Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Телефон AnyConnect VPN - IP-телефоны, ASA и устранение проблем CUCM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает, как решить проблемы с IP-телефонами, которые используют протокол Уровня защищенных сокетов (SSL) (защищенный мобильный клиент Cisco AnyConnect Secure Mobility) для соединения с устройством адаптивной защиты Cisco (ASA), который используется в качестве Шлюза VPN и для соединения с Cisco Unified Communications Manager (CUCM), который используется в качестве голосового сервера.

Для примеров конфигурации AnyConnect с телефонами VPN обратитесь к:

Внесенный Уолтером Лопесом и Эдуардо Салазаром, специалистами службы технической поддержки Cisco.

Требования

Перед развертыванием VPN SSL с IP-телефонами подтвердите соответствие этим начальным требованиям для лицензий AnyConnect на ASA и на экспорт США ограниченная версия CUCM.

Подтвердите лицензию телефона VPN на ASA

Лицензия телефона VPN активирует опцию в ASA. Для подтверждения количества пользователей, которые могут соединиться с AnyConnect (является ли это IP-телефоном), проверьте AnyConnect Premium Лицензия SSL. Обратитесь к тому, Какая Лицензия ASA Необходима для IP-телефона и Мобильных VPN-подключений? для получения дальнейшей информации.

На ASA используйте команду Show version, чтобы проверить, активирована ли опция. Название лицензии не соглашается с выпуском ASA:

  • Выпуск 8.0 ASA. x : название лицензии является AnyConnect для Телефона Linksys.
  • Выпуск 8.2.x ASA и позже: название лицензии является AnyConnect для Телефона VPN Cisco.

Это - пример для Выпуска 8.0 ASA. x :

ASA5505(config)# sh ver

Cisco Adaptive Security Appliance Software Version 8.0(5)
Device Manager Version 7.0(2)
<snip>
Licensed features for this platform:
VPN Peers : 10
WebVPN Peers : 2
AnyConnect for Linksys phone : Disabled
<snip>
This platform has a Base license.

Это - пример для Выпуска 8.2.x ASA и позже:

ASA5520-C(config)# sh ver

Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 7.1(1)
<snip>
Licensed features for this platform:
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
<snip>
This platform has an ASA 5520 VPN Plus license.

Ограниченный экспорт и экспортирует неограниченный CUCM

Необходимо развернуться, экспорт США ограничил версию CUCM для функции телефона VPN.

При использовании экспорта США неограниченная версия CUCM обратите внимание что:

  • Конфигурации безопасности IP-телефона модифицируются для отключения шифрования сигнализации и шифрования носителей; это включает шифрование, предоставленное функцией телефона VPN.
  • Вы не можете экспортировать подробные данные VPN через Импорт/Экспорт.
  • Флажки для Профиля VPN, Шлюза VPN, Группы VPN и Конфигурации Функции VPN не отображены.

Примечание: Как только вы обновляете к неограниченной версии экспорта США CUCM, вы не можете обновить позже к или выполнить новую установку, экспорт США ограничил версию этого программного обеспечения.

Общие проблемы на ASA

Примечания:

Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Сертификаты для использования на ASA

На ASA можно использовать самоподписанные сертификаты SSL, сторонние сертификаты SSL и сертификаты подстановочного знака; любой из них защищает связь между IP-телефоном и ASA.

Только один сертификат идентификации может использоваться, потому что только один сертификат может быть назначен на каждый интерфейс.

Для сторонних сертификатов SSL установите завершенную цепочку в ASA и включайте любое промежуточное звено и корневые сертификаты.

Точка доверия/Сертификат для Экспорта ASA и Импорта CUCM

Сертификат, который ASA представляет IP-телефону во время согласования SSL, должен быть экспортирован от ASA и импортирован в CUCM. Проверьте точку доверия, назначенную на интерфейс, с которым IP-телефоны соединяются для знания который сертификат экспортировать от ASA.

Используйте выполненную команду ssl показа для подтверждения точки доверия (сертификат), который будет экспортироваться. Обратитесь к Телефону AnyConnect VPN с Примером настройки аутентификации сертификата для получения дополнительной информации.

Примечание: При развертывании стороннего сертификата на одном или более ASA можно также экспортировать Корневой сертификат CA, который разделен между всеми межсетевыми экранами; как только вы делаете это, вы не должны экспортировать каждый Сертификат идентификации для каждого ASA и затем импортировать его к CUCM.

Внешняя база данных для аутентификации пользователей IP-телефона

Можно использовать внешнюю базу данных для аутентификации Пользователей IP-телефона. Протоколы как Протокол LDAP или Cервис RADIUS могут использоваться для аутентификации телефонных пользователей VPN.

Соответствия хэша сертификата между сертификатом ASA и списком доверия телефона VPN

Помните, что необходимо загрузить сертификат, который назначен на интерфейс SSL ASA, и загрузите его как ТЕЛЕФОННЫЙ ТРАСТОВЫЙ VPN Сертификат в CUCM. Другие обстоятельства могли бы заставить хэш для этого сертификата, представленного ASA не совпадать с хэшем, который сервер CUCM генерирует и выдвигает к телефону VPN через файл конфигурации.

Как только конфигурация завершена, протестируйте VPN-подключение между IP-телефоном и ASA. Если связь продолжит прерываться, проверьте, совпадает ли хэш сертификата ASA с хэшем, то IP-телефон ожидает:

  1. Проверьте хэш Защищенного алгоритма хэширования 1 (SHA1), представленный ASA.
  2. Используйте TFTP для загрузки файла Настройки IP-телефона от CUCM.
  3. Декодируйте хэш от шестнадцатеричного для базирования 64 или от ядра 64 к шестнадцатеричному.

Проверьте хэш SHA1

ASA представляет сертификат, примененный с ssl командой точки доверия на интерфейс, с которым соединяется IP-телефон. Для проверки этого сертификата откройте браузер (в данном примере, Firefox), и введите URL (URL группы), с которым должны соединяться телефоны:

116162-trouble-anyconnect-vpn-phone-01.jpg

Файл настройки IP-телефона загрузок

От ПК с прямым доступом к CUCM загрузите файл config TFTP для телефона с проблемами с подключением. Два метода загрузок:

  • Откройте интерфейс командной строки (CLI) в Windows и используйте tftp-i <TFTP Server> SEP GET <Телефонный Мак адрес> .cnf.xml команда.
  • Используйте приложение как загрузки Tftpd32to файл:

    116162-trouble-anyconnect-vpn-phone-02.jpg

Как только файл загружен, откройте XML и найдите vpnGroup конфигурацию. Данный пример показывает раздел и certHash, который будет проверен:

<vpnGroup>
<mtu>1290</mtu>
<failConnectTime>30</failConnectTime>
<authMethod>2</authMethod>
<pswdPersistent>0</pswdPersistent>
<autoNetDetect>0</autoNetDetect>
<enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.198.16.140/VPNPhone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>5X6B6plUwUSXZnjQ4kGM33mpMXY=</certHash1>
</credentials>
</vpnGroup>

Декодируйте хэш

Подтвердите это оба соответствия значений хеш-функции. Браузер представляет хэш в шестнадцатеричном формате, в то время как использование XML-файла базирует 64, поэтому преобразовывает один формат в другой для подтверждения соответствия. Существует много доступных переводчиков; одним примером является ПЕРЕВОДЧИК, ДВОИЧНЫЕ ФАЙЛЫ .

116162-trouble-anyconnect-vpn-phone-03.jpg

Примечание: Если предыдущее значение хеш-функции не совпадает, телефон VPN не доверяет соединению, о котором выполняют согласование с ASA и сбоями соединения.

Распределение нагрузки VPN и IP-телефоны

Распределенная нагрузку VPN SSL не поддерживается для телефонов VPN. Телефоны VPN не выполняют реальную проверку достоверности сертификата, но вместо этого используют хэши, оттолкнутые CUCM для проверки серверов. Поскольку распределение нагрузки VPN является в основном перенаправлением HTTP, оно требует, чтобы телефоны проверили несколька серверов сертификатов, который приводит к сбою. Признаки сбоя распределения нагрузки VPN включают:

  • Телефон чередуется между серверами и исключительно занимает много времени для соединения или в конечном счете сбои.
  • Телефонные журналы содержат сообщения, такие как они:

    909: NOT 20:59:50.051721 VPNC: do_login: got login response
    910: NOT 20:59:50.052581 VPNC: process_login: HTTP/1.0 302 Temporary moved
    911: NOT 20:59:50.053221 VPNC: process_login: login code: 302 (redirected)
    912: NOT 20:59:50.053823 VPNC: process_login: redirection indicated
    913: NOT 20:59:50.054441 VPNC: process_login: new 'Location':
    /+webvpn+/index.html
    914: NOT 20:59:50.055141 VPNC: set_redirect_url: new URL
    <https://xyz1.abc.com:443/+webvpn+/index.html>

CSD и IP-телефоны

В настоящее время, когда CSD включен для туннельной группы или глобально в ASA, IP-телефоны не поддерживают Cisco Secure Desktop (CSD) и не соединяются.

Во-первых, подтвердите, включили ли ASA CSD. Всем заправляйте выполненная команда webvpn в CLI ASA:

ASA5510-F# show run webvpn
webvpn
enable outside
csd image disk0:/csd_3.6.6210-k9.pkg
csd enable

anyconnect image disk0:/anyconnect-win-3.1.00495-k9.pkg 1
anyconnect enable
ASA5510-F#

Для проверки проблем CSD во время соединения IP-телефона проверьте журналы или отладки в ASA.

Журналы ASA

%ASA-4-724002: Group <VPNPhone> User <Phone> IP <172.6.250.9> WebVPN session not 
terminated. Cisco Secure Desktop was not running on the client's workstation.

Отладки ASA

debug webvpn anyconnect 255
<snip>
Tunnel Group: VPNPhone, Client Cert Auth Success.
WebVPN: CSD data not sent from client
http_remove_auth_handle(): handle 24 not found!
<snip>

Примечание: В больших развертываниях с высокой нагрузкой пользователей AnyConnect Cisco рекомендует не включить debug webvpn anyconnect. Его выходные данные не могут быть фильтрованы IP-адресом, таким образом, могло бы быть создано большое количество информации.

В Версии ASA 8.2 и позже, необходимо примениться без - csd команда под атрибутами webvpn туннельной группы:

tunnel-group VPNPhone webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/VPNPhone enable
without-csd

В предыдущих версиях ASA это не было возможно, таким образом, единственный обходной путь должен был отключить CSD глобально.

В Cisco Adaptive Security Device Manager (ASDM) можно отключить CSD для определенного профиля подключения как показано в данном примере:

116162-trouble-anyconnect-vpn-phone-04.jpg

Примечание: Используйте URL группы для выключения функции CSD.


Правила DAP

Большинство развертываний не только подключает IP-телефоны с ASA, но также и подключает различные типы машин (Microsoft, Linux, Mac OS) и мобильные устройства (Android, iOS). Поэтому это обычно для обнаружения существующей конфигурации правил политики динамического доступа (DAP), где большую часть времени Действие по умолчанию под DfltAccessPolicy является завершением соединения.

Если это верно, создайте отдельное правило DAP для телефонов VPN. Используйте определенный параметр как Профиль подключения и заставьте действие Продолжаться:

116162-trouble-anyconnect-vpn-phone-05.jpg

Если вы не создаете определенную политику DAP для IP-телефонов, ASA показывает соответствие под DfltAccessPolicy и сбой подключения:

%ASA-6-716038: Group <DfltGrpPolicy> User <CP-7962G-SEP8CB64F576113> IP 
<172.16.250.9> Authentication: successful, Session Type: WebVPN.
%ASA-7-734003: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9: Session
Attribute aaa.cisco.grouppolicy = GroupPolicy_VPNPhone
<snip>
%ASA-6-734001: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9,
Connection AnyConnect: The following DAP records were selected for this
connection: DfltAccessPolicy
%ASA-5-734002: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9: Connection
terminated by the following DAP records: DfltAccessPolicy

Как только вы создаете определенную политику DAP для IP-телефонов с набором действия для Продолжения, вы в состоянии соединиться:

%ASA-7-746012: user-identity: Add IP-User mapping 10.10.10.10 - 
LOCAL\CP-7962G-SEP8CB64F576113 Succeeded - VPN user
%ASA-4-722051: Group <GroupPolicy_VPNPhone> User <CP-7962G-SEP8CB64F576113> IP
<172.16.250.9> Address <10.10.10.10> assigned to session
%ASA-6-734001: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9,
Connection AnyConnect: The following DAP records were selected for this
connection: VPNPhone

Наследованные значения от DfltGrpPolicy или других групп

Во многих случаях DfltGrpPolicy установлен с несколькими опциями. По умолчанию эти параметры настройки наследованы для сеанса IP-телефона, пока они вручную не заданы в групповой политике, которую должен использовать IP-телефон.

Некоторые параметры, которые могли бы влиять на соединение, если они наследованы от DfltGrpPolicy:

  • блокировка группы (Group Lock)
  • vpn-tunnel-protocol
  • vpn-simultaneous-logins
  • vpn-filter

Предположите, что у вас есть конфигурация данного примера в DfltGrpPolicy и GroupPolicy_VPNPhone.

group-policy DfltGrpPolicy attributes
vpn-simultaneous-logins 0
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless
group-lock value DefaultWEBVPNGroup
vpn-filter value NO-TRAFFIC

group-policy GroupPolicy_VPNPhone attributes
wins-server none
dns-server value 10.198.29.20
default-domain value cisco.com

Соединение наследовало параметры от DfltGrpPolicy, которые не были явно заданы под GroupPolicy_VPNPhone и выдвигают всю информацию к IP-телефону во время соединения.

Для предотвращения этого вручную задайте значение (я), которого вы требуете непосредственно в группе:

group-policy GroupPolicy_VPNPhone internal
group-policy GroupPolicy_VPNPhone attributes
wins-server none
dns-server value 10.198.29.20
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
group-lock value VPNPhone
vpn-filter none
default-domain value cisco.com

Для проверки значений по умолчанию DfltGrpPolicy используйте показ выполняет всю команду групповой политики; данный пример разъясняет различие между выходными данными:

ASA5510-F# show run group-policy DfltGrpPolicygroup-policy DfltGrpPolicy 
attributes dns-server value 10.198.29.20 10.198.29.21 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless default-domain value cisco.comASA5510-F#

ASA5510-F# sh run all group-policy DfltGrpPolicygroup-policy DfltGrpPolicy
internal
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server value 10.198.29.20 10.198.29.21
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
ipv6-vpn-filter none
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

Вот выходные данные групповой политики, наследовали атрибуты через ASDM:

116162-trouble-anyconnect-vpn-phone-06.jpg

Поддерживаемые шифры шифрования

Телефон AnyConnect VPN протестировал с 7962G, IP-телефон и версия микропрограммы 9.1.1 поддерживают только два шифра, которые являются оба Расширенным стандартом шифрования (AES): AES256-SHA и AES128-SHA. Если корректные шифры не заданы в ASA, соединение отклонено как показано в журнале ASA:

%ASA-7-725010: Device supports the following 2 cipher(s).
%ASA-7-725011: Cipher[1] : RC4-SHA
%ASA-7-725011: Cipher[2] : DES-CBC3-SHA
%ASA-7-725008: SSL client outside:172.16.250.9/52684 proposes the following
2 cipher(s).
%ASA-7-725011: Cipher[1] : AES256-SHA
%ASA-7-725011: Cipher[2] : AES128-SHA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no
shared cipher

Подтвердить ASA включили корректные шифры, проверьте:

ASA5510-F# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
ssl trust-point SSL outside
ASA5510-F#

ASA5510-F# sh ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 dhe-aes128-sha1 dhe-aes256-sha1 null-sha1
SSL trust-points:
outside interface: SSL
Certificate authentication is not enabled
ASA5510-F#

Общие проблемы на CUCM

Параметры настройки VPN, не примененные к IP-телефон

Как только конфигурация на CUCM создана (шлюз, Группа и Профиль), примените параметры настройки VPN в Общем телефонном профиле:

  1. Перейдите к Устройству> Настройки устройства> Общий телефонный профиль.

    116162-trouble-anyconnect-vpn-phone-07.jpg

  2. Введите информацию VPN:

    116162-trouble-anyconnect-vpn-phone-08.jpg

  3. Перейдите к Device> Phone и подтвердите, что этот профиль назначен на конфигурацию телефона:

    116162-trouble-anyconnect-vpn-phone-09.jpg

Метод проверки подлинности сертификата

Существует два способа настроить проверку подлинности сертификата для IP-телефонов: Изготовитель установленный сертификат (MIC) и логически значимый сертификат (LSC). Обратитесь к Телефону AnyConnect VPN с Примером настройки аутентификации сертификата для выбора наилучшего варианта для ситуации.

Когда вы настраиваете проверку подлинности сертификата, экспортируете сертификат (ы) (Узел CA) от сервера CUCM и импортируете их к ASA:

  1. Войдите к CUCM.
  2. Перейдите к Администрированию унифицированной ОС> Безопасность> Управление сертификатами.
  3. Найдите функцию представительства сертифицирующей организации (CAPF) или Cisco_Manufacturing_CA; тип сертификата зависит от того, использовали ли вы проверка подлинности сертификата LSC или MIC.
  4. Загрузите файл к локальному компьютеру.

Как только файлы загружены, входят к ASA через CLI или ASDM, и импортируют сертификат как Сертификат CA.

116162-trouble-anyconnect-vpn-phone-10.jpg

Все телефоны с 79x1 и позже (которые включают 69XX/89XX/99XX) идут с MIC, установленным от фабрики. LSC должны быть вручную и индивидуально установлены по телефонам.

Из-за риска повышенного уровня безопасности Cisco рекомендует использование MIC исключительно для установки LSC а не для длительного использования. Клиенты, которые настраивают Cisco IP Phone для использования MIC для аутентификации Transport Layer Security (TLS) или в любой другой цели делают так в их собственном риске.

По умолчанию, если LSC существует в телефоне, аутентификация использует LSC, независимо от того, существует ли MIC в телефоне. Если MIC и LSC существуют в телефоне, аутентификация использует LSC. Если LSC не существует в телефоне, но MIC действительно существует, аутентификация использует MIC.

Примечание: Помните, что для проверки подлинности сертификата необходимо экспортировать сертификат SSL от ASA и импортировать его к CUCM.

Проверка идентификатора хоста

Если общее имя (CN) в предмете сертификата не совпадает с URL (URL группы) использование телефонов, чтобы соединиться с ASA через VPN, отключить Идентификатор хоста, Проверяют CUCM или используют сертификат в ASA, который совпадает с тем URL на ASA.

Это необходимо, когда сертификат SSL ASA является сертификатом подстановочного знака, сертификат SSL содержит другой SAN (Альтернативное имя субъекта), или URL был создан с IP-адресом вместо полного доменного имени (FQDN).

Это - пример журнала IP-телефона, когда CN сертификата не совпадает с URL, телефон пытается достигнуть.

1231: NOT 07:07:32.445560 VPNC: DNS has wildcard, starting checks...
1232: ERR 07:07:32.446239 VPNC: Generic third level wildcards are not allowed,
stopping checks on host=(test.vpn.com) and dns=(*.vpn.com)

1233: NOT 07:07:32.446993 VPNC: hostID not found in subjectAltNames
1234: NOT 07:07:32.447703 VPNC: hostID not found in subject name
1235: ERR 07:07:32.448306 VPNC: hostIDCheck failed!!

Для отключения Регистрации Идентификатора хоста CUCM перейдите к Дополнительным характеристикам> VPN> Профиль VPN.

116162-trouble-anyconnect-vpn-phone-11.jpg

Дополнительная информация по устранению неполадок

Журналы и отладки для Использования в ASA

На ASA можно включить эти отладки и журналы для устранения проблем:

logging enable
logging buffer-size 1048576
logging buffered debugging

debug webvpn anyconnect 255

Примечание: В больших развертываниях с высокой нагрузкой пользователей AnyConnect Cisco рекомендует не включить отладку webvpnh anyconnect. Его выходные данные не могут быть фильтрованы IP-адресом, таким образом, могло бы быть создано большое количество информации.

Журналы IP-телефона

Для доступа к телефонным журналам активируйте Опцию Веба - доступа. Войдите к CUCM и перейдите к Device> Phone> Конфигурация телефона. Найдите IP-телефон, по которому вы хотите активировать эту опцию и найти раздел для Веба - доступа. Примените изменения конфигурации к IP-телефону:

116162-trouble-anyconnect-vpn-phone-12.jpg

Как только вы включаете сервис и перезагружаете телефон для введения этой новой характеристики, можно обратиться, IP-телефон входит в браузер; используйте IP-адрес телефона от компьютера с доступом к той подсети. Перейдите к console log и проверьте эти пять файлов журнала. Поскольку телефон перезаписывает эти пять файлов, необходимо проверить, что все эти файлы в заказе находят информацию, которую вы ищете.

116162-trouble-anyconnect-vpn-phone-13.jpg

Коррелированые проблемы между журналами ASA и журналами IP-телефона

Это - пример того, как коррелировать журналы от ASA и IP-телефона. В данном примере хэш сертификата на ASA не совпадает с хэшем сертификата на файле конфигурации телефона, потому что сертификат на ASA был заменен другим сертификатом.

Журналы ASA

%ASA-7-725012: Device chooses cipher : AES128-SHA for the SSL session with 
client outside:172.16.250.9/50091
%ASA-7-725014: SSL lib error. Function: SSL3_READ_BYTES Reason: tlsv1 alert
unknown ca

%ASA-6-725006: Device failed SSL handshake with client outside:172.16.250.9/50091

Телефонные журналы

 902: NOT 10:19:27.155936 VPNC: ssl_state_cb: TLSv1: SSL_connect: before/connect 
initialization
903: NOT 10:19:27.162212 VPNC: ssl_state_cb: TLSv1: SSL_connect: unknown state
904: NOT 10:19:27.361610 VPNC: ssl_state_cb: TLSv1: SSL_connect: SSLv3 read
server hello A
905: NOT 10:19:27.364687 VPNC: cert_vfy_cb: depth:1 of 1, subject:
</CN=10.198.16.140/unstructuredName=10.198.16.140>
906: NOT 10:19:27.365344 VPNC: cert_vfy_cb: depth:1 of 1, pre_err: 18 (self
signed certificate)
907: NOT 10:19:27.368304 VPNC: cert_vfy_cb: peer cert saved: /tmp/leaf.crt
908: NOT 10:19:27.375718 SECD: Leaf cert hash = 1289B8A7AA9FFD84865E38939F3466A61B5608FC
909: ERR 10:19:27.376752 SECD: EROR:secLoadFile: file not found </tmp/issuer.crt>
910: ERR 10:19:27.377361 SECD: Unable to open file /tmp/issuer.crt
911: ERR 10:19:27.420205 VPNC: VPN cert chain verification failed, issuer
certificate not found and leaf not trusted
912: ERR 10:19:27.421467 VPNC: ssl_state_cb: TLSv1: write: alert: fatal:
unknown CA

913: ERR 10:19:27.422295 VPNC: alert_err: SSL write alert: code 48, unknown CA
914: ERR 10:19:27.423201 VPNC: create_ssl_connection: SSL_connect ret -1 error 1
915: ERR 10:19:27.423820 VPNC: SSL: SSL_connect: SSL_ERROR_SSL (error 1)
916: ERR 10:19:27.424541 VPNC: SSL: SSL_connect: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
917: ERR 10:19:27.425156 VPNC: create_ssl_connection: SSL setup failure
918: ERR 10:19:27.426473 VPNC: do_login: create_ssl_connection failed
919: NOT 10:19:27.427334 VPNC: vpn_stop: de-activating vpn
920: NOT 10:19:27.428156 VPNC: vpn_set_auto: auto -> auto
921: NOT 10:19:27.428653 VPNC: vpn_set_active: activated -> de-activated
922: NOT 10:19:27.429187 VPNC: set_login_state: LOGIN: 1 (TRYING) --> 3 (FAILED)
923: NOT 10:19:27.429716 VPNC: set_login_state: VPNC : 1 (LoggingIn) --> 3
(LoginFailed)
924: NOT 10:19:27.430297 VPNC: vpnc_send_notify: notify type: 1 [LoginFailed]
925: NOT 10:19:27.430812 VPNC: vpnc_send_notify: notify code: 37
[SslAlertSrvrCert]
926: NOT 10:19:27.431331 VPNC: vpnc_send_notify: notify desc: [alert: Unknown
CA (server cert)]

927: NOT 10:19:27.431841 VPNC: vpnc_send_notify: sending signal 28 w/ value 13 to
pid 14
928: ERR 10:19:27.432467 VPNC: protocol_handler: login failed

Промежуток к функции порта ПК

Можно подключить компьютер непосредственно с телефоном. Телефон имеет порт коммутатора в соединительной панели.

Установите настройки телефона, как вы сделали ранее, включаете Промежуток к Порту ПК на CUCM и применяете конфигурацию. Телефон начинает передавать копию каждого кадра к ПК. Используйте Wireshark в случайном режиме для получения трафика для анализа.

116162-trouble-anyconnect-vpn-phone-14.jpg

Изменения настройки IP-телефона, в то время как связано VPN

Обычный вопрос - можно ли модифицировать конфигурацию VPN, в то время как IP-телефон связан из сети AnyConnect. Ответ да, но необходимо подтвердить некоторые параметры конфигурации.

Сделайте необходимые изменения в CUCM, затем примените изменения к телефону. Существует три опции (Примените Config, Сброс, Перезапуск) выдвинуть новую конфигурацию к телефону. Несмотря на то, что все три опции разъединяют VPN от телефона и ASA, можно повторно соединиться автоматически при использовании проверки подлинности сертификата; при использовании Аутентификации, авторизации и учета (AAA) вам предлагают для учетных данных снова.

116162-trouble-anyconnect-vpn-phone-15.jpg

Примечание: Когда IP-телефон находится в удаленной стороне, он обычно получает IP-адрес от внешнего сервера DHCP. Для IP-телефона для получения новой конфигурации от CUCM это должно связаться с TFTP server в Главном офисе. Обычно CUCM является тот же TFTP server.

Для получения файлов конфигурации с изменениями подтвердите, что IP-адрес для TFTP server установлен правильно в настройках сети в телефоне; для подтверждения используйте параметр 150 от DHCP server или вручную установите TFTP по телефону. Этот TFTP server доступен через сеанс AnyConnect.

Если IP-телефон получает TFTP server от локального DHCP-сервера, но тот адрес является неправильным, можно использовать альтернативную опцию TFTP server для отвержения IP-адреса сервера TFTP, предоставленного DHCP server. Эта процедура описывает, как применить альтернативного TFTP server:

  1. Перейдите к Параметрам настройки> Конфигурация IPv4 Network Configuration>.
  2. Перейдите к Альтернативному параметру TFTP.
  3. Потребуйте у функциональной клавиши Yes телефона для использования альтернативного TFTP server; в противном случае не нажмите функциональную клавишу. Если опция блокирована, нажмите * * # для разблокирования ее.
  4. Нажмите функциональную клавишу Save.
  5. Примените опцию Alternate TFTP Server under TFTP Server 1.

Рассмотрите сообщения о статусе в web-браузере или в телефонных меню непосредственно, чтобы подтвердить, что телефон получает корректную информацию. Если связь установлена правильно, вы видите сообщения, такие как они:

116162-trouble-anyconnect-vpn-phone-16.jpg

Если телефон неспособен получить информацию от TFTP server, вы получаете сообщения ошибки TFTP:

116162-trouble-anyconnect-vpn-phone-17.jpg

Обновление сертификата SSL ASA

Если у вас есть функциональная настройка Телефона AnyConnect VPN, но сертификат SSL ASA собирается истечь, вы не должны приносить все IP-телефоны к Центральному узлу для введения новых сертификатов SSL к телефону; в то время как VPN связана, можно добавить новые сертификаты.

Если вы экспортировали или импортировали Корневой сертификат CA ASA вместо Сертификата идентификации и если вы хотите продолжить использовать того же Поставщика (CA) во время этого обновления, необязательно изменять сертификат в CUCM, потому что это остается тем же. Но при использовании Сертификата идентификации эта процедура необходима; в противном случае значение хеш-функции между ASA и IP-телефоном не совпадает, и соединению не доверяет телефон.

  1. Возобновите сертификат на ASA.

    Примечание: Для получения дополнительной информации обратитесь к ASA 8. x : Возобновление и установка SSL-сертификата с помощью ASDM. Создайте отдельную точку доверия и не применяйте этот новый сертификат с ssl <name> точки доверия вне команды, пока вы не применили сертификат ко всем IP-телефонам VPN.

  2. Экспортируйте новый сертификат.
  3. Импортируйте новый сертификат к CUCM как ТЕЛЕФОННЫЙ ТРАСТОВЫЙ VPN сертификат.
  4. Перейдите к Конфигурации Шлюза VPN в CUCM и примените новый сертификат. У вас теперь есть оба сертификата: сертификат, который собирается истечь и новый сертификат, который еще не был применен к ASA.
  5. Примените эту новую конфигурацию к IP-телефону. Перейдите для Применения Config> Сброс> Перезапуск для введения новых изменений конфигурации к IP-телефону через VPN-туннель. Гарантируйте, что все IP-телефоны связаны через VPN и что они могут достигнуть TFTP server через туннель.
  6. Используйте TFTP для проверки сообщений о статусе и файла конфигурации, чтобы подтвердить, что IP-телефон получил файл конфигурации с изменениями.
  7. Примените новую Точку доверия SSL в ASA и замените старый сертификат.

Примечание: Если IP-телефоны неспособны соединиться через AnyConnect, если сертификат SSL ASA уже истекается и; можно выдвинуть изменения (такие как новый хэш сертификата ASA) к IP-телефону. Вручную установите TFTP в IP-телефоне к открытому IP - адресу, таким образом, IP-телефон может получить информацию оттуда. Используйте общего TFTP server для хостинга файла конфигурации; один пример должен создать Переадресацию портов на ASA и перенаправить трафик к внутреннему TFTP server.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.