Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Nota técnica del troubleshooting del clientless SSL VPN (WebVPN) ASA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento enumera las técnicas de Troubleshooting del clientless SSL VPN (WebVPN) adoptadas para las Versiones de ASA 7.1, 7.2, y 8.0. Hay adelantos significativos entre estas versiones que requieran las técnicas de Troubleshooting variadas de ser adoptado.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en las Cisco 5500 Series ASA que funciona con la versión de software 7.1 o más alto.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Resolución de problemas

El requisito previó para resolver problemas las conexiones VPN del clientless SSL (WebVPN) en el ASA es ganar la visibilidad en ambos la experiencia del cliente vía las herramientas del screenshots y de la captura HTML y después comparar esto a la misma información cuando está conectado directamente con el URL/Application que es accedido.

Clientless de la Versión de ASA 7.1/7.2

Esta sección describe las técnicas de Troubleshooting para las Versiones de ASA 7.1/7.2 y todo el interims hasta, pero no incluyendo, la versión 8.0.

En esta versión si las funciones complejas de las Javas/del Javascript tienen dificultad, las otras opciones (tales como expedición del puerto de acceso de la aplicación o el uso de proxy-puente) pudieron ser consideradas. Refiera a configurar el acceso de la aplicación y a usar puente del proxy para más información sobre estas alternativas.

En la mayoría de los escenarios, si el URL que se accede con el clientless SSL VPN falla para el Internet Explorer, también fallará para otro navegador.

Para asegurarse de que esto no sea dependiente en PC del cliente o el sistema operativo, utilice a otro cliente de una ubicación diferente. El uso de un IPSec o el cliente VPN SSL puede también ser probado.

Asegúrese de que el ASA esté incluido en el navegador confiara en la zona según lo descrito en habilitar los Cookie en los navegadores para el WebVPN y de que los Cookie están habilitados según lo descrito en los Cookie del permiso.

Si el proceso todavía falla, complete estos pasos para recopilar la información necesaria, y después abrir un caso TAC.

  1. Borre el caché del buscador como descrito en borre el caché del buscador.

  2. Borre el caché de las Javas como descrito en borre el caché de las Javas.

  3. Inhabilite el caché del WebVPN en el ASA según lo descrito en configurar el almacenamiento en memoria inmediata.

  4. Si los subprogramas java están presentes, utilice el nivel de debug 5 en la ventana del applet según lo descrito en las opciones de debugging de la Java Applet del permiso.

  5. Registro en el ASA vía el clientless SSL VPN.

  6. En el URL apenas antes del URL problemático, habilite una herramienta de la captura HTML en el navegador como descrito adentro habilite las herramientas de la captura HTML.

  7. Capture la secuencia de esta punta al URL problemático.

  8. Presione la pantalla Ctrl+Print en su teclado para capturar un tiro de pantalla.

  9. Pare la herramienta de la captura HTML.

  10. Realice los mismos pasos 1 a 9 cuando usted conecta directamente con el URL vía un IPSec o la sesión de VPN SSL con el ASA o conecta directamente en el mismo segmento de LAN (si es posible) y envía los datos a TAC para el análisis.

Clientless de la Versión de ASA 8.0

Esta sección describe las técnicas de Troubleshooting usadas para las Versiones de ASA 8.0 y todo el interims.

En esta versión si los URL complejos o las aplicaciones tienen dificultad con el clientless SSL VPN, las otras opciones (tales como el uso de los túneles elegantes) son una alternativa potente. Refiera a configurar el acceso elegante del túnel para más información sobre los túneles elegantes.

Usted puede ser que también considere la expedición del puerto de acceso de la aplicación o el uso de proxy-puente. Refiera a configurar el acceso de la aplicación y a usar puente del proxy para más información sobre estas alternativas.

En la mayoría de los escenarios, si el URL que se accede con el clientless SSL VPN falla para el Internet Explorer, también fallará para otro navegador.

Para asegurarse de que esto no sea dependiente en PC del cliente o el sistema operativo, utilice a otro cliente de una ubicación diferente. El uso de un IPSec o el cliente VPN SSL puede también ser probado.

Asegúrese de que el ASA esté incluido en el navegador confiara en la zona según lo descrito en habilitar los Cookie en los navegadores para el WebVPN y de que los Cookie están habilitados según lo descrito en los Cookie del permiso.

Si una aplicación experimenta un problema con el Content Transformation Engine del clientless (CTE/rewriter), usted puede modificar el marcador para esa aplicación para habilitar la opción elegante del túnel tal y como se muestra en de esta imagen:

ssl_clientless_trouble_20.gif

Habilitar esta opción para un marcador no requiere la configuración adicional. Similar para virar la expedición hacia el lado de babor, ésta es otra opción conveniente para hacer clic un marcador para abrir una nueva ventana que utilice el túnel elegante para pasar el tráfico de aplicación y para evitar los problemas de la reescritura.

Cuando usted utiliza esta característica para las aplicaciones del Winsock 32 TCP (tales como RDP), requieren al administrador identificar el proceso que se utilizará a través de los túneles elegantes. Por ejemplo, el RDP utiliza el proceso mstsc.exe; una entrada elegante simple del túnel se puede crear para este proceso.

Aplicaciones más complicadas pueden spawn/generar los procesos múltiples. Dentro de la página porta del WebVPN, elija el panel de acceso de la aplicación. Tan pronto como cargue, la lista de aplicaciones permitidas puede conectar con el lado privado de la red.

Si el proceso todavía falla, complete estos pasos para recopilar la información necesaria, y después abrir un caso TAC.

  1. Borre el caché del buscador como descrito en borre el caché del buscador.

  2. Borre el caché de las Javas como descrito en borre el caché de las Javas.

  3. Inhabilite el caché del WebVPN en el ASA según lo descrito en configurar el almacenamiento en memoria inmediata.

  4. Si los subprogramas java están presentes, utilice el nivel de debug 5 en la ventana del applet según lo descrito en las opciones de debugging de la Java Applet del permiso.

  5. Registro en el ASA vía el clientless SSL VPN.

  6. En el URL apenas antes del URL problemático, habilite una herramienta de la captura HTML en el navegador como descrito adentro habilite las herramientas de la captura HTML.

  7. Capture la secuencia de esta punta al URL problemático.

  8. Presione la pantalla Ctrl+Print en su teclado para capturar un tiro de pantalla.

  9. Pare la herramienta de la captura HTML.

  10. Realice los pasos 1 a 9 cuando usted conecta directamente con el URL vía o un IPSec o ninguno conecta a la sesión SSL con el ASA o conecta directamente en el mismo segmento de LAN (si es posible), completa estos pasos, y envía los datos a TAC para el análisis

Procedimientos

Agregue el ASA como sitio confiable

Cuando usted accede el ASA en el Internet Explorer, usted recibirá un error del certificado si el sitio no se incluye como sitio confiable.

ssl_clientless_trouble_05.gif

Complete estos pasos para agregar el ASA como sitio confiable:

  1. En el explorador de Interent, elija las herramientas > las opciones de Internet.

  2. Haga clic la ficha de seguridad, y elija los sitios de Trused.

    ssl_clientless_trouble_06.gif

  3. Haga clic los sitios.

  4. Agregue el direccionamiento de https:// del ASA, y el haga click en Add

    ssl_clientless_trouble_07.gif

  5. Una vez que se agrega el sitio, el icono de los sitios confiables aparece en la barra de estado del Internet Explorer.

    ssl_clientless_trouble_08.gif

Nota: Refiera a trabajo con los ajustes de seguridad del Internet Explorer 6leavingcisco.com para información detallada sobre este procedimiento.

Habilite los Cookie

Complete estos pasos para habilitar los Cookie:

  1. En el Internet Explorer, elija las herramientas > las opciones de Internet.

  2. Haga clic la lengueta de la aislamiento, y después haga clic avanzado.

    ssl_clientless_trouble_01.gif

  3. En el cuadro de diálogo avanzado de las configuraciones de la aislamiento, marque el Cookie automático de la invalidación que maneja la casilla de verificación, haga clic el botón de radio del validar, y haga clic la AUTORIZACIÓN.

    ssl_clientless_trouble_02.gif

Borre el caché del buscador

Complete estos pasos para borrar el caché para el Internet Explorer:

  1. En el Internet Explorer, elija las herramientas > las opciones de Internet.

    ssl_clientless_trouble_09.gif

  2. En la ficha general, haga clic la cancelación dentro de la sección del historial de la ojeada.

    ssl_clientless_trouble_10.gif

  3. Haga clic la cancelación toda.

    ssl_clientless_trouble_11.gif

  4. Marque también los archivos y las configuraciones del borrar salvados por la casilla de verificación de las agregaciones, y haga clic .

  5. Una vez que se borra el caché, apague todos los casos del hojeador, y recomience el hojeador.

Nota: ¿Para borrar el caché para otros navegadores, refiérase a cómo I borra el caché de mi navegador (mejorar su funcionamiento)? leavingcisco.com

Borre el caché de las Javas

Complete estos pasos para borrar el caché de las Javas:

  1. Elija al panel de control del menú Start (Inicio) de Windows.

  2. Haga doble clic las Javas.

    ssl_clientless_trouble_12.gif

  3. Haga clic las configuraciones.

  4. Haga clic los archivos de la cancelación.

    ssl_clientless_trouble_13.gif

Nota: ¿Refiérase a cómo I borra mi caché de las Javas?leavingcisco.com para más información sobre este procedimiento.

Opciones de debugging de la Java Applet del permiso

Complete estos pasos para habilitar la opción de debugging de los subprogramas java:

  1. Asegure las Javas 1.4 o arriba se habilita:

    1. Elija al panel de control del menú Start (Inicio) de Windows.

    2. Haga doble clic las Javas.

    3. Haga clic alrededor, y marque el número de la versión.

    ssl_clientless_trouble_14.gif

    ssl_clientless_trouble_15.gif

    Nota: Usted puede descargar las actualizaciones de las Javas de http://java.com/en/leavingcisco.com .

  2. Asegúrese de que la Java esté configurada para habilitar el seguimiento, para mostrar la consola, y para fijar Microsoft Internet Explorer como el buscador predeterminado tal y como se muestra en de esta imagen:

    ssl_clientless_trouble_16.gif

  3. Asegúrese de que el caché de las Javas esté borrado como descrito en borre el caché de las Javas.

  4. En el Internet Explorer, elija las herramientas > la consola Java para abrir la ventana del debug de las Javas.

    ssl_clientless_trouble_19.gif

  5. Una vez que la ventana del debug de la consola Java está abierta, presione 5 para fijar el nivel de traza

    Cuando se accede un URL que contiene una Java Applet, la actividad se captura en esta ventana.

  6. Copia del tecleo para copiar la información.

Habilite las herramientas de la captura HTML

Varias diversas herramientas de la captura HTML están disponibles para las recolectares datos, algunos de los cuales se han enumerado aquí. Instale una de estas herramientas de la captura HTML sobre PC del cliente para el cual se utiliza es ejercicio de la recolección de datos:

Nota: Este los procedimientos utilizan la aplicación de HTTPWatch.

Una vez que la aplicación está instalada, complete estos pasos:

  1. Presione Shift+P+F+2 o haga clic el icono en la ventana del buscador para habilitar HTTPWatch.

    ssl_clientless_trouble_03.gif

  2. Una vez que se habilita la aplicación, una ventana aparece integrado en la parte inferior de la ventana del buscador similar a esta imagen:

    ssl_clientless_trouble_04.gif
  3. Grabas datos del expediente del tecleo para; parada del tecleo para parar el registrar.

Nota: Se recomienda para utilizar HttpWatch 7.x para registrar los datos.


Información Relacionada


Document ID: 104298