones y utilizar 24 máscaras de subred de bits para el pool.

Error: La sesión no podía ser establecida. Límite de sesión de 2 alcanzados.

Cuando intento conectar a más de dos clientes que usan al cliente VPN de AnyConnect, recibo el mensaje de error fallado login en el cliente y un mensaje de advertencia en los registros ASA que estado la sesión no podría ser establecido. Límite de sesión de 2 alcanzados. Tengo la licencia esencial de AnyConnect en el ASA, que funciona con la versión 8.0.4.

Solución 1

Este error ocurre porque la licencia esencial de AnyConnect no es soportada por la Versión de ASA 8.0.4. Usted necesita actualizar el ASA a la versión 8.2.2. Esto resuelve el error.

Nota: Sin importar la licencia usada, si se alcanza el límite de sesión el usuario recibirá el mensaje de error fallado login.

Solución 2

Este error puede también ocurrir si utilizan al comando session-limit del MAX-anyconnect-superior-o-esencial-límite de VPN-sessiondb de establecer el límite de sesiones de VPN permitidas para ser establecido. Si el sesión-límite se fija como 2, después el usuario no puede establecer más de dos sesiones aunque la licencia instalada soporta más sesiones. Fije el sesión-límite al número de sesiones de VPN requeridas evitar este mensaje de error.

Error: Anyconnect no habilitado en el servidor VPN mientras que intenta conectar el anyconnect con el ASA

Recibo el Anyconnect no habilitado en el mensaje de error del servidor VPN al intentar conectar AnyConnect con el ASA.

Solución

Este error es resuelto habilitando AnyConnect en la interfaz exterior del ASA usando el ASDM. Para más información sobre cómo habilitar AnyConnect en la interfaz exterior, refiera a habilitar el protocolo del cliente VPN SSL.

Error: -- %ASA-6-722036: IP x.x.x.x del xxxx del usuario del cliente-grupo del grupo que transmite el paquete grande 1220 (umbral 1206)

El %ASA-6-722036: El usuario < xxxx > del < Grupo de clientes > del grupo IP < x.x.x.x> que transmite el mensaje de error grande del paquete 1220 (umbral 1206) aparece en los registros del ASA. ¿Se resuelve qué hace este medio logarítmico y cómo esto?

Solución

Estados de este mensaje del registro que un paquete grande fue enviado al cliente. La fuente del paquete no es consciente del MTU del cliente. Esto puede también ser debido a la compresión de los datos incompresibles. La solución alternativa es apagar la compresión de SVC con el comando none de la compresión svc. Esto resuelve el problema.

Error: El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición.

Al conectar con el cliente de AnyConnect, se recibe este error: “El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere la reautentificación y se debe comenzar manualmente. Entre en contacto por favor a su administrador de la red si persiste este problema. El siguiente mensaje fue recibido del gateway seguro: ningún direccionamiento asignado”.

Este error también se recibe al conectar con el cliente de AnyConnect: “El gateway seguro ha rechazado el intento de conexión. Una tentativa de la nueva conexión lo mismo u otro asegura el gateway es necesaria, que requiere la reautentificación. El siguiente mensaje fue recibido del gateway seguro: El host o la red es el 0".

Este error también se recibe al conectar con el cliente de AnyConnect: “El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere una reautentificación y se debe comenzar manualmente. Entre en contacto por favor al administrador de la red si persiste el problema. El siguiente mensaje fue recibido del gateway seguro: Ninguna licencia”.

Solución

El router faltaba la configuración de agrupación después de la recarga. Usted necesita agregar la configuración en cuestión de nuevo al router.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

“El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere una reautentificación y se debe comenzar manualmente. Entre en contacto por favor al administrador de la red si persiste el problema. El siguiente mensaje fue recibido del gateway seguro: Error de ninguna licencia el” ocurre cuando la licencia de la movilidad de AnyConnect falta. Una vez que la licencia está instalada el problema consigue resuelto.

Error: “Incapaz de poner al día la base de datos de la administración de la sesión”

Al intentar autenticar en WebPortal, se recibe este mensaje de error: “Incapaz de poner al día la base de datos de la administración de la sesión”.

Solución

Este problema se relaciona con la asignación de memoria en el ASA. Este problema se considera sobre todo cuando la Versión de ASA es 8.2.1. Originalmente, esto requiere un RAM 512MB para sus funciones completas. Refiera a la sección de los requisitos de memoria en los Release Note.

Como solución alternativa permanente, actualice la memoria a 512MB. Usted puede pedir los “equipos de actualización de memoria”.

Como solución provisoria, intente liberar la memoria realizando estos pasos:

  1. Inhabilite la amenaza-detección.

  2. Inhabilite la compresión svc.

  3. Recargue el ASA.

Error: “El driver del cliente VPN ha encontrado un error”

Esto es un mensaje de error obtenido en la máquina del cliente al intentar conectar con el AnyConnect.

Solución

Para resolver este error, complete este procedimiento para fijar manualmente el agente de AnyConnect VPN a interactivo:

  1. Haga clic con el botón derecho del ratón en el > Services (Servicios) del manage > services and applications del Mi PC > > seleccionan el agente de Cisco AnyConnect VPN.

  2. Haga clic con el botón derecho del ratón las propiedades, después abra una sesión y selecto permita que el servicio obre recíprocamente con el escritorio.

    Esto fija el valor DWORD del tipo del registro a 110 (el valor por defecto es 010) para el HKEY_LOCAL_MACHINE \ SISTEMA \ CurrentControlSet \ servicios \ vpnagent.

    Nota: Si se va éste a ser utilizado, después la preferencia sería utilizar el .MST transforma el en este caso. Esto es porque la determinación de esto usando los métodos siguientes requiere manualmente que esto esté fijada después de cada instala/proceso de actualización. Por lo tanto, la necesidad de identificar la aplicación que está causando esto.

    Cuando habilitan al servicio de enrutamiento y acceso remoto (RRAS) en el PC de Windows, AnyConnect falla con el cliente VPN que el driver ha encontrado un error. . Para resolver este problema, aseegurese que el rutear y el RRAS está inhabilitado antes de comenzar AnyConnect. Refiera al Id. de bug Cisco CSCsm54689 (clientes registrados solamente) para más información.

Error: “Incapaz de procesar la respuesta del xxx.xxx.xxx.xxx”

Los clientes de AnyConnect no están pudiendo conectar con Cisco ASA. El error en la ventana de AnyConnect no puede “procesar la respuesta del xxx.xxx.xxx.xxx”.

Solución

Para resolver este error, intente estas soluciones alternativas:

  • Quite el webvpn del ASA y vuélvalo a permitir.

  • Cambie el número del puerto a 444 de los 443 existentes y vuélvalo a permitir en 443 otra vez.

Para más información sobre habilitar el webvpn y el cambio del puerto para el webvpn, refiera a esta solución.

Error: El “login negó, mecanismo de la conexión no autorizada, entra en contacto a su administrador”

Los clientes de AnyConnect no están pudiendo conectar con Cisco ASA. El error en la ventana de AnyConnect es “login negado, mecanismo de la conexión no autorizada, entra en contacto a su administrador”.

Solución

Este mensaje de error ocurre sobre todo debido a los problemas de configuración que son incorrectos o una configuración incompleta. Marque la configuración y aseegurela es como sea necesario resolver el problema.

Error: “Paquete de Anyconnect inasequible o corrompido. Entre en contacto a su administrador de sistema”

Este error ocurre cuando usted intenta poner en marcha el software de AnyConnect de un cliente MAC para conectar con un ASA.

Solución

Para resolver esto, complete estos pasos:

  1. Cargue el paquete MAC AnyConnect al flash del ASA. Para más información sobre esto, refiera a cargar la imagen de AnyConnect.

  2. Modifique la configuración del webvpn para especificar el paquete de AnyConnect que será utilizado.

    webvpn
     svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
     svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

    El comando de la imagen svc es substituido por el comando de la imagen del anyconnect en la Versión de ASA 8.4(1) y posterior como se muestra aquí:

    hostname(config)#webvpn
    
    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1
    
    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Error: “El paquete de AnyConnect en el gateway seguro no podía ser localizado”

Este error es causado en la máquina del linux del usuario al intentar conectar con el ASA iniciando AnyConnect. El error completo parece esto:

“El paquete de AnyConnect en el gateway seguro no podía ser localizado. Usted puede experimentar los problemas de conectividad de red. Intente por favor conectar otra vez.”

Solución

Para resolver este mensaje de error, verifique si el operating system (OS) que es utilizado en la máquina del cliente es soportado por el cliente de AnyConnect. Para toda la información sobre el software admitido, refiera a la sección de los requisitos del sistema en los Release Note de AnyConnect.

Si se soporta el OS, después verifique si el paquete de AnyConnect se especifica en la configuración del WebVPN o no. Vea la sección inasequible o corrompida del paquete de Anyconnect de este documento para más información.

Error: El “VPN seguro vía el escritorio remoto no se soporta”

Los usuarios no pueden realizar un acceso de escritorio remoto. El VPN seguro vía el escritorio remoto no es mensaje de error soportado aparece.

Solución

Este problema es debido a este bug Cisco ID: CSCsu22088 (clientes registrados solamente) y CSCso42825 (clientes registrados solamente). Actualizar al cliente VPN de AnyConnect puede resolver el problema. Refiera a estos bug para más información.

Error: “El certificado de servidor recibido o su encadenamiento no cumple con los FIP. Una conexión VPN no será establecida”

Al intentar al VPN al ASA 5505, el certificado de servidor recibido o su encadenamiento no cumple con los FIP. Una conexión VPN no será mensaje de error establecido ocurre.

Solución

Para resolver este error, usted necesita inhabilitar los FIP en el archivo de la política local de AnyConnect. Este archivo se puede encontrar generalmente en el cliente VPN \ AnyConnectLocalPolicy.xml de C:\ProgramData\Cisco\Cisco AnyConnect. Si este archivo no se encuentra en esta trayectoria, después localice el archivo en un directorio distinto que tiene trayectoria tal como usuarios \ datos de aplicación \ Cisco AnyConnectVPNClient \ AnyConnectLocalPolicy.xml de C:\Documents and Settings\All. Una vez que usted localiza el archivo del xml, realice los cambios a este archivo como se muestra aquí:

Cambie la frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Entonces, recomience el ordenador. Los usuarios necesitarán tener permisos administrativos para modificar este archivo.

Error: “Error de la validación de certificado”

Los usuarios no pueden iniciar el AnyConnect y recibir el error del error de la validación de certificado.

Solución

Los trabajos de la autenticación certificada con AnyConnect compararon diferentemente al cliente IPSec. Para que la autenticación certificada trabaje, usted necesita importar el certificado del cliente a su navegador y cambiar el perfil de la conexión para utilizar la autenticación certificada. Usted también necesita habilitar este comando en su ASA de permitir que los certificados del cliente SSL sean utilizados en la interfaz exterior:

puerto externo 443 de la interfaz de la autenticación certificada SSL

Para más información sobre este comando, refiera a la autenticación certificada SSL.

Error: “El servicio del agente VPN ha encontrado un problema y necesita cerrarse. Lo sentimos para la inconveniencia”

Cuando AnyConnect 2.4.0202 está instalado en Windows XP PC, para en la puesta al día de los archivos de la localización y un mensaje de error muestra que el vpnagent.exe falla.

Solución

Este comportamiento es el Id. de bug Cisco abierto una sesión CSCsq49102 (clientes registrados solamente). La solución alternativa sugerida es inhabilitar al cliente del Citrix.

Error: “Este paquete de la instalación no podía ser abierto. Verifique que exista el paquete”

Cuando se descarga AnyConnect, se recibe este mensaje de error:

“Entre en contacto a su administrador de sistema. El instalador fallado con el error siguiente: Este paquete de la instalación no podía ser abierto. Verifique que exista el paquete y que usted pueda accederlo, o entre en contacto al vendedor de la aplicación para verificar que esto es un paquete válido del instalador de Windows.”

Solución

Complete estos pasos para solucionar este problema:

  1. Quite cualquier software de los contras virus.

  2. Inhabilite firewall de Windows.

  3. Si ni las ayudas del paso 1 o 2, después formatan la máquina y entonces instalela.

  4. Si todavía persiste el problema, abra un caso TAC (clientes registrados solamente).

Error: La “aplicación del error transforma. Verifique que especificados transformen las trayectorias sean válidos.”

Este mensaje de error se recibe durante la auto-descarga de AnyConnect del ASA:

“Entre en contacto a su administrador de sistema. El instalador fallado con el error siguiente: La aplicación del error transforma. Verifique que especificados transformen las trayectorias sean válidos.”

Éste es el mensaje de error recibido al conectar con AnyConnect para el MacOS:

“El paquete de AnyConnect en el gateway seguro no podía ser localizado. Usted puede experimentar los problemas de conectividad de red. Intente por favor conectar otra vez.”

Solución

Complete una de estas soluciones alternativas para resolver este problema:

  1. La causa raíz de este error pudo ser debido a un archivo corrompido de la traducción MST (por ejemplo, importado). Realice estos pasos para reparar esto:

    1. Quite la tabla de traducción MST.

    2. Configure la imagen de AnyConnect para el MacOS en el ASA.

  2. Del ASDM, siga acceso el “de la red (cliente)” > la “aduana de AnyConnect” > “instala” la trayectoria y borra el archivo de paquete de AnyConnect. Aseegure el paquete permanece en acceso el “de la red (cliente)” > “avanzó” > “SSL VPN” > “configuración del cliente”.

Si ningunas de estas soluciones alternativas resuelven el problema, entre en contacto el Soporte técnico de Cisco.

Error: “El driver del cliente VPN ha encontrado un error”

Se recibe este error:

El driver del cliente VPN ha encontrado un error al conectar a través del cliente de Cisco AnyConnect.

Solución

Este problema puede ser resolved cuando usted desinstala al cliente de AnyConnect, después quita el software de los contras virus. Después de esto, reinstale al cliente de AnyConnect. Si esta resolución no trabaja, después cambie formato el PC para reparar este problema.

Error: “Un VPN vuelve a conectar dado lugar a diversos valores de configuración. La configuración de la red VPN está siendo reinicializada. Las aplicaciones que utilizan la red privada pueden necesitar ser restablecido.”

Se recibe este error al intentar iniciar AnyConnect:

“Un VPN vuelve a conectar dado lugar a diversos valores de configuración. La configuración de la red VPN está siendo reinicializada. Las aplicaciones que utilizan la red privada pueden necesitar ser recomenzado.

Solución

Para resolver este error, utilice esto:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

Al comando mtu del anyconnect en la Versión de ASA 8.4(1) substituye al comando mtu svc y posterior como se muestra aquí:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Error de AnyConnect mientras que login

Problema:

El AnyConnect recibe este error al conectar con el cliente:

The VPN connection is not allowed via a local proxy. This can be changed 
through AnyConnect profile settings.

Solución

El problema puede ser resuelto realizando estos cambios al perfil de AnyConnect:

Agregue esta línea al perfil de AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

La configuración de representación IE no se restablece después de que desconexión de AnyConnect en Windows 7

Problema:

En Windows 7, si la configuración de representación IE se configura para automáticamente detecte las configuraciones y a AnyConnect empuja hacia abajo una nueva configuración de representación, la configuración de representación IE no se restablece de nuevo a automáticamente detectan las configuraciones después del usuario termina la sesión de AnyConnect. Esto causa los problemas LAN para los usuarios que necesitan su configuración de representación configurada para automáticamente detectan las configuraciones.

Solución

Este comportamiento es el Id. de bug Cisco abierto una sesión CSCtj51376 (clientes registrados solamente). La solución alternativa sugerida es actualizar al 3.0 de AnyConnect.

Error: El esencial de AnyConnect no puede ser habilitado hasta que todas estas sesiones sean cerradas.

Este mensaje de error se recibe en el ASDM de Cisco al intentar habilitar el esencial de AnyConnect autoriza:

Hay actualmente 2 sesiones de VPN del clientless SSL en curso. El esencial de AnyConnect no puede ser habilitado hasta que todas estas sesiones sean cerradas.

Solución

Éste es el comportamiento normal del ASA. El esencial de AnyConnect es un cliente VPN por separado autorizado SSL. Se configura totalmente en el ASA y proporciona la capacidad completa de AnyConnect, con estas excepciones:

  • Ningún CSD (producto de limpieza de discos incluyendo de HostScan/de la cámara acorazada/del caché)

  • Ningún clientless SSL VPN

  • Soporte opcional de Windows Mobile

Esta licencia no se puede utilizar al mismo tiempo que la licencia compartida del premio SSL VPN. Cuando usted necesita utilizar una licencia, usted necesita inhabilitar la otra.

Error: La lengueta de la conexión en la opción de Internet del Internet Explorer oculta después de conseguir conectada con el cliente de AnyConnect.

La lengueta de la conexión en la opción de Internet del Internet Explorer oculta después de conseguir conectada con el cliente de AnyConnect.

Solución

Esto es debido a la característica del lockdown del MSIE-proxy. Habilitar esta característica oculta la lengueta de las conexiones en Microsoft Internet Explorer para la duración de una sesión de VPN de AnyConnect. Inhabilitar la característica sale de la visualización de la lengueta de las conexiones sin cambios.

Error: Pocos usuarios que conseguían el login fallaron el mensaje de error cuando otros pueden conectar con éxito con AnyConnect VPN

Algunos usuarios reciben el mensaje de error fallado login cuando otros pueden conectar con éxito con el AnyConnect VPN.

Solución

Este problema se puede resolver aseegurandose no requiere el checkbox de la PRE-autenticación se marca para saber si hay los usuarios.

Error: El certificado que usted está viendo no hace juego con el nombre del sitio usted está intentando ver.

Durante la actualización del perfil de AnyConnect, se muestra un error que dice el certificado es inválido. Esto ocurre con Windows solamente y en la fase de la actualización del perfil. El mensaje de error se muestra aquí:

El certificado que usted está viendo no hace juego con el nombre del sitio usted está intentando ver.

Solución

Esto puede ser resuelta modificando la lista de servidores del perfil de AnyConnect para utilizar el FQDN del certificado.

Esto es una muestra del perfil del xml:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName> 

 </HostEntry>

</ServerList>

Nota: Si hay una entrada existente para el IP Address público del servidor tal como <HostAddress>, después quítelo y conserve solamente el FQDN del servidor (por ejemplo, <hostname> pero no < dirección de host >).

No puede iniciar AnyConnect de la cámara acorazada CSD de una máquina de Windows 7

Cuando el AnyConnect se inicia de la cámara acorazada CSD, no trabaja. Esto se intenta en las máquinas de Windows 7.

Solución

Actualmente, esto no es posible porque no se soporta.

Perfil de AnyConnect que no consigue replicado al recurso seguro después de la Conmutación por falla

El cliente VPN del 3.0 de AnyConnect con los trabajos del software ASA 8.4.1 muy bien. Sin embargo, después de la Conmutación por falla, no hay replicación para la configuración relacionada del perfil de AnyConnect. ¿Cómo se resuelve esto?

Solución

Este problema se ha observado y se ha registrado bajo el Id. de bug Cisco CSCtn71662 (clientes registrados solamente). La solución provisoria es copiar manualmente los archivos a la unidad en espera.

Problema: Caídas del cliente de AnyConnect si va el Internet Explorer off-liné

Cuando ocurre esto, el registro de acontecimientos de AnyConnect contiene las entradas similares a éstos:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solución

Este comportamiento se observa y se registra bajo el Id. de bug Cisco CSCtx28970 (clientes registrados solamente). Para resolver esto, salga la aplicación de AnyConnect y reláncela. Las entradas de la conexión reaparecen después del relanzamiento.

Mensaje de error: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

El cliente de AnyConnect no puede conectar y se recibe el incapaz de establecer un mensaje de error de conexión. En el registro de acontecimientos de AnyConnect, se encuentra el error TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Solución

Esto ocurre cuando el headend se configura para el Túnel dividido con una lista de túnel dividido muy grande (aproximadamente entradas del 180-200) y uno o más otros atributos del cliente se configuran en la grupo-directiva, tal como dns-servidor.

Complete estos pasos para resolver el problema:

  1. Reduzca el número de entradas en la lista de túnel dividido.

  2. Utilice esta configuración para inhabilitar los DTL:

    group-policy groupName attributes
      webvpn
        svc dtls none

Para más información, refiera al Id. de bug Cisco CSCtc41770 (clientes registrados solamente).

Mensaje de error: El “intento de conexión ha fallado debido a la entrada de host inválida”

Se recibe el intento de conexión ha fallado debido al mensaje de error inválido de la entrada de host mientras que autentica AnyConnect usando un certificado.

Solución

Para resolver este problema, intente cualquiera de estas Soluciones posibles:

  • Actualice el AnyConnect a la versión 3.0.

  • Inhabilite el Cisco Secure Desktop en su ordenador.

Para más información, refiera al Id. de bug Cisco CSCti73316 (clientes registrados solamente).

Error: “Asegúrese que sus certificados de servidor puedan pasar el modo estricto si usted configura siempre-en el VPN”

Cuando el habilitar Siempre-en la característica en AnyConnect, el asegurar sus certificados de servidor puede pasar el modo estricto si usted configura siempre-en el mensaje de vpn error se recibe.

Solución

Este mensaje de error implica que si usted quiere utilizar Siempre-en la característica, usted necesita un válido separa el certificado configurado en el headend. Sin un certificado de servidor válido, esta característica no trabajará. El modo estricto CERT es una opción que usted fija en el archivo de la política local de AnyConnect para asegurar que las conexiones están utilizando un certificado válido. Si usted habilita esta opción en el archivo de políticas y conecta con un certificado falso, la conexión fallará.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 100597