Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Технические примечания по устранению неполадок на ASA 8.x: VPN Client AnyConnect

22 сентября 2010 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (16 сентября 2011) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Процесс устранения неполадок
      Установка и проблемы с виртуальным адаптером
      Отключение или невозможность установления начального соединения
      Проблемы с проходящим трафиком
      Проблемы, связанные со сбоем AnyConnect
      Проблемы, связанные с фрагментацией/прохождением трафика
      Автоматическое удаление
      Проблемы, связанные с задержкой AnyConnect
AnyConnect: Проблемы, вызванные повреждением драйвера базы данных
      Восстановление
      Действия в случае неудачного восстановления
      Анализ базы данных
Сообщения об ошибках
      Ошибка: Не удается обновить базу данных управления сеансами
      Решение
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Этот сценарий устранения неполадок относится к приложениям, которые не работают через VPN-клиент Cisco AnyConnect.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Информация в этом документе относится к устройствам защиты ASA под управлением ПО версии 8.x.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Процесс устранения неполадок

Этот типичный сценарий устранения неполадок относится к приложениям, которые не работают через VPN-клиент Cisco AnyConnect, на компьютерах с операционной системой Microsoft Windows. В этих разделах рассматриваются и предоставляются решения следующих проблем:

Установка и проблемы с виртуальным адаптером

Выполните следующие действия.

  1. Получите файл журнала устройства:

    • Windows XP / Windows 2000:

      \Windows\setupapi.log
      
    • Windows Vista:

      Примечание. Необходимо отобразить скрытые файлы и папки, чтобы увидеть эти файлы.

      \Windows\Inf\setupapi.app.log 
          \Windows\Inf\setupapi.dev.log
      

    Если наблюдаются ошибки в файле журнала setupapi, можно активировать ведение подробного журнала на компьютере, установив значение 0x2000FFFF, как описано в этой статье базы знаний leavingcisco.com. Примечание. В статье говорится, что необходимо установить значение 0xFFFF, но если добавить к нему старшие разряды 0x2, то регистрация событий будет происходить быстрее.

  2. Получите файл журнала установщика MSI:

    В случае начального веб-развертывания файл журнала будет расположен во временной папке пользователя.

    • Windows XP / Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\
      
    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\
      

    В случае автоматического обновления файл журнала будет расположен во временной папке системы.

    \Windows\Temp
    

    Имя файла имеет следующий формат: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Получите самый последний файл для той версии клиента, которую необходимо установить. Значение x.xxxx будет изменяться в зависимости от номера версии, например, 2.0.0343, а значение yyyyyyyyyyyyyy представляет собой дату и время установки.

  3. Получите файл сведений о системе:

    1. В командной строке или окне DOS введите следующую команду:

      • Windows XP / Windows 2000:

        winmsd /nfo c:\msinfo.nfo
        
      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo
        

      Примечание. После ввода команды необходимо подождать некоторое время. Создание файла может занять от двух до пяти минут.

    2. Получение файла дампа сведений о системе из командной строки:

      Windows XP и Windows Vista:

      systeminfo c:\sysinfo.txt
      

См. AnyConnect: Проблемы, вызванные повреждением драйвера базы данных, чтобы отладить проблемы с драйвером.

Отключение или невозможность установления начального соединения

При наличии проблем с клиентом AnyConnect, связанных с подключением, например, отключение или невозможность установить начальное соединение, необходимо получить следующие файлы:

  • Файл конфигурации ASA, чтобы определить, не является ли неправильная конфигурация причиной проблем с соединением:

    В консоли ASA введите команду write net x.x.x.x:ASA-Config.txt, где x.x.x.x - IP-адрес TFTP-сервера в сети.

    ИЛИ

    В консоли ASA введите команду show running-config. Как только информация о конфигурации полностью отобразится на экране, вырежьте и вставьте ее в текстовый редактор, а затем сохраните.

  • Журналы событий ASA:

    1. Чтобы включить ведение журнала ASA для событий auth, webvpn, ssl и svc, выполните следующие команды CLI:

      config terminal 
      logging enable 
      logging timestamp 
      logging class auth console debugging 
      logging class webvpn console debugging 
      logging class ssl console debugging
      logging class svc console debugging
    2. Инициируйте сессию Anyconnect и убедитесь, что сбой можно воспроизвести. Скопируйте из консоли регистрируемые выходные данные в текстовый редактор и сохраните.

    3. Чтобы отключить регистрацию, воспользуйтесь командой no logging enable.

  • Журнал VPN-клиента Cisco AnyConnect из приложения Просмотр событий Windows на клиентском ПК:

    1. Последовательно выберите Пуск > Выполнить.

    2. Введите:

      eventvwr.msc /s
    3. Щелкните правой кнопкой мыши по журналу Cisco AnyConnect VPN Client и выберите команду "Сохранить файл журнала как" AnyConnect.evt.

      Примечание. Всегда сохраняйте его в формате .evt file.

Если пользователь не может соединиться с помощью VPN-клиента AnyConnect, проблема может быть связана с установленным сеансом RDP или с включенным режимом быстрого переключения пользователей на клиентском компьютере. Пользователь может увидеть сообщение об ошибке AnyConnect profile settings mandate a single local user, but multiple local users are currently logged into your computer. A VPN connection will not be established на своем клиентском компьютере. Чтобы решить эту проблему разорвите все установленные сеансы RDP и отключите быстрое переключение пользователей.

Если пользователь не может соединиться с помощью VPN-клиента AnyConnect к ASA, проблема может быть связана с несовместимостью версии клиента AnyConnect с версией образа программного обеспечения ASA. В этом случае пользователь увидит следующее сообщение об ошибке: .

The installer was not able to start the Cisco VPN client,
clientless access is not available

Для решения этой проблемы необходимо сменить версию клиента AnyConnect на ту, что совместима с образом ПО ASA. Для проверки совместимости обратитесь к разделу Устройства защиты и поддерживаемое ПО документа Примечание к выпуску клиента AnyConnect.

Если пользователь не может соединиться с помощью VPN-клиента AnyConnect со своего компьютера, проблема может заключаться в антивирусном программном обеспечении, установленном на ПК.

При первом входе в AnyConnect сценарий входа не выполняется. При отключении и повторном входе сценарии начинают выполняться. Это ожидаемое поведение.

Проблемы с проходящим трафиком

При выявлении проблем, связанных с прохождением трафика через модуль ASA в частную сеть с помощью сеанса AnyConnect , выполните следующие шаги, предназначенные для сбора необходимых данных:

  1. Выполните в консоли команду ASA show vpn-sessiondb detail svc filter name , при этом если в выводимых данных будет присутствовать Filter Name: XXXXX, то выполните команду show access-list XXXXX. Убедитесь, что список доступа XXXXX не блокирует необходимый трафик.

  2. Экспортируйте статистические данные Anyconnect, последовательно выполнив следующие действия: AnyConnect VPN Client > Statistics > Details > Export (AnyConnect-ExportedStats.txt).

  3. Проверьте файл конфигурации ASA на наличие выражения nat. Если NAT включен, данные, возвращаемые клиенту, должны быть исключены из преобразования NAT. В качестве примера, показывающего как исключить из преобразования NAT (nat 0) IP-адреса из пула адресов AnyConnect, используйте следующие команды:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out
  4. Определите, следует ли разрешить настройку туннельного шлюза по умолчанию. Традиционным шлюзом по умолчанию является шлюзом последней очереди для нерасшифрованного трафика.

    Пример

    
    !--- Route outside 0 0 is an incorrect statement.
    
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled
    

    Например, если VPN-клиенту необходимо получить доступ к ресурсу, адрес которого не включен в таблицу маршрутизации шлюза VPN, то пакет будет направлен к стандартному шлюзу по умолчанию. Шлюзу VPN не нужна заполненная внутренняя таблица маршрутизации, чтобы выполнить эту операцию. В данном случае можно использовать ключевое слово tunneled.

Вопросы, связанные со сбоем AnyConnect

Выполните следующие шаги для сбора данных.

  1. Убедитесь, что служебная программа Microsoft Dr Watson работает. Для этого перейдите Пуск > Выполнить и запустите Drwtsn32.exe. Выполните следующие настройки и нажмите кнопку OK:

    Number of Instructions      : 25
    Number of Errors To Save    : 25
    Crash Dump Type             :  Mini 
    Dump Symbol Table           : Checked
    Dump All Thread Contexts    : Checked
    Append To Existing Log File : Checked
    Visual Notification         : Checked
    Create Crash Dump File      : Checked

    После того как произойдет сбой, соберите файлы .log и .dmp из папки C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. При возникновении сообщения о том, что файлы используются другим приложением, воспользуйтесь приложением ntbackup.exe.

  2. Получите файл журнала VPN-клиента Cisco AnyConnect из приложения "Просмотр событий" Windows на клиентском ПК:

    1. Последовательно выберите Пуск > Выполнить.

    2. Введите:

      eventvwr.msc /s
    3. Щелкните правой кнопкой мыши по журналу Cisco AnyConnect VPN Client и выберите команду "Сохранить файл журнала как" AnyConnect.evt.

      Примечание. Всегда сохраняйте его в формате .evt file.

Вопросы, связанные с фрагментацией / прохождением трафика

Некоторые приложения, например, Microsoft Outlook, не работают, но туннель может пропускать другой трафик, например, маленькие ICMP-пакеты, генерируемые командой ping.

Это может послужить ключом к определению проблемы, связанной с фрагментацией сети. Маршрутизаторы, используемые пользователями, обладают ограниченными возможностями по фрагментации и сборки пакетов.

Попробуйте изменять размер ping-пакета, чтобы увидеть, при каком значении возникнет сбой. Например, ping –l 500, ping –l 1000, ping –l 1500, ping –l 2000.

Рекомендуется выделить в отдельную группу пользователей, испытывающих проблемы с фрагментацией, и установить значение svc mtu для этой группы равное 1200. Это позволит восстановить нормальную работу пользователей, испытывающих проблемы, но не повлияет на остальных пользователей.

Автоматическое удаление

Проблема.

VPN-клиент AnyConnect начинает автоматически удалять себя сразу после завершения соединения.

В журнале клиента видно, что параметр "keep installed" имеет значение "disabled".

Решение.

Anyconnect удаляет себя, несмотря на то, что установлен параметр keep installed в ASDM. Чтобы устранить эту проблему, задайте настройки командой svc keep-installer installed с помощью групповой политики.

Вопросы, связанные с задержкой AnyConnect

Проблема.

Наблюдаются задержки в VPN-клиенте AnyConnect.

Решение.

Протокол DTLS (Datagram Transport Layer Security) позволяет избежать проблем, вызванных задержками и полосой пропускания, связанными с некоторыми SSL-соединениями, включая соединения AnyConnect, а также улучшает производительность приложений, работающих в режиме реального времени, чувствительных к задержкам пакетов. Протокол DTLS позволяет клиенту AnyConnect, устанавливающему VPN SSL-соединение, одновременно использовать два туннеля: SSL и DTLS. Использование протокола DTLS позволяет избежать проблем, вызванных задержками и полосой пропускания, связанными с некоторыми SSL-соединениями, а также позволяет улучшить производительность приложений, работающих в режиме реального времени, чувствительных к задержкам пакетов. Протокол DTLS основан на стандартах протокола SSL, предоставляющего трак передачи данных с низкими задержками, использующего протокол UDP. Можно разрешить использование протокола DTLS с помощью команды svc dtls enable:

hostname(config)# group-policy sales attributes

hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# svc dtls enable

AnyConnect: Проблемы, вызванные повреждением драйвера базы данных

Следующая запись в файле "SetupAPI.log" может указать на возможное повреждение системного каталога:

W239 список классов подписывания драйверов " C:\WINDOWS\INF\certclas.inf" отсутствует или имеет неправильный формат. Ошибка 0xfffffde5: Неизвестная ошибка. Предполагается, что все классы устройств подчиняются политике подписывания драйвера.

Также может появиться следующее сообщение об ошибке и запись в журнале:

Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue"

И следующая запись в журнале клиента:

"The VPN client driver has encountered an error"

Восстановление

Эта проблема имеет идентификатор ошибок Cisco CSCsm54689 (доступно только для зарегистрированных клиентов). Для решения этой проблемы перед запуском AnyConnect необходимо убедиться, что служба маршрутизации и удаленного доступа остановлена. Если эти действия не решили проблему, выполните следующие шаги.

  1. Откройте командную строку, используя учетную запись администратора ПК (запустите от имени администратора в ОС Vista).

  2. Выполните команду net stop CryptSvc.

  3. Выполните команду esentutl /p %systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb.

  4. При возникновении запроса нажмите OK , чтобы выполнить попытку восстановления.

  5. Выйдите из командной строки.

  6. Перезагрузите.

Действия в случае неудачного восстановления

В случае неудачного восстановления выполните следующие действия.

  1. Откройте командную строку, используя учетную запись администратора ПК (запустите от имени администратора в ОС Vista).

  2. Выполните команду net stop CryptSvc.

  3. Переименуйте папку %WINDIR%\system32\catroot2 to catroot2_old.

  4. Выйдите из командной строки.

  5. Перезагрузите.

Анализ базы данных

Можно в любой момент проанализировать базу данных с целью выявления ошибок.

  1. Откройте командную строку, используя учетную запись администратора ПК.

  2. Выполните команду esentutl /g %systemroot%\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb.

    Дополнительные сведения см. в документе Целостность базы данных системного каталога.

Сообщения об ошибках

Ошибка: Не удается обновить базу данных управления сеансами

В то время как установлено соединение VPN SSL через веб-браузер, возникло сообщение об ошибке Unable to Update the Session Management Database., а в журнале ASA показано %ASA-3-211001: Ошибка выделения памяти.

Решение

Эта проблема имеет идентификатор ошибок Cisco CSCsm51093 (доступно только для зарегистрированных клиентов). Чтобы решить эту проблему, перезагрузите ASA или обновите ПО ASA до промежуточной версии, указанной в сообщении об ошибке. Для получения дополнительных свдений обратитесь к описанию проблемы с идентификатором ошибки CSCsm51093 (доступно только для зарегистрированных клиентов).


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 100597