Solución de problemas comunes de VPN de Cisco Secure Client

Introducción

Este documento describe los problemas de Cisco Secure Client con fallas y desconexiones de aplicaciones en Windows, macOS y Linux.

Prerequisites

Requirements

Antes de utilizar este documento, asegúrese de que dispone de:

• Cisco Secure Client 5.x en el terminal (o la versión que admite su cabecera).
• Posibilidad de recopilar un paquete DART o registros de clientes.
• Acceso administrativo a la cabecera VPN (ASA o FTD).

Componentes Utilizados

La información de este documento se basa en:

• Cliente: Cisco Secure Client 5.x (módulo VPN AnyConnect).
• Cabecera: Cisco ASA 9.x o Cisco Secure Firewall Threat Defense (FTD) con VPN de acceso remoto.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Revise la sección Solución de problemas de Cisco Secure Client en la guía del administrador del producto.

Proceso de Troubleshooting

Este documento detalla los problemas de Cisco Secure Client VPN (incluido AnyConnect), incluidos los fallos de aplicaciones, las desconexiones inesperadas y los errores comunes en las configuraciones de cabecera de Windows, macOS, Linux y Cisco ASA/FTD.

• Aplicaciones que no funcionan a través del túnel VPN.
• Los clientes se conectan/desconectan inesperadamente.
• Mensajes de error comunes que aparecen en el cliente o cabecera.

Esto incluye el cliente VPN en Windows, macOS y Linux, incluida la configuración de cabecera en Cisco ASA y el acceso remoto Cisco Secure Firewall Threat Defense (FTD). VPN.

Revise estas secciones para abordar problemas y soluciones comunes:

• Recopilar información para la resolución de problemas
• Problemas de la Instalación y del Adaptador Virtual
• Desconexión o Imposibilidad de Establecer la Conexión Inicial
• Problemas con el Paso del Tráfico
• Problemas por Crash de AnyConnect
• Problemas con la Fragmentación o el Paso del Tráfico
• Desinstalación Automática
• Problema para completar el FQDN del clúster
• Configuración de la lista de servidores de respaldo

Recopilar información para la resolución de problemas

Recopile datos del cliente y de la cabecera antes de cambiar la configuración. El TAC suele solicitar un paquete DART.

Cliente: Estadísticas y DART

1. Exportar estadísticas de conexión
   
   • Windows: Icono de engranaje > Ventana avanzada > Estadísticas > AnyConnect VPN > Estadísticas de exportación
   • macOS: Icono Estadísticas > Exportar estadísticas
   • Linux: Detalles de la GUI del cliente
2. Ejecutar DART
   
   • Windows/Linux: Icono de engranaje > Ventana avanzada > Diagnóstico
   • macOS: Menú Aplicación > Generar informe de diagnóstico
   Adjunte el paquete a su caso de TAC o utilice Cargar en TAC con el número de SR y el token.
3. Problemas con el explorador integrado: Ventana Avanzada > General > Explorador Web > Borrar datos.

Cabecera: ASA

• show running-config
• show vpn-sessiondb detail anyconnect filter name <username>
• Ejemplo de depuración:
  

  configure terminal
  logging enable
  logging timestamp
  logging class auth console debugging
  logging class webvpn console debugging
  logging class ssl console debugging
  logging class anyconnect console debugging

  Reproduzca el fallo, capture la salida y, a continuación, no active el registro.

Cabecera — FTD

En FMC/CDO, exporte la política VPN de acceso remoto y la configuración del perfil de conexión. Recopile los registros de conexión / VPN SSL de FTD para la ventana de falla.

Problemas de la Instalación y del Adaptador Virtual

Si falla la instalación o la instalación del adaptador virtual, recopile:

1. Registros de instalación de Windows:
   

   %SystemRoot%\Inf\setupapi.dev.log
   %SystemRoot%\Inf\setupapi.setup.log

2. Registro del instalador MSI: %LOCALAPPDATA%\Temp\ o %SystemRoot%\Temp\ — filename cisco-secure-client-win-*-install-*.log (el más reciente para su versión).
3. MSI detallado (si es necesario):
   

   msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

4. Información del sistema: msinfo32 /nfo %TEMP%\msinfo.nfo y systeminfo > %TEMP%\sysinfo.txt

Para ver los errores de la base de datos de controladores, consulte Cisco Secure Client: Problema de base de datos de controladores dañados y la sección de la guía del administrador El controlador de cliente VPN encuentra un error (después de una actualización de Microsoft Windows).

Desconexión o Imposibilidad de Establecer la Conexión Inicial

Si experimenta problemas de conexión con Cisco Secure Client, recopile los datos por Recopilar información para la resolución de problemas antes de cambiar la configuración.

• Configuración de cabecera: show running-config o export policy from FMC/CDO for FTD.
• Registros del cliente: Recopile un paquete DART (consulte Recopilación de información). No confíe en las exportaciones antiguas de Event Viewer .evt.
• Depuración de ASA (si es necesario): Habilite logging class auth, webvpn, ssl y anyconnect en la depuración; reproducir el fallo; resultado de la consola de captura; entonces no logging enable.

Si el usuario no se puede conectar, el problema puede estar relacionado con el protocolo de escritorio remoto (RDP) o el cambio rápido de usuario. El usuario puede ver: La configuración del perfil de AnyConnect exige un único usuario local, pero varios usuarios locales han iniciado sesión en el equipo. No se puede establecer una conexión VPN.

Desconecte las sesiones RDP y desactive Fast User Switching. No se admiten varios usuarios locales simultáneos en la misma máquina para el establecimiento de VPN.

Nota: Asegúrese de que el puerto 443 (y UDP 443 para DTLS) no esté bloqueado para que el cliente pueda alcanzar la cabecera.

Cuando un usuario no puede conectarse, el problema puede deberse a la incompatibilidad entre la versión de Cisco Secure Client y el software de cabecera. El usuario puede recibir: El instalador no pudo iniciar el cliente VPN de Cisco, el acceso sin cliente no está disponible. Actualice el cliente a una versión compatible con su implementación de VPN de acceso remoto de ASA o FTD.

Cuando inicia sesión por primera vez en Cisco Secure Client, la secuencia de comandos de inicio de sesión puede tener problemas. Si se desconecta y vuelve a iniciar sesión, la secuencia de comandos de inicio de sesión suele ejecutarse según lo esperado. Este comportamiento puede esperarse dependiendo del perfil y la sincronización del script.

Cuando se conecte, podrá recibir: User not authorized for AnyConnect Client access, contact your administrator (Usuario no autorizado a acceder al cliente AnyConnect. Comuníquese con su administrador). Esto se observa a menudo cuando la imagen de Secure Client no aparece en la cabecera. Cargue la imagen de cliente correcta y haga referencia a ella en la configuración de VPN de RA / WebVPN.

DART puede mostrar TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE cuando el canal DTLS se interrumpe debido a un error de detección de punto muerto (DPD). Ajuste de keepalives en ASA:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

Desactivar DTLS solo como prueba temporal (ASDM: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles, desmarque Enable DTLS, o FMC equivalent). Prefiera fijar el tiempo DPD y permitir UDP 443.

Problemas con el Paso del Tráfico

Cuando se detectan problemas al pasar el tráfico a la red privada con una sesión de Cisco Secure Client a través de ASA, complete estos pasos de recopilación de datos:

1. Obtenga el resultado de show vpn-sessiondb detail anyconnect filter name <username> desde la consola ASA. Si la salida muestra Filter Name: XXXXX, recopile show access-list XXXXX. Verifique que la lista de acceso no bloquee el tráfico esperado.
   
   
2. Exportar estadísticas de conexión: Cisco Secure Client > Equipo > Ventana avanzada > Estadísticas > AnyConnect VPN > Estadísticas de exportación.
   
   
3. Verifique la configuración de ASA para las sentencias nat. Si la traducción de direcciones de red (NAT) está habilitada, exima el tráfico que vuelve al cliente. Ejemplo de exención de NAT para un conjunto de AnyConnect:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

4. Determine si la gateway predeterminada tunelizada debe estar habilitada. Ejemplo:
   
   

   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   Si el cliente debe alcanzar recursos que no se encuentran en la tabla de ruteo del gateway VPN, la palabra clave tunneled rutea ese tráfico a través del túnel VPN.
   
   
5. Verifique si la política de inspección descarta el tráfico de la aplicación. Puede eximir un protocolo en el marco de políticas modular. Ejemplo de flaco:
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problemas por Crash de AnyConnect

Complete estos pasos para recopilar datos:

1. Recopile DART inmediatamente después del desperfecto.
2. Nota: entradas de Informe de errores de Windows para vpnagent.exe / acvpnui.exe.
3. Registros del cliente: %LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs (compruebe la ruta de acceso de su versión).

Problemas con la Fragmentación o el Paso del Tráfico

Algunas aplicaciones, como Microsoft Outlook, no funcionan mientras el túnel pasa tráfico más pequeño como pequeños pings. Esto puede indicar fragmentación en el trayecto. Los routers de consumo suelen ser deficientes en cuanto a fragmentación y reensamblado.

Pruebe un conjunto de pings de escala: ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Configure una política de grupo dedicada para los usuarios afectados y establezca una MTU inferior:

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

Desinstalación Automática

Problema

Cisco Secure Client se desinstala después de que finalice la conexión aunque la opción keep installed aparece seleccionada en ASDM/FMC.

Solución

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

Problema para completar el FQDN del clúster

Problema: El cliente de AnyConnect se completa previamente con el nombre del host en lugar del nombre de dominio totalmente calificado (FQDN) del clúster.

Cuando tiene un clúster de equilibrio de carga para SSL VPN y el cliente se conecta, la solicitud puede redirigirse a un nodo de clúster y el inicio de sesión se realiza correctamente. En un intento de conexión posterior, el FQDN del clúster no aparece en Conectar a; en su lugar, puede aparecer el último nombre de host del nodo.

Solución

El cliente almacena en caché el último nombre de host correcto. Borre las entradas almacenadas en caché o establezca el FQDN del clúster en la lista de servidores de perfiles. Verifique en Cisco Secure Client 5.x. Consulte Cisco bug ID CSCsz39019 para ver las notas específicas de la plataforma.

Configuración de la lista de servidores de respaldo

Se configura una lista de servidores de respaldo cuando el servidor primario es inalcanzable. Defina el perfil en el panel Backup Server del perfil de cliente. Complete estos pasos:

1. Edite el perfil con el Editor de perfiles desde el paquete Secure Client de cabecera o según la Guía de configuración de perfiles de Secure Client 5.1. Asigne el perfil en ASDM o FMC.
   
   
2. Cree o edite el perfil XML:
   
   1. Vaya a la ficha de la lista de servidores.
   2. Haga clic en Add (Agregar).
   3. Introduzca el nombre de host del servidor principal.
   4. Agregue servidores de copia de seguridad en la lista de servidores de copia de seguridad y, a continuación, haga clic en Agregar.
3. Asigne el perfil a la conexión en el ASA:
   
   1. En ASDM: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles.
   2. Seleccione su perfil y haga clic en Edit (Editar).
   3. Haga clic en Manage (Administrar) en la sección Default Group Policy (Política de grupo predeterminada).
   4. Seleccione su política de grupo y haga clic en Edit (Editar).
   5. Seleccione Advanced y luego SSL VPN Client.
   6. Haga clic en New, asigne un nombre al perfil y asigne el archivo XML.
4. Conecte el cliente para descargar el perfil.

Cisco Secure Client: Problema en la Base de Datos del Driver Dañado

Esta entrada del archivo SetupAPI.log sugiere que el sistema de catálogo está dañado:

Falta la lista de clase de firma del driver W239 “C:\WINDOWS\INF\certclas.inf” o no es válida. Error 0xfffffde5: Error desconocido., suponiendo que todas las clases de dispositivos están sujetas a la directiva de firmas de controladores. También puede recibir: Error (3/17): Unable to start VA, setup shared queue, or VA gave up shared queue (No es posible iniciar el adaptador virtual [VA]; hay una cola de configuración compartida o VA abandonó la cola compartida).

Y puede recibir este registro en el cliente: "The VPN client driver has encountered an error" (Error en el controlador del cliente VPN).

Reparación

Este problema está relacionado con el Id. de error de Cisco CSCsm54689. Deshabilite el Servicio de enrutamiento y acceso remoto (RRAS) antes de iniciar Cisco Secure Client. Si el problema persiste:

1. Abra un símbolo del sistema como Administrador en Windows.
   
   
2. Ejecute net stop CryptSvc.
   
   
3. Ejecute:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

4. Cuando se le solicite, elija OK para iniciar la reparación.
5. Salga del indicador de comando.
   
   
6. Reiniciar.

Error en la reparación

Si la reparación falla:

1. Abra un símbolo del sistema como Administrador en Windows.
   
   
2. Ejecute net stop CryptSvc.
   
   
3. Cambie el nombre de %WINDIR%\system32\catroot2 a catroot2_old.
   
   
4. Salga del indicador de comando.
   
   
5. Reiniciar.

Analizar la Base de Datos

Puede analizar la base de datos en cualquier momento para determinar si es válida.

1. Abra un símbolo del sistema como Administrador en Windows.
   
   
2. Ejecute:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   Consulte Integridad de la Base de Datos del Catálogo del Sistema para obtener más información.

Mensajes de error

Error: Unable to Update the Session Management Database

Este error puede aparecer durante la autenticación SSL VPN basada en explorador o en el portal web. El cliente o el portal muestran No se puede actualizar la base de datos de administración de sesiones. El ASA puede registrar %ASA-3-211001: Memory allocation Error. The adaptive security appliance failed to allocate RAM system memory (Error de asignación de memoria. Adaptive Security Appliance no pudo asignar memoria RAM del sistema).

Solución 1

Relacionado con el Id. de bug Cisco CSCsm51093. Recargue el ASA o actualice a una versión fija según el bug. En FTD, verifique los límites de la memoria de la plataforma y de la sesión VPN de RA.

Solución 2

Memoria libre de cabecera:

1. Desactive la detección de amenazas si está activada.
2. Deshabilitar compresión AnyConnect: anyconnect compression none en la sección group-policy webvpn.
3. Vuelva a cargar ASA.
4. En las plataformas ASA más antiguas con 256 MB de RAM, actualice a 512 MB si el agotamiento de la memoria persiste.

Error: "El módulo no se pudo registrar" durante la instalación de Cisco Secure Client

Durante la instalación en Windows, el instalador informa de que un módulo (por ejemplo, vpnapi.dll) no se ha registrado y se revierte.

Solución

• Elimine temporalmente los adaptadores de red virtual VMware que estén en conflicto; reinstalar Secure Client; vuelva a agregar VMware.
• Agregue el FQDN de cabecera a los sitios de confianza si utiliza la implementación web.
• Desde C:\Program Files\Cisco\Cisco Secure Client\, ejecute elevated: regsvr32 vpnapi.dll (y vpncommon.dll, vpncommoncrypt.dll si está presente).
• Recopile el registro detallado de MSI (consulte la sección Instalación) y DART si la instalación sigue fallando.
• Como último recurso, repare Windows o vuelva a implementarlo a partir de una desinstalación limpia de Secure Client.

Error: "An error was received from the secure gateway in response to the VPN negotiation request. Please contact your network administrator" (El gateway seguro arrojó un error como respuesta a la solicitud de negociación de la VPN. Comuníquese con su administrador de redes)

Cuando los clientes se conectan con Cisco Secure Client, el gateway devuelve un error como "Clase de dirección ilegal", "El host o la red es 0", o "Otro error".

Solución

El conjunto de IP local de ASA o FTD está agotado o mal configurado. Expanda el conjunto de direcciones VPN y utilice una máscara adecuada (por ejemplo, /24 en lugar de un conjunto sólo /32). Consulte Cisco bug ID CSCsl82188.

Error: AnyConnect no está habilitado en el servidor VPN al intentar conectar AnyConnect a ASA

El cliente informa que AnyConnect / Secure Client no está habilitado en el servidor VPN.

Solución

Active la VPN de acceso remoto e implemente una imagen de cliente seguro en la cabecera. En ASA: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. En FTD: configure la VPN RA y la imagen del cliente en FMC. Utilice una guía de VPN de acceso remoto, no una configuración WebVPN-only sin cliente.

Error:- %ASA-6-722036: IP x.x.x.x del xxxx del usuario del cliente-grupo del grupo que transmite el paquete grande 1220 (umbral 1206)

El %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) message aparece en los registros de ASA.

Solución

Se envió un paquete grande al cliente (MTU o datos no compresibles). Inhabilite la compresión para la política de grupo:

group-policy <name> attributes
 webvpn
  anyconnect compression none

Error: El gateway seguro ha rechazado la solicitud de conexión o reconexión de VPN del agente.

Entre los ejemplos se incluyen no assign address, Host or network is 0 o No License en el mensaje del gateway.

Solución

Verifique que la cabecera tenga un conjunto local IP configurado y una asignación de dirección de política de grupo después de la recarga o conmutación por fallas:

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

En el caso de Sin licencia, instale o habilite la licencia de movilidad de Secure Client necesaria en la cabecera.

Error: "The VPN client driver has encountered an error" (Error en el controlador del cliente VPN)

Por lo general, el fallo del adaptador virtual, el conflicto RRAS o el problema del controlador posterior a Windows Update.

Solución

1. Inhabilite el Servicio de enrutamiento y acceso remoto (RRAS) antes de iniciar Secure Client.
2. Complete el Cisco Secure Client: Base de datos de controladores dañada Ejecute los pasos si la configuración muestra errores de catálogo.
3. Después de Windows Update, utilice Repair VPN Client Driver Error en la Guía del Administrador de Secure Client 5.1.
4. Recopile DART y póngase en contacto con el TAC si es necesario. Consulte Cisco bug ID CSCsm54689.

Error: "Unable to process response from xxx.xxx.xxx.xxx"

Cisco Secure Client no puede conectarse con No se puede procesar la respuesta de <gateway>.

Solución

• Inhabilite y vuelva a habilitar VPN de acceso remoto / WebVPN en la interfaz afectada.
• Mueva temporalmente la VPN SSL a otro puerto (por ejemplo, 444) y, a continuación, restaure 443.

Consulte Configuración del cliente SSL VPN en ASA. Recopile DART si el error persiste.

Error: "Login Denied , unauthorized connection mechanism , contact your administrator"

Cisco Secure Client muestra Login Denied (Inicio de sesión denegado), mecanismo de conexión no autorizado, póngase en contacto con el administrador.

Solución

Revise el perfil de conexión y la autenticación en la cabecera (ASA o FTD). Asegúrese de que el método de autenticación del cliente (RADIUS, SAML, certificado, etc.) coincida con el perfil. Verifique la política de grupo y la asignación de grupo de túnel.

Error: "Anyconnect package unavailable or corrupted. Contact your system administrator" (Paquete de Anyconnect no disponible o dañado. Comuníquese con su administrador del sistema)

Este error puede aparecer al iniciar Cisco Secure Client desde un cliente Macintosh.

Solución

1. Cargue el paquete de macOS Secure Client en la memoria flash de cabecera.
2. Haga referencia a él en la configuración WebVPN:
   

   webvpn
    anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Error: "The AnyConnect package on the secure gateway could not be located"

En Linux (u otras plataformas), el cliente no puede descargar el paquete desde la cabecera.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solución

Verifique que el sistema operativo del cliente sea compatible y que la imagen correcta esté configurada en la cabecera:

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Consulte Paquete AnyConnect no disponible o dañado para ver los pasos relacionados.

Error: "Secure VPN via remote desktop is not supported"

Los usuarios ven Secure VPN a través del escritorio remoto no es compatible.

Solución

Actualice a una versión Cisco Secure Client 5.x compatible. Consulte Cisco bug ID CSCsu2088 y Cisco bug ID CSCso42825.

Error: "The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established"

El cliente informa de que el certificado o la cadena del servidor no cumple con FIPS.

Solución

Si se requiere FIPS en el terminal, utilice los certificados compatibles con FIPS en la cabecera. Si no es necesario, edite el archivo C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml y establezca <FipsMode>false</FipsMode> y, a continuación, reinicie el equipo (se requieren derechos de administrador).

Error: "Certificate Validation Failure"

Los usuarios no pueden iniciar Cisco Secure Client y recibir Certificate Validation Failure.

Solución

Para la autenticación de certificados, importe el certificado de cliente, configure el perfil para la autenticación de certificados y, en ASA, habilite:

ssl certificate-authentication interface outside port 443

Asegúrese de que el certificado del servidor coincida con el FQDN en la lista de servidores del perfil.

Error: "VPN Agent Service has encountered a problem and needs to close. We are sorry for the inconvenience" (Ocurrió un error en el servicio del agente VPN y debe cerrarse. Lamentamos las molestias ocasionadas)

El servicio vpnagent.exe falla durante la instalación, la actualización o la conexión.

Solución

1. Reinicie Cisco Secure Client - Agente VPN AnyConnect en Servicios de Windows.
2. Reparar o reinstalar desde la implementación web de cabecera.
3. Recopile DART si el servicio falla repetidamente. Para ver los conflictos de Citrix, consulte el Id. de error de Cisco CSCsq49102.

Error: "This installation package could not be opened. Verify that the package exists"

La implementación web produce un error de Windows Installer: el paquete no se pudo abrir.

Solución

1. Verificar la MSI descargada completamente; vuelva a intentarlo desde el portal de cabecera.
2. Inhabilite temporalmente el AV agresivo en la carpeta de descarga; recopile un registro MSI detallado.
3. Asegúrese de que el servicio Windows Installer se está ejecutando.
4. Si el problema persiste, recopile los registros DART/MSI y abra un caso TAC.

Error: "Error applying transforms. Verify that the specified transform paths are valid." (Error al aplicar transformaciones. Compruebe que las rutas de transformación especificadas son válidas).

La descarga automática de la cabecera falla, a veces debido a una transformación MST dañada.

Solución

1. Quite la transformación MST personalizada de la definición de instalación personalizada de cabecera de AnyConnect.
2. Vuelva a cargar la imagen de Secure Client correcta en la cabecera.
3. En ASDM: Network (Client) Access > AnyConnect Custom > Installs — Remove duplicate entries; mantenga la imagen activa en configuración de cliente.

Error: "A VPN reconnect resulted in different configuration setting. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restored." (Una reconexión a la VPN provocó una configuración diferente. La configuración de la red VPN se está reiniciando. Es posible que deba restaurar las aplicaciones que usan la red privada)

Este mensaje puede aparecer después de la reconexión cuando cambie la configuración de la cabecera pulsada.

Solución

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

Error de Cisco Secure Client al iniciar sesión

Problema: La conexión VPN no se permite a través de un proxy local. Esto se puede cambiar mediante la configuración del perfil de AnyConnect.

Solución

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

Error: AnyConnect Essentials cannot be enabled until all these sessions are closed. (AnyConnect Essentials no puede habilitarse hasta que se cierren todas estas sesiones)

ASDM muestra las sesiones VPN SSL sin cliente en curso al habilitar AnyConnect Essentials.

Solución

AnyConnect Essentials no se puede ejecutar simultáneamente con la licencia VPN SSL compartida Premium. Finalice las sesiones VPN SSL sin cliente antes de activar Essentials. Essentials no incluye VPN SSL sin cliente.

Error: Algunos usuarios reciben un mensaje de error de inicio de sesión, mientras que otros pueden conectarse correctamente mediante AnyConnect VPN

Algunos usuarios reciben Login Failed mientras que otros pueden conectarse.

Solución

Asegúrese de que no requiere autenticación previa (o equivalente) esté configurado correctamente para los usuarios afectados. Compare la política de grupo y la asignación del perfil de conexión.

Error: The certificate you are viewing does not match with the name of the site you are trying to view. (El certificado que está viendo no coincide con el nombre del sitio que intenta visualizar)

Durante la actualización del perfil en Windows, la validación del certificado falla en la URL de conexión.

Solución

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

El perfil de AnyConnect no se replica en reserva después de la conmutación por falla

Después de la conmutación por error de ASA, los archivos relacionados con el perfil de Secure Client faltan en la unidad en espera.

Solución

Consulte Cisco bug ID CSCtn7162. Solución alternativa: copie manualmente los archivos de perfil en el modo de espera. Verifique la sincronización de la configuración de stateful failover para los perfiles VPN RA.

Mensaje de error: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Cisco Secure Client no puede conectarse con No se puede establecer una conexión. El registro de eventos muestra TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Solución

Esto ocurre con una lista de túnel dividido muy grande (aproximadamente 180-200 entradas) más otros atributos de política de grupo (por ejemplo, dns-server).

1. Reduzca las entradas de la lista de túnel dividido.
2. Deshabilitar DTLS temporalmente:
   

   group-policy groupName attributes
    webvpn
     anyconnect ssl dtls none

Consulte Cisco bug ID CSCtc41770.

Mensaje de error: "Connection attempt has failed due to invalid host entry"

Error en el intento de conexión debido a una entrada de host no válida durante la autenticación del certificado.

Solución

• Utilice un nombre de host (FQDN) válido en la lista de servidores de perfiles.
• Utilice Cisco Secure Client 5.x compatible.
• Elimine la política desaprobada de Cisco Secure Desktop (CSD) si aún está presente.

Consulte Cisco bug ID CSCti7316.

Error: "Ensure your server certificates can pass strict mode if you configure always-on VPN"

Cuando está habilitado Always-On, el cliente puede informar que los certificados de servidor deben pasar el modo estricto.

Solución

Always-On requiere un certificado de cabecera válido que coincida con la URL de conexión. El modo de certificado estricto en la directiva local genera un error si el certificado no es de confianza o no coincide.

Consulte Certificado por una Autoridad Desconocida en la Guía del Administrador de Secure Client 5.1.

Error: "Se produjo un error interno en los servicios HTTP de Microsoft Windows"

DART puede mostrar errores de HttpSendRequest y Se produjo un error interno en los servicios HTTP de Microsoft Windows con errores de CTransportWinHttp.

Solución

Esto puede deberse a un estado de Winsock dañado. Desde un símbolo del sistema con privilegios elevados: netsh winsock reset

Reinicie Windows y consulte Microsoft Guidance on Resettings Winsock.

Error: "El transporte SSL recibió una falla de canal seguro.  Puede ser el resultado de una configuración criptográfica no admitida en la gateway segura".

Cisco Secure Client DART puede mostrar los errores CTransportWinHttp y CTransPORT_ERROR_SECURE_CHANNEL_FAILURE cuando falla la negociación de cifrado o TLS entre el cliente y la cabecera.

Solución

1. En la cabecera, utilice TLS 1.2+ y las suites de cifrado modernas solamente. No active DES, 3DES o RC4.
2. Ejemplo de ASA:
   

   ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

3. Compruebe la validez del certificado del servidor y la coincidencia de FQDN.
4. Actualice el cliente y la cabecera a las versiones compatibles.
5. En Windows, mantenga Schannel en TLS 1.2+; no debilite el cifrado del cliente para cabeceras obsoletas.

Información Relacionada

• Solución de problemas de Cisco Secure Client (Guía del administrador 5.1)
• Guía de Troubleshooting de AnyConnect VPN Client - Problemas Comunes Externos
• Preguntas frecuentes sobre Cisco Secure Client / AnyConnect

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
3.0	23-Jun-2026	Ortografía, gramática, estructura de oraciones, introducción, espaciado y alertas de CCW actualizados.
1.0	04-Apr-2018	Versión inicial