Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Техническое примечание к разделу по устранению неполадок ASA Clientless SSL VPN (WebVPN)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ перечисляет VPN SSL без клиента (WebVPN) методики поиска и устранения проблем, принятые для версий ASA 7.1, 7.2, и 8.0. Существуют значительные продвижения между этими версиями, которые требуют, чтобы были приняты различные методики поиска и устранения проблем.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на ASA серии 5500 Cisco, который работает под управлением ПО версии 7.1 или выше.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Устранение неисправностей

Предпосылка для устранения проблем соединений VPN SSL без клиента (WebVPN) на ASA должна получить видимость и в клиентский опыт через снимки экрана и в программные средства перехвата HTML и затем сравнить это с той же информацией, когда связано непосредственно к URL/Приложению, к которому обращаются.

Безклиентая Версия ASA 7.1/7.2

В этом разделе описываются методики поиска и устранения проблем для Версий ASA 7.1/7.2 и все промежуточные периоды до, но не включая, эти 8.0 выпусков.

В этом выпуске, если сложные функции Java/Javascript испытывают затруднения, можно было бы рассмотреть другие опции (такие как переадресация портов доступа к приложению или использование обхода прокси). См. Доступ к приложению Настройки и Использование Обхода Прокси для получения дополнительной информации об этих альтернативах.

В большинстве сценариев, если URL, к которому обращаются через сбои VPN SSL без клиента для Internet Explorer, это также откажет для другого браузера.

Чтобы гарантировать, что это не зависит от клиентского компьютера или операционной системы, используйте другого клиента от другого местоположения. Использование IPsec или VPN-клиента SSL (SVC) может также быть протестировано.

Гарантируйте, что ASA включен в браузер Зона, которой Доверяют, как описано во Включении Cookie на Браузерах для WebVPN и что в cookie включают, как описано, Включают Cookie.

Если процесс все еще отказывает, выполните эти шаги, чтобы собрать необходимую информацию, и затем открыть кэйс ТАС (Центра технической поддержки).

  1. Очистите кэш-память обозревателя, как описано в Ясном Кэш-память обозревателя.

  2. Очистите кэш Java, как описано в Ясном Кэш Java.

  3. Отключите кэш WebVPN на ASA, как описано в Кэшировании Настройки.

  4. Если приложение Java присутствует, используйте уровень отладки 5 в окне апплета, как описано в, Включают Параметры отладки приложения Java.

  5. Войдите в ASA через VPN SSL без клиента.

  6. В URL только до проблематичного URL, включите программное средство перехвата HTML в браузере, как описано в, Включают Программные средства Перехвата HTML.

  7. Перехватите последовательность от этой точки до проблематичного URL.

  8. Нажмите Ctrl+Print Screen на своей клавиатуре для получения снимка экрана.

  9. Остановите программное средство перехвата HTML.

  10. Выполните те же шаги 1 - 9, когда вы соединяетесь непосредственно с URL или через IPsec или через сеанс VPN SSL через ASA или непосредственно соединяетесь на одинаковом сегменте локальной сети (если возможный), и передайте данные к TAC для анализа.

Безклиентая версия ASA 8.0

В этом разделе описываются методики поиска и устранения проблем, используемые для Версий ASA 8.0 и все промежуточные периоды.

В этом выпуске, если сложные URL или приложения испытывают затруднения через VPN SSL без клиента, другие опции (такие как использование шикарных туннелей) являются мощной альтернативой. См. Настройку Умный Туннельный Доступ для получения дополнительной информации о шикарных туннелях.

Вы могли бы также рассмотреть переадресацию портов доступа к приложению или использование обхода прокси. См. Доступ к приложению Настройки и Использование Обхода Прокси для получения дополнительной информации об этих альтернативах.

В большинстве сценариев, если URL, к которому обращаются через сбои VPN SSL без клиента для Internet Explorer, это также откажет для другого браузера.

Чтобы гарантировать, что это не зависит от клиентского компьютера или операционной системы, используйте другого клиента от другого местоположения. Использование IPsec или VPN-клиента SSL (SVC) может также быть протестировано.

Гарантируйте, что ASA включен в браузер Зона, которой Доверяют, как описано во Включении Cookie на Браузерах для WebVPN и что в cookie включают, как описано, Включают Cookie.

Если приложение испытывает проблему с безклиентым механизмом преобразования контента (CTE/переписатель), можно модифицировать закладку для того приложения для включения Умной опции Tunnel как показано в этом образе:

ssl_clientless_trouble_20.gif

Включение этой опции для закладки не требует дополнительной настройки. Подобный переадресации портов, это - другая удобная опция для нажатия закладки для открытия нового окна, которое использует шикарный туннель, чтобы передать трафик приложения и избежать проблем перезаписи.

Когда вы используете эту функцию для TCP Winsock 32 приложения (такие как RDP), администратор обязан определять процесс (процессы), который будет использоваться через шикарные туннели. Например, RDP использует процесс mstsc.exe; простая умная туннельная запись может быть создана для этого процесса.

Более сложные приложения могут породить множественные процессы. Из страницы портала WebVPN выберите панель Доступа к приложению. Как только это загружается, список позволенных приложений в состоянии соединиться с частной стороной сети.

Если процесс все еще отказывает, выполните эти шаги, чтобы собрать необходимую информацию, и затем открыть кэйс ТАС (Центра технической поддержки).

  1. Очистите кэш-память обозревателя, как описано в Ясном Кэш-память обозревателя.

  2. Очистите кэш Java, как описано в Ясном Кэш Java.

  3. Отключите кэш WebVPN на ASA, как описано в Кэшировании Настройки.

  4. Если приложение Java присутствует, используйте уровень отладки 5 в окне апплета, как описано в, Включают Параметры отладки приложения Java.

  5. Войдите в ASA через VPN SSL без клиента.

  6. В URL только до проблематичного URL, включите программное средство перехвата HTML в браузере, как описано в, Включают Программные средства Перехвата HTML.

  7. Перехватите последовательность от этой точки до проблематичного URL.

  8. Нажмите Ctrl+Print Screen на своей клавиатуре для получения снимка экрана.

  9. Остановите программное средство перехвата HTML.

  10. Выполните шаги 1 - 9, когда вы соединяетесь непосредственно с URL или через IPsec или через Любой сеанс SSL Подключения через ASA или непосредственно соединяетесь на одинаковом сегменте локальной сети (если возможный), выполните эти шаги и передайте данные к TAC для анализа

Процедуры

Добавьте ASA как надежный узел

Если узел не будет включен как надежный узел, при доступе к ASA в Internet Explorer вы получите ошибку сертификата.

ssl_clientless_trouble_05.gif

Выполните эти шаги для добавления ASA как надежного узла:

  1. В Проводнике Interent выберите Tools> Internet Options.

  2. Нажмите Вкладку Безопасность и выберите узлы Trused.

    ssl_clientless_trouble_06.gif

  3. Нажмите Sites.

  4. Добавьте https://адрес ASA и нажмите Add.

    ssl_clientless_trouble_07.gif

  5. Как только узел добавлен, значок Надежных узлов появляется в строке состояния Internet Explorer.

    ssl_clientless_trouble_08.gif

Примечание: См. Работу с Internet Explorer 6 Параметров безопасности leavingcisco.com для получения дальнейшей информации об этой процедуре.

Включите cookie

Выполните эти шаги для включения cookie:

  1. В Internet Explorer выберите Сервис > Свойства обозревателя.

  2. Нажмите вкладку Privacy, и затем нажмите Advanced.

    ssl_clientless_trouble_01.gif

  3. В диалоговом окне Advanced Privacy Settings проверьте Замену автоматический флажок обработки cookie, нажмите кнопку с зависимой фиксацией Accept и нажмите OK.

    ssl_clientless_trouble_02.gif

Очистите кэш-память обозревателя

Выполните эти шаги для очистки кэша для Internet Explorer:

  1. В Internet Explorer выберите Сервис > Свойства обозревателя.

    ssl_clientless_trouble_09.gif

  2. На Вкладке Общие нажмите Delete в Просматривающем разделе истории.

    ssl_clientless_trouble_10.gif

  3. Нажмите Delete All.

    ssl_clientless_trouble_11.gif

  4. Проверьте, Также удаляют файлы и параметры настройки, сохраненные дополнительным флажком, и нажимают Yes.

  5. Как только кэш очищен, завершил работу всех экземпляров браузера и перезапускает браузер.

Примечание: Для очистки кэша для других браузеров обратитесь к тому, Как я очищаю кэш своего браузера (для улучшения его производительности)? leavingcisco.com

Очистите кэш Java

Выполните эти шаги для очистки кэша Java:

  1. Выберите Control Panel из меню Пуск Windows.

  2. Дважды нажмите Java.

    ssl_clientless_trouble_12.gif

  3. Нажмите Settings.

  4. Нажмите Delete Files.

    ssl_clientless_trouble_13.gif

Примечание: См. то, Как я очищаю свой кэш Java? leavingcisco.com для получения дополнительной информации об этой процедуре.

Включите параметры отладки приложения Java

Выполните эти шаги для включения параметра отладки приложения Java:

  1. Гарантируйте, что выше включен Java 1.4 или:

    1. Выберите Control Panel из меню Пуск Windows.

    2. Дважды нажмите Java.

    3. Нажмите About и проверьте номер версии.

    ssl_clientless_trouble_14.gif

    ssl_clientless_trouble_15.gif

    Примечание: Можно загрузить обновления Java от http://java.com/en/ leavingcisco.com.

  2. Гарантируйте, что Java настроен, чтобы позволить отследить, показать консоль и установить Microsoft Internet Explorer как обозреватель по умолчанию как показано в этом образе:

    ssl_clientless_trouble_16.gif

  3. Гарантируйте, что кэш Java очищен, как описано в Ясном Кэш Java.

  4. В Internet Explorer выберите Tools> Java Console для открытия окна отладки Java.

    ssl_clientless_trouble_19.gif

  5. Как только окно отладки Консоли java открыто, нажмите 5 для установки уровня трассировки

    Когда к URL обращаются, который содержит приложение Java, действие перехвачено в этом окне.

  6. Нажмите Copy для копирования информации.

Включите программные средства перехвата HTML

Много других программных средств перехвата HTML доступны сборам данных, некоторые из которых были перечислены здесь. Установите одно из этих программных средств перехвата HTML на клиентский компьютер, который используется для, осуществление сбора данных:

Примечание: Это процедуры использует приложение HTTPWatch.

Как только приложение установлено, выполните эти шаги:

  1. Нажмите Shift+P+F+2 или нажмите значок в окне браузера для включения HTTPWatch.

    ssl_clientless_trouble_03.gif

  2. Как только приложение включено, окно кажется встроенным у основания окна браузера, подобного этому образу:

    ssl_clientless_trouble_04.gif
  3. Нажмите Record чтобы к записи данных; нажмите Stop, чтобы прекратить делать запись.

Примечание: Рекомендуется использовать HttpWatch 7.x для записи данных.


Дополнительные сведения


Document ID: 104298