Seguridad : Cliente Cisco AnyConnect VPN

Preguntas Más Frecuentes sobre AnyConnect VPN Client

7 Septiembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (4 Mayo 2014) | Comentarios


Preguntas


Introducción

Este documento proporciona las respuestas lo más frecuentemente a las preguntas hechas (FAQ) relacionadas con el Cliente Cisco AnyConnect VPN.

El Cliente Cisco AnyConnect VPN proporciona a los usuarios remotos con las conexiones del VPN seguro al dispositivo de seguridad adaptante de las 5500 Series de Cisco ASA usando el protocolo del Secure Socket Layer (SSL) y el protocolo de TLS del datagrama (DTL). AnyConnect proporciona a los usuarios finales remotos con las ventajas de un Cliente Cisco SSL VPN, y las aplicaciones y las funciones de soportes inasequibles a un clientless, conexión VPN basado en buscador SSL.

Nota: El público objetivo para este documento es un administrador de la red que entiende los comandos CLI y las características y tiene experiencia con la configuración del cliente VPN de AnyConnect.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Instalación

Q. ¿Qué nivel de las derechas se requiere para el cliente VPN de AnyConnect?

A. Para la primera instalación, usted necesita los privilegios administrativos. Sin embargo, las actualizaciones subsiguientes no requieren el privilegio del nivel admin.

Q. ¿Se requiere una reinicialización después de que AnyConnect esté instalado o actualizado?

A. No. A diferencia del cliente del IPSec VPN, una reinicialización no se requiere después de una instalación o de una actualización de AnyConnect.

Nota: Esto se aplica al módulo VPN solamente.

Actualización del software

Q. ¿Es posible apagar la actualización automática de AnyConnect vía el ASA?

A. Sí. Utilice uno de estos métodos para apagar la actualización automática de AnyConnect vía el ASA:

Autorización

Q. ¿Cómo puedo recibir la licencia móvil de AnyConnect para el ASA?

A. La licencia móvil es una licencia fija encima del número existente de usuarios autorizados del Secure Socket Layer (SSL). Puede ser utilizada o con una licencia superior SSL VPN o el esencial de un AnyConnect autoriza. Para pedir la licencia móvil de AnyConnect para una unidad existente con una licencia SSL, el numero de parte es L-ASA-AC-M-55XX= (XX=05,10,20,40,50,80 dependiendo del modelo). Esta licencia móvil se puede también agregar como una opción para las nuevas compras del dispositivo (ASA-AC-M-55XX). Para pedir la licencia móvil de AnyConnect para una unidad existente, entre en contacto a su revendedor de Cisco. Para una licencia de evaluación para los dispositivos que tienen el esencial o licencias superiores, refiera al registro de la licencia del producto para el móvil de AnyConnect (clientes registrados solamente). Si usted tiene preguntas específicas sobre los requisitos móviles de la licencia, envíe un email a ac-mobile-license-request@cisco.com.

Dispositivos admitidos

Q. ¿AnyConnect se soporta en el Cisco VPN 3000 Concentrator?

A. No.

Q. ¿Soportan al cliente VPN de AnyConnect en los dispositivos de seguridad PIX?

A. No No soportan al cliente VPN de AnyConnect en el PIX.

Q. ¿AnyConnect se soporta en los dispositivos del ® del Cisco IOS?

A. Sí.

A partir del Cisco IOS Software Release 12.4(15)T en el modo navegador-iniciado solamente según las nuevas notas de las funciones de seguridad de la versión 12.4T.

A partir del Cisco IOS Software Release 12.4(20)T, soportan al modo autónomo también.

Para más información, refiera a la guía de usuario remoto SSL VPN.

Notas:

  • El soporte para los DTL se introduce de la versión deL Cisco IOS 15.1(2)T. Refiera a los dtls svc ordenan para más información.

  • El Keepalives del cliente no se soporta en los dispositivos Cisco IOS hasta que la versión 12.4(20)T.

  • Las actualizaciones al hardware crypto que puede causar las desconexiones se han resuelto con 12.4(T2) para las Plataformas 87x.

  • Comienzo antes de que el inicio no sea soportado actualmente por el Cisco IOS.

Q. ¿Soportan al cliente VPN de AnyConnect en el iPad o el iPhone de Apple?

A. Sí. El cliente VPN de Anyconnect soporta el IOS de Apple de la versión 2.4. Actualmente, el iPhone 3G, el iPhone 3GS, el iPhone 4, y el tacto de iPod (segunda generación y posterior) son los dispositivos admitidos. Se espera que el soporte para el iPad esté disponible con la versión de IOS 4.2 de Apple. Para más información, refiera a los Release Note de Cisco Anyconnect 2.4 para el IOS de Apple. Para la información relacionada de la configuración, refiera por favor al guía del usuario de Cisco Anyconnect 2.4 para el IOS de Apple.

Q. ¿Es posible conectar el iPad, el iPod, o al cliente VPN de AnyConnect del iPhone con un router del Cisco IOS?

A. No. No es posible conectar el iPad, el iPod, o al cliente VPN de AnyConnect del iPhone con un router del Cisco IOS. AnyConnect en iPad/iPhone puede conectar solamente con un ASA que funcione con la versión 8.0(3).1 o posterior. El Cisco IOS no es soportado por el cliente VPN de AnyConnect para el IOS de Apple. Para más información, refiera a los dispositivos de seguridad y al software sección soportada de los Release Note para el Cliente de movilidad Cisco AnyConnect Secure 2.4, IOS 4.2 y 4.3 de Apple.

Q. La Conmutación por falla de la sesión de VPN (SSL) es posible con los Proveedores de servicios de Internet duales (ISP) sin la fractura de la sesión. ¿Por ejemplo, si un cliente está comunicando con SSL VPN con ISP 1 y si va el ISP 1 abajo, esto asumirá el control la conexión con ISP 2 sin perder ningún paquete (sesión de VPN)? ¿Está esto posible con dispositivo de Cisco?

A. Si usted significa el dual-ISP en el centro distribuidor, esto no es posible. Sin embargo, si usted está hablando algo como el ISP dual en un lugar remoto, el SSL VPN podrá reanudar una conexión perdida. AnyConnect intentará volver a conectar si se interrumpe la conexión. Esto es no configurable, sino automático. Mientras la sesión sobre el ASA sea todavía válida, si AnyConnect puede restablecer la conexión física, la sesión será reanudada.

Software admitido

Q. ¿Cuáles son las versiones soportadas del MAC OS?

A. Versiones de Cliente Cisco AnyConnect VPN a partir del 2.0 a las versiones 10.4 de Mac OS X del soporte del 3.0 y posterior.

El 3.0 de la versión de Cliente Cisco AnyConnect VPN soporta estas versiones del Mac OS:

  • Mac OS 10.5 (Intel CPU solamente)

  • Mac OS 10.6.x (de 32 bits y 64-bit)

  • Mac OS X 10.7 (león)

Para la información de servicio técnico para otros clientes de AnyConnect, refiera a los Release Note para el Cliente de movilidad Cisco AnyConnect Secure.

Nota: En la sección de los requisitos de los Release Note, usted puede verificar los requisitos mínimos del sistema para funcionar con al cliente de AnyConnect en cada uno de estas Plataformas.

Q. ¿AnyConnect requiere las Javas y los permisos?

A. El cliente VPN de AnyConnect requiere o ActiveX o las Javas para utilizar la conexión basada en web/instalan. Para ActiveX, el usuario necesita tener permiso que instalar en su buscador Web (o él puede ser instalado previamente). Si ActiveX no se soporta ni se utiliza, se intenta la Java. La versión puede ser 1.4.x o 1.5. La implementación de las Javas es un applet y es basado en buscador (ninguna descarga).

En la primera conexión, el ActiveX/la Java se utiliza para instalar el software cliente VPN de AnyConnect. Esta conexión inicial requiere las derechas admin. Las conexiones subsiguientes no requieren las derechas admin (incluso para las actualizaciones del cliente). El cliente tiene un instalador independiente para los casos donde los privilegios admin no se conceden al usuario.

Q. ¿Cuáles son las versiones soportadas del OS (Sistema operativo) Windows?

A. El cliente de AnyConnect proporciona el soporte para los usuarios finales remotos que funcionan con Microsoft Vista, Windows 7, Windows XP, y el Windows 2000.

El 3.0 de la versión de Cliente Cisco AnyConnect VPN soporta estas versiones del sistema operativo Windows:

  • X86 de Windows 7 (de 32 bits) y x64 (64-bit)

  • X86 de Windows Vista SP2 (de 32 bits) y x64 (64-bit)

  • X86 de Windows XP SP3 (de 32 bits)

Para la información de servicio técnico para otros clientes de AnyConnect, refiera a los Release Note para el Cliente de movilidad Cisco AnyConnect Secure.

Nota: En la sección de los requisitos de los Release Note, usted puede verificar los requisitos mínimos del sistema para funcionar con al cliente de AnyConnect en cada uno de estas Plataformas.

Q. ¿Cuáles son las versiones soportadas del Linux OS?

A. El Cliente Cisco AnyConnect VPN soporta una amplia variedad de distribuciones de Linux, tales como Red Hat Enterprise Linux, base de Fedora, OpenSuse, Slackware y Ubuntu.

El 3.0 de la versión de Cliente Cisco AnyConnect VPN soporta estas versiones del sistema operativo de Linux:

  • Escritorio del Red Hat Enterprise Linux 5

  • Escritorio del Red Hat Enterprise Linux 6

  • Ubuntu 9.x y 10.x

Para la información de servicio técnico para otros clientes de AnyConnect, refiera a los Release Note para el Cliente de movilidad Cisco AnyConnect Secure.

Q. ¿AnyConnect soporta los dispositivos de Windows Mobile? ¿Cuáles son las versiones admitidas?

A. AnyConnect es compatible con Windows Mobile 5.0, 6.0 y 6.1. El soporte se ha introducido de la versión 2.3 hasta la versión 2.5. El último 3.0 del cliente de AnyConnect no ofrece el soporte para los dispositivos de Windows Mobile.

Refiera a la sección de Windows Mobile de los Release Note para el Cliente de movilidad Cisco AnyConnect Secure, libere 2.5 para una lista completa todos los dispositivos soportados del Windows Mobile por la versión de cliente 2.5 de AnyConnect.

Para los detalles completos en el procedimiento de instalación, refiera a instalar AnyConnect en un dispositivo de Windows Mobile.

Q. ¿AnyConnect soporta el nuevo software de Symbian?

A. Sí. Inician a un cliente separado de AnyConnect para Symbian con la versión 2.4.5. Para la información sobre cómo instalar al cliente, refiera al guía del usuario de Symbian para el Cliente de movilidad Cisco AnyConnect Secure, la versión 2.4.5. Para la información de servicio técnico, refiera a los Release Note para el Cliente de movilidad Cisco AnyConnect Secure 2.4 para Symbian.

Q. ¿Soportan al cliente VPN de AnyConnect en el navegador de Google Chrome?

A. Sí. Se soporta en la versión 3.0 de AnyConnect. Refiera al 3.0 Computadora OS de AnyConnect soportado para los detalles completos.

Q. ¿El cliente VPN de Anyconnect soporta el sistema operativo de Android?

A. Sí. Cliente de movilidad Cisco AnyConnect Secure 2.4 para los dispositivos de Android de los soportes de Android. Si desea más información, consulte estos documentos:

Q. ¿Cuáles son los detalles de la compatibilidad para las diversas versiones de AnyConnect y del ASA?

A. Refiera al ASA, al ASDM, al Cisco Secure Desktop, y a la compatibilidad de AnyConnect para la información sobre la compatibilidad.

Q. ¿Hay una matriz de compatibilidad que muestre todas las características soportadas de AnyConnect con respecto a diversos sistemas operativos?

A. Sí. Refiera a las funciones de cliente seguras de la movilidad de AnyConnect, las licencias, y los OS, liberan 2.5 para más información. Este documento también describe el soporte de característica con respecto a las diversas licencias disponibles.

Q. ¿El Secure Socket Layer (SSL) VPN (AnyConnect/clientless) se ha validado en la edición de escritorio del cliente liviano de Linux del Novell?

A. Cisco no prueba con esta edición de Linux. La mejor opción es aseegurarle resolver los requisitos previos definidos en los Release Note. Entonces, déle un intento, asumiendo que usted está preguntando por AnyConnect. Esto no sería calificada oficialmente, pero si el sistema resuelve los requisitos previos él pudo trabajar muy bien. El preguntar por el clientless SSL VPN debe trabajar muy bien, porque usted generalmente apenas necesita al navegador.

Mensajes del registro

Q. ¿Dónde los registros de la instalación de AnyConnect se salvan en los sistemas operativos de Linux?

A. En el sistema operativo de Linux, estos registros se salvan en /opt/cisco/vpn.

Q. ¿Dónde los registros de la instalación de Windows AnyConnect se salvan en los sistemas operativos Windows?

A. Hay dos ubicaciones posibles para la instalación abre una sesión los sistemas operativos Windows:

  • Si está una fresca instale, los registros de la instalación estará en el directorio temporal del usuario. Para localizar este directorio, complete estos pasos basados en su sistema operativo:

    • Windows XP y Windows 2000: Vaya al Start (Inicio) > Run (Ejecutar), ingrese el %TEMP%, y haga clic la AUTORIZACIÓN.

    • Windows Vista: Ingrese el %TEMP% en la ventana de la búsqueda, y el Presione ENTER.

  • Si es una actualización, los registros de la instalación serán situados en el directorio temporal del sistema que es el típicamente %SYSTEMDRIVE% \ temporeros o %SYSTEMROOT% \ temporeros; sin embargo, los registros se pudieron localizar a otra parte.

    El nombre del archivo utiliza a un convenio similar a WinSetup-Release-2.0install-21333219012007.log.

Seguridad de la capa de transporte de datagrama (DTL)

Q. ¿Cuál es la diferencia entre el SSL-túnel y el DTL-túnel? ¿Qué tipo de tráfico pasa con cada uno?

A. El SSL-túnel es el túnel TCP que primero se crea al ASA. Cuando se establece completamente, el cliente entonces intentará negociar un DTL-túnel UDP. Mientras que se está estableciendo el DTL-túnel, los datos pueden pasar sobre el SSL-túnel. Cuando el DTL-túnel se establece completamente, todos los datos ahora se mueven al DTL-túnel y el SSL-túnel se utiliza solamente para el tráfico ocasional del canal de control. Si algo sucede al UDP, el DTL-túnel será derribado y todos los datos pasarán a través del SSL-túnel otra vez.

La decisión de cómo enviar los datos es muy dinámica. Pues se procesa cada paquete de datos enlazados de la red hay una punta en el código donde la decisión se toma para utilizar la conexión SSL o la conexión DTL. Si la conexión DTL es sana en ese momento, el paquete se envía vía la conexión DTL. Si no se envía vía la conexión SSL.

La conexión SSL se establece primero y los datos se pasan sobre esta conexión mientras que intentan establecer una conexión DTL. Una vez que se ha establecido la conexión DTL, el punto de decisión en el código descrito arriba apenas comienza a enviar los paquetes vía la conexión DTL en vez de la conexión SSL. Los paquetes de control, por otra parte, pasan siempre la conexión SSL.

El punto clave es si la conexión se considera sana. Si los DTL, un protocolo no fiable, son funcionando y la conexión DTL ha ido mala por la razón que sea, el cliente no conoce esto hasta que ocurra el Dead Peer Detection (DPD). Por lo tanto, los datos serán perdidos sobre la conexión DTL durante ese período corto porque la conexión todavía se considera sana. Una vez que ocurre el DPD, los datos serán fijados inmediatamente vía la conexión SSL y los DTL vuelven a conectar sucederán.

El ASA la enviará los datos durante la conexión más reciente los datos recibidos encendido. Por lo tanto, si el cliente ha determinado que la conexión DTL no es sana, y comienza a enviar los datos sobre la conexión SSL, el ASA contestará en la conexión SSL. El ASA reanudará el uso de la conexión DTL cuando los datos se reciben en la conexión DTL.

Q. ¿En qué Plataformas se soporta la Seguridad de la capa de transporte de datagrama (DTL)?

A. Los DTL se soportan en los sistemas operativos del Windows 2000, de Windows XP, de Windows Vista, del Mac OS, y de Linux.

Q. ¿Los DTL soportan las Plataformas de 32 bits y 64-bit?

A. Sí.

Q. ¿Ambos túneles (SSL y los DTL), tienen que tiempo de inactividad para que la sesión sea desconectada?

A. Cuando un DTL-túnel es activo, ése es el único túnel donde importa el tiempo de inactividad. Porque el tráfico muy pequeño del canal de control pasa sobre el SSL-túnel, está casi siempre ocioso así que está exento mientras que hay un DTL-túnel activo. Si algo sucediera al UDP y el DTL-túnel fuera derribado, después el tiempo de inactividad se aplicaría al SSL-túnel.

Desafortunadamente con la mayoría de los computadores con Windows, nunca están “ociosos” tan mucha gente piensan verdad que el tiempo de inactividad no está trabajando. Ha habido discusión sobre la fabricación “de un valor del umbral de los datos” para el tiempo de inactividad, pero incluso ése podría ser difícil. Para hacer una marcha lenta del computador con Windows verdad, usted tiene que quitar la interconexión de redes de Microsoft y archivo e impresión que comparten de los Config de la red para la interfaz física del ordenador.

Q. AnyConnect conecta a través de un servidor proxy y los DTL no se utilizan. ¿por qué?

A. El cliente VPN de AnyConnect SSL puede utilizar un servidor proxy configurado en su navegador (Internet Explorer solamente). Sin embargo, cuando conecta, no negocia un túnel del User Datagram Protocol (UDP) de la Seguridad de la capa de transporte de datagrama (DTL). Solamente se utiliza TLS TCP cuando usted conecta esta manera porque la configuración del servidor proxy no es configurable a los paquetes UDP del proxy usados por los DTL.

Q. Cuando utilizo la Seguridad de la capa de transporte de datagrama (DTL) en el túnel de AnyConnect VPN, no puedo descargar los archivos grandes y tener problemas de conectividad. ¿Cómo puedo resolver este problema?

A. Aseegurese que el puerto UDP no está bloqueado mientras que este puerto es utilizado por los DTL. También, control si los DTL no son bloqueados ni son caídos por el ISP. Habilite los DTL en la interfaz que usted está conectando con del AnyConnect. Para más información sobre habilitar los DTL, refiera a habilitar la Seguridad de la capa de transporte de datagrama (DTL) con las conexiones de AnyConnect (SSL).

Características admitidas

Q. ¿Es posible salvar los credenciales de contraseña en AnyConnect de modo que no pida la autenticación del usuario (característica del almacenamiento de contraseña)?

A. No, no es posible salvar los credenciales de contraseña en AnyConnect.

Q. ¿Está iniciar una característica del marcador disponible en el cliente VPN de AnyConnect?

A. No Los lanzadores del marcador y de la aplicación de terceros no se soportan para el comienzo de AnyConnect antes del inicio (SBL).

Q. ¿Cuáles son los requisitos para AnyConnect y los SSL versión?

A. AnyConnect requiere que el ASA esté configurado para validar el tráfico TLSv1 y que las configuraciones del buscador estén fijadas para TLSV1.0.

El cliente VPN de AnyConnect no puede establecer una conexión con estas configuraciones ASA para la versión del servidor SSL:

  • Versión del servidor sslv3 SSL

  • Versión del servidor sslv3-only (CSCsh76698) SSL

Q. ¿Hay un método por el cual poder asociar automáticamente los controladores de red cuando los usuarios conectan vía el VPN y los desconectan una vez las desconexiones VPN del usuario?

A. Sí. Usted debe escribir un script para alcanzar esto. Refiera a la escritura y a los scripts que despliegan para más información.

Q. ¿Puede el cliente VPN de AnyConnect trabajar a través de un túnel del cliente del IPSec VPN?

A. Esto no se soporta oficialmente. La razón que esto no trabaja cuando está utilizado como diseñado es porque el cliente del IPSec VPN y el cliente VPN de AnyConnect intentan rutear el tráfico a sus adaptadores virtuales. El cliente del IPSec VPN intercepta el tráfico de AnyConnect en la capa instantánea de la Mensajería (IM).

Q. ¿Puede AnyConnect (o el clientless SSL VPN) los usuarios iniciar los cambios de la administración de contraseñas del cliente VPN de AnyConnect sí mismo?

A. No AnyConnect no tiene ninguna opción dentro de él para accionar o para iniciar un cambio de la contraseña.

Los cambios de la contraseña se accionan solamente del centro distribuidor cuando sea necesario como parte del MSCHAPv2 RADIUS con el vencimiento o el vencimiento de contraseña del Lightweight Directory Access Protocol (LDAP). Los clientes pueden cambiar su contraseña del Active Directory (AD) usando el mismo mecanismo del Ctrl Alt Delete asumiendo que “están abriendo una sesión a la red” (comienzo antes del login).

Q. ¿AnyConnect soporta un pool con una sola dirección? ¿Si usted quisiera que el ASA hiciera el Port Address Translation (PAT), tales que todos los clientes remotos aparecen en la red interna como sola dirección, distinguida por el número del puerto TCP de la fuente?

A. AnyConnect requiere un IP Address único para cada cliente. Así, el pool de la PALMADITA no se aplica con AnyConnect en este contexto. Ciertamente, el pasar a través de un dispositivo que ACARICIE (por ejemplo el hogar) no es un problema con AnyConnect.

Q. ¿Hay una manera de tener en cuenta para que un usuario seleccione el certificado de la autenticación?

A. Sí. Usted debe fijar el elemento del <AutomaticCertSelection> a falso en el perfil del cliente.

Aquí tiene un ejemplo:

<AnyConnectProfile>
	<ClientInitialization>
		<AutomaticCertSelection>false</AutomaticCertSelection>
	</ClientInitialization>
</AnyConnectProfile>

Para más información, refiera a la selección automática del certificado.

Q. ¿El SSL VPN tiene el recurso donde el usuario puede al mismo tiempo y después crear dos túneles después de acceder la red, si un túnel va abajo del cliente VPN puede desplazar automáticamente al usuario al segundo túnel?

A. El SSL VPN no puede tener túneles múltiples al mismo tiempo y desplazar a partir la uno a una si va uno abajo.

Q. ¿Puede un servidor DHCP asignar el DNS y GANA los servidores a un cliente VPN de AnyConnect?

A. La asignación de DHCP asigna solamente la dirección IP al cliente. Los parámetros tales como DNS y los TRIUNFOS se asignan de las configuraciones de la grupo-directiva y no se comprueban del DHCP.

Q. Quisiera poder procesar una secuencia de comandos de inicio solamente cuando conecto con la red corporativa. ¿Puedo funcionar con una secuencia de comandos de inicio después de que AnyConnect establezca una conexión VPN bastante que running start antes del inicio (SBL), que debe ser ejecutado cada vez yo encienda el ordenador (independientemente de si quiero al VPN)?

A. AnyConnect ha introducido la característica del script de OnConnect en la versión 2.4 y posterior. Refiera a la sección del scripting de los Release Note para el Cliente Cisco AnyConnect VPN, la versión 2.4. Para toda la información sobre el scripting, refiera a la sección del scripting de la guía del administrador del Cliente Cisco AnyConnect VPN, la versión 2.4.

Q. ¿AnyConnect comenzará antes de la función del inicio (SBL) con el software de encripción del entero-disco tal como cifrado dondequiera, PointSec, y PGP?

A. Sí, esto se soporta en la versión 2.2 de AnyConnect.

Q. ¿Hay una manera de soportar el proxy del tipo de los CALCETINES?

A. AnyConnect no se soporta con el proxy del tipo de los CALCETINES. Los CALCETINES no son un proxy HTTPS, así que Cisco no soporta los proxys de los CALCETINES.

AnyConnect trabajará en el modo SSL vía los proxys “HTTPS” (específicamente HTTPS 1.1). Además, los proxys de autenticidad que utilizan básico o el NTLM para la autorización pueden también ser utilizados.

Usted debe habilitar el https 1.1 del uso para los proxys en las configuraciones avanzadas del Internet Explorer.

Q. ¿Cómo indico a los usuarios remotos que descarguen al cliente?

A. Usted puede permitir al dispositivo de seguridad para indicar a los usuarios de cliente VPN remotos SSL que descarguen al cliente con el svc pide el comando de los modos de configuración del webvpn de la directiva del grupo o del webvpn del nombre de usuario:

svc ask {none | enable [default {webvpn | svc} timeout value]}

El svc pide que a prompts de comando enable el usuario remoto descargue al cliente o vaya a la página porta para una conexión del clientless y a las esperas indefinidamente para la respuesta del usuario.

  • el svc pide a permiso el svc predeterminado — Descarga inmediatamente al cliente.

  • el svc pide a permiso el webvpn predeterminado — Va inmediatamente a la página porta.

  • el svc pide a permiso el valor de agotamiento del tiempo predeterminado svc — Indica al usuario remoto que descargue al cliente o vaya a la página porta y espera la duración del valor antes de tomar la acción predeterminada — descargar al cliente.

  • el svc pide a permiso el valor de agotamiento del tiempo predeterminado del webvpn — Indica al usuario remoto que descargue al cliente o vaya a la página porta, y espera la duración del valor antes de tomar la acción predeterminada — visualizar la página porta.

Q. ¿Cuál es el AnyConnect vuelve a conectar el comportamiento?

A. AnyConnect intentará volver a conectar si se interrumpe la conexión. Este comportamiento es automático y no configurable. Mientras la sesión sobre el ASA sea todavía válida, la sesión será reanudada si AnyConnect puede restablecer la conexión física.

La versión 2.2 incluye una característica de itinerancia que permita que AnyConnect vuelva a conectar después de que un sueño PC. El cliente continuará intentando indefinidamente hasta que el centro distribuidor le diga que no puede volver a conectar y el cliente no derribará inmediatamente el túnel cuando entra el sistema hibernar/recurso seguro. Para los clientes que no quieren esta característica, fijar el tiempo de espera de la sesión a un valor bajo para prevenir el sueño o el curriculum vitae vuelve a conectar.

Q. ¿Cuando ocurre un volver a conectar, hace el flap del adaptador virtual de AnyConnect (VA) o hace el cambio de la tabla de ruteo en absoluto?

A. Un nivel bajo vuelve a conectar no hará tampoco. Esto es un volver a conectar en apenas el SSL o los DTL. Éstos van cerca de 30 segundos antes de abandonar. Si los DTL fallan apenas se cae. Si el SSL falla causa un nivel elevado vuelve a conectar. Un nivel elevado vuelve a conectar hará de nuevo totalmente la encaminamiento. Si no cambian a la dirección cliente asignada en el volver a conectar (o cualquier otros parámetros de la configuración que afectan el VA), después el VA no se inhabilita

Q. ¿El cliente VPN de AnyConnect soporta la autenticación bifactorial?

A. El cliente VPN de AnyConnect soporta la autenticación bifactorial empezando por la Versión de ASA 8.2(x). No se soporta en las versiones antes de 8.2.(x).

Q. ¿El cliente VPN de AnyConnect apoya a otros clientes VPN de los otros vendedores instalados simultáneamente en el mismo PC?

A. AnyConnect 2.5 instalaciones puede coexistir con otros clientes VPN, incluyendo los clientes IPSec, en todos los puntos finales soportados; sin embargo, Cisco no soporta AnyConnect corriente mientras que otros clientes VPN se están ejecutando.

Q. ¿AnyConnect soporta la conexión compartida a Internet (ICS)?

A. La conexión compartida a Internet (ICS) no es compatible con AnyConnect. Usted debe inhabilitar el ICS para las funciones apropiadas de AnyConnect.

Cuando usted intenta iniciar AnyConnect en un PC en el cual el ICS se esté ejecutando ya, AnyConnect devuelve este mensaje de error:

El agente del cliente del vpn no podía crear el depósito de la comunicación entre procesos.

Para resolver este problema, inhabilite el ICS y inicie otra vez AnyConnect.

Q. ¿El ASA soporta la evaluación del PRE-login CSD para los dispositivos IOS mientras que conecta con AnyConnect?

A. Actualmente, no se soporta en el ASA. Refiera al pedido de mejora CSCtr63396 (clientes registrados solamente) para más detalles.

Q. ¿Cómo marco si AnyConnect está conectado o no del prompt DOS en una máquina de Windows?

A. Complete estos pasos:

  1. En la máquina de Windows, haga clic el Start (Inicio) > Run (Ejecutar), teclean el cmd, y el tecleo ingresa para abrir la ventana de prompt de comando.

  2. Publique este comando en el CLI:

    C:\Program Files\Cisco\Cisco AnyConnect VPN Client> vpncli.exe state
    
    Cisco AnyConnect VPN Client (version 2.5.0193) beta.
    
    Copyright (c) 2004 - 2010 Cisco Systems, Inc. All Rights Reserved.
    
     >> state: Connected
     >> state: Connected
     >> registered with local VPN subsystem.
     >> state: Connected
     >> state: Connected

Q. ¿Puede la dirección IP asignada al cliente de AnyConnect ser lo mismo que el IP Address original del cliente el PC?

A. No. El ASA (por el diseño) asigna a los IP Address internos a todos los usuarios. Si usted ruteara el tráfico de nuevo a un usuario final sin un IP Address asignado, el ASA necesitaría ser el default gateway para todo en la red. Esto no sería realista de una perspectiva del diseño de red.

Q. ¿Es AnyConnect un cliente de la denuncia FIP?

A. Sí. Comenzando con la versión 2.4 de AnyConnect, es un cliente de la denuncia FIP. Le requiere comprar una licencia FIP para ir en el ASA. La licencia (por el ASA) le da el acceso a la Información requerida para tener una versión obediente FIP de AnyConnect. Refiera a los FIP y a la seguridad complementaria en la nueva política local de AnyConnect para más detalles.

Q. ¿El cliente VPN de AnyConnect soporta las funciones del DNS dividido?

A. Sí. Comenzando con la versión 3.0.4235, AnyConnect soporta las funciones verdaderas del DNS dividido para las máquinas de Windows y del mac. Refiera a la mejora de las funciones del DNS dividido para más detalles.

Q. ¿Qué puertos necesitan ser abiertos ambas maneras en un cliente para que AnyConnect funcione correctamente?

A. Para el 3.0 de AnyConnect, estos puertos necesitan ser permitidos:

TLS (SSL)          – TCP 443
SSL Redirection    – TCP 80   (optional)
DTLS               – UDP 443  (optional but HIGHLY recommended)
IPsec/IKEv2        – UDP 500, UDP 4500  (and the client services port used for SSL)
Legacy IPsec IKEv1 -  ESP mode – UDP 500, Protocol 50
IPsec/NAT-T  – UDP 500, UDP 4500
IPsec/TCP  – TCP XXX	 	(admin definable)
IPsec/UDP   – UDP 500, UDP XXX 	(admin definable) 

Para más información, refiera a la información de puerto para el cliente VPN de AnyConnect.

Q. ¿Qué atributos son señalados por el DAP cuando un cliente de AnyConnect conecta sin el soporte CSD y el CSD se habilita en el ASA?

A. Cuando el CSD no está disponible para una plataforma de AnyConnect, sino que el CSD se habilita en el ASA, AnyConnect realiza “puente CSD”. Cuando se realiza puente CSD, AnyConnect señala a éstos los atributos DAP:

endpoint.os.version = "MacOS" | "Palm WebOS" | "Linux" | "Pocket PC" | 
   "Apple Plugin" | "Unknown"
endpoint.feature = "failure"

El atributo plug-in de “Apple” está señalado para el iPad y el iPhone. La “palma WebOS” está señalada para los dispositivos que ejecutan WebOS, tal como la presión “Linux” de la palma está señalado para los escritorios de Linux y los clientes derivados Linux integrados (tales como el cliente del TelePresence del consumidor). El “Pocket PC” está señalado para los dispositivos de Windows Mobile. El “MacOS” está señalado para los dispositivos de Apple Mac. El “desconocido” está señalado para todos los otros dispositivos.

Por ejemplo, una traza DAP en un cliente del iPhone visualizará esta información:

DAP_TRACE: dap_add_to_lua_tree:endpoint["application"]
   ["clienttype"]="AnyConnect"
DAP_TRACE: dap_add_csd_data_to_lua:endpoint.feature="failure"
DAP_TRACE: dap_add_csd_data_to_lua:endpoint.os.version="Apple Plugin"

El atributo DAP para los dispositivos IOS se puede romper en algunas Versiones de ASA. Como consecuencia, si su trabajo, aseegurese que usted no se está ejecutando en el problema en el Id. de bug Cisco CSCtj46900 (clientes registrados solamente).

Q. ¿Cuáles de las cuatro clases de la protección (la clase A, B, C, o D) se utiliza para salvar los datos de AnyConnect (tales como credenciales de usuario, sesiones de VPN, etc) que se salva localmente en los dispositivos IOS de Apple?

A. El cliente de AnyConnect en el iPhone no salva los credenciales de usuario. Los Certificados digitales se salvan en el almacén CERT de Apple y se protegen vía Apple, no Cisco.

AnyConnect salva directamente los datos que es no sensible - tema actual, las configuraciones del programa piloto de URI, y los datos de la localización. AnyConnect no fija ninguna propiedades especial del cifrado para estos datos. El otro contenido (los perfiles, conectan los atributos, el etc) es todo dirigido vía Apple VPN API específicos. Según Apple, la configuración se salva en un .plist sin ninguna protección añadida (es decir, clase D).

Q. ¿AnyConnect en Android soporta la característica del Equilibrio de carga VPN?

A. Sí. Esta característica se soporta de AnyConnect para la versión 2.4 de Android. Para más detalles, refiera a esta tabla.

Mensajes de error

Q. La instalación del cliente VPN de AnyConnect falla con este mensaje de error: Error 1722. Hay un problema con este paquete del instalador de Windows. ¿Cómo puedo resolver este problema?

A. La instalación de AnyConnect falla con este error:

MSI (s) (D8:70) [14:59:10:750]: Product: Cisco AnyConnect VPN Client
-- Error 1722. There is a problem with this Windows Installer package

A program run as part of the setup did not finish as expected. Contact
 your support personnel or package vendor. Action VACon_Install,
	location: C:\Program Files\Cisco\Cisco AnyConnect VPN Client\VACon.exe, command:
	-install "C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnva.inf" VPNVA

El error 1722 es un código genérico para un error de la acción MSI. En este caso, según lo revelado en el registro MSI, el instalador del adaptador virtual ha fallado. Por lo tanto, usted necesita marcar si esta clave de registro esté presente o no: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Además, usted puede intentar una de estas acciones para resolver el problema:

  • Ejecute este comando para realizar una instalación reservada de AnyConnect:

    msiexec /quiet /norestart /i anyconnect.msi

  • Analice su registro para AnyConnect relacionó las claves falsas y las quitan.

Q. Los usuarios detrás de un proxy de Microsoft reciben este error cuando conectan con el concentrador VPN vía el cliente VPN SSL: No se soporta ningunos de los Protocolos de autenticación ofrecidos por el servidor proxy. ¿Cómo puedo resolver este problema?

A. Este mensaje de error significa generalmente que el servidor proxy está configurado para utilizar un mecanismo de autenticación que no es soportado por el SSL VPN Client.

AnyConnect trabajará en el modo SSL vía los proxys HTTPS (específicamente HTTPS 1.1). Además, los proxys de autenticidad que utilizan básico o el administrador de LAN de NT (NTLM) para la autorización pueden también ser utilizados. Se recomienda para utilizar el NTLM cuando usted utiliza el servidor proxy.

Proxy del Internet Explorer con el cliente VPN de AnyConnect

Si usted tiene el Internet Explorer configurado con un proxy, usted debe activar el uso HTTP 1.1 a través de las conexiones proxy que fijan para utilizar al cliente VPN de AnyConnect. Si esta opción no se fija, la conexión de cliente VPN de AnyConnect no sube.

En el Internet Explorer, elija la opción de Internet del menú Herramientas. Haga clic la ficha Avanzadas, y bajo configuraciones HTTP 1.1, las conexiones proxy directas del uso HTTP 1.1 del control.

¿Cómo esta configuración del Internet Explorer afecta a AnyConnect?

AnyConnect, como SVC, utiliza Internet de Windows (WinINet) para la conexión del PRE-túnel. Ésta es la conexión que se utiliza para realizar la autenticación y la transferencia iniciales de las actualizaciones. WinINet es la interfaz programática que el Internet Explorer también utiliza bajo cubiertas. WinINet expone la configuración vía el menú de opciones en el Internet Explorer. Uno de los elementos en este menú es utilizar http:1.1 sobre los proxys.

Por lo tanto, cuando el VPNDownloader conecta con el headend para realizar la validación, hace tan vía WinINet API. Ésta es parte de la operación del PRE-túnel que ocurre.

El túnel real de los datos ocurre sobre un canal diferente que no utilice WinINet, y es este canal diferente que sabe solamente sobre ProxyIP: ProxyTCPPort.

En fin, piense en el AnyConnect GUI/VPNDownloader y el lanzamiento del navegador como Extensiones del Internet Explorer con el propósito de negociar la conexión del túnel. Sin embargo, todos los datos del túnel se hacen vía un canal diferente que no utilice WinINet.

Q. Cuando intento instalar al cliente VPN de AnyConnect en la máquina de Windows, recibo este mensaje de error: Los privilegios de administrador se requieren instalar al cliente VPN. ¿Cómo puedo resolver este problema?

A. Intente una de estas soluciones alternativas para resolver este problema:

Q. El cliente VPN de AnyConnect descarga los más viejos perfiles cuando un nuevo perfil del mismo nombre del archivo está cargado al flash ASA. ¿Cómo puedo resolver este problema?

A. Publique el comando profile svc de recargar otra vez el caché (preferido). O usted puede copiar manualmente el perfil del disk0: para ocultar: /stc/profiles.

Alternativamente, cargar un diverso nombre del archivo para el nuevo perfil (tal como profile1.xml, profile2.xml, etc.) y asociar este nuevo nombre del archivo al grupo pondrán al día AnyConnect con la nueva información del perfil en su conexión siguiente.

Q. El software cliente VPN de AnyConnect causa un crash con este mensaje de error: El descargador del Cliente Cisco AnyConnect VPN ha encontrado un problema y necesita cerrarse. ¿Cómo puedo resolver este problema?

A. El error ocurre debido al driver biolsp.dll. Esto es un problema conocido con este driver. El error es resuelto poniendo al día al driver.

Q. Cuando intento conectar con la versión 2.4 del cliente VPN de AnyConnect, recibo este mensaje de error: Se ha encontrado un problema del certificado. Una conexión VPN no será establecida. ¿Cómo puedo resolver este problema?

A. Este error ocurre debido a un problema documentado en el Id. de bug Cisco CSCtb73337 (clientes registrados solamente). La versión de cliente 2.4 de AnyConnect no trabaja con el headend del Cisco IOS cuando se utiliza un certificado que no se confía en o hay discordancía en el nombre del host ingresado en el URL a ése al CN (Common Name) o a SAN (nombre alternativo sujeto) en el certificado del router del Cisco IOS.

AnyConnect 2.4 no puede conectar con el headend del Cisco IOS debido certificar verifica el error del fall.

Este problema se puede resolver con una de estas soluciones alternativas:

  • Aseegure que el certificado del router está confiado en (importación en el almacén de certificados) y después haga juego el CN/SAN en el certificado al del URL. Si no hay entrada DNS, después usted puede utilizar una entrada del DNS local poniendo al día el archivo de host para el nombre del host en el certificado.

  • Downgrade AnyConnect a una versión anterior: 2.3.

Q. Cuando conecto con el ASA con la versión 2.5 de AnyConnect en mi máquina de Linux, recibo este error: El paquete de AnyConnect en el gateway seguro no podía ser localizado. ¿Cómo puedo resolver este problema?

A. Verifique que usted cargara el paquete correcto de AnyConnect (para Linux) encendido al ASA y especificara esta imagen en la configuración del WebVPN. Utilice estos comandos de realizar estas tareas:

  • Copie el archivo de imagen:

    hostname#copy tftp flash
    
  • Especifique la prioridad de la imagen para utilizar para AnyConnect:

    hostname(config-webvpn)#svc image anyconnect-linux-2.X.XXXX-k9.pkg 1
    

Q. No puedo conectar con AnyConnect y recibo este error: ANYConnect no se habilita en el servidor VPN. ¿Cómo puedo resolver este problema?

A. El ANYConnect no se habilita en el mensaje de error del servidor VPN pudo ocurrir debido a estas razones:

  • Usted no ha cargado el archivo de paquete en el ASA.

  • La versión del archivo de paquete en el ASA es diferente de la versión del MSI (cliente VPN de AnyConnect) usado en el PC.

    Por ejemplo, usted puede ser que tenga el paquete para la versión 2.1 del cliente VPN de AnyConnect instalada en el ASA y tenga 2.3 MSI instalados en el PC. Las mismas versiones se deben utilizar en el ASA y el PC para evitar este problema.

Q. Cuando intento conectar con el cliente VPN de AnyConnect que usa al Internet Explorer 7, recibo este mensaje de error: La información de la revocación para el Security Certificate para este sitio no está disponible. ¿Usted quiere proceder? Hago clic el botón Yes Radio Button tres veces antes de que sale la ventana. ¿Por qué este error ocurre y cómo se resuelve?

A. La información de la revocación para el Security Certificate para este sitio no es mensaje de error disponible es generalmente debido a un problema con el certificado que usted está utilizando, así como al navegador que intenta la conexión. Significa generalmente que en su certificado usted hace el CRL Distribution Point HTTP o LDAP configurar y que configuran a su navegador para marcar esto, pero no puede alcanzarlo.

Para resolver este problema, verifique que la comprobación para la opción de la revocación del certificado de servidor (situada bajo las herramientas > la opción de Internet > la ficha Avanzadas > comprobación para la revocación del certificado de servidor (requiere el reinicio el navegador)) se desmarca. Si se marca la opción, desmarque la opción, y salve las configuraciones para resolver este problema.

Q. No puedo conectar con el cliente VPN de AnyConnect en Windows Vista después del sueño y se ha utilizado la característica del curriculum vitae. Recibo este mensaje de error en el AnyConnect GUI: El driver del cliente VPN ha encontrado un error. ¿Por qué este error ocurre y cómo se resuelve?

A. Este problema se documenta en el Id. de bug Cisco CSCsm60339 (clientes registrados solamente).

Para resolver este problema, reinicie el PC, e intente volver a conectar el túnel. La solución alternativa es aplicar el hotfix descrito en KB-952876leavingcisco.com .

Q. Recibí este mensaje de error: El certificado de servidor recibido o su encadenamiento no cumple con los FIP. ¿Cómo puedo resolver este problema?

A. Usted puede ser que reciba el mensaje de error durante un intento fallido de iniciar sesión al cliente de AnyConnect. Refiera a Anyconnect “el certificado de servidor recibido o su encadenamiento no cumple con los FIP para la información sobre cómo resolver este problema.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 107391