Guía de Troubleshooting del cliente VPN de AnyConnect - Problemas comunes

Introducción

Este documento describe un escenario de Troubleshooting que se aplique a las aplicaciones que no trabajan a través del Cliente Cisco AnyConnect VPN.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en un dispositivo de seguridad adaptante de Cisco (ASA) esa versión 8.x de los funcionamientos.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Proceso de Troubleshooting

Este escenario de troubleshooting típico corresponde a las aplicaciones que no funcionan con Cisco AnyConnect VPN Client para los usuarios finales con equipos compatibles con Microsoft Windows. Estas secciones abordan y brindan las soluciones a los problemas:

• Problemas de la Instalación y del Adaptador Virtual
• Desconexión o Imposibilidad de Establecer la Conexión Inicial
• Problemas con el Paso del Tráfico
• Problemas por Crash de AnyConnect
• Problemas con la Fragmentación o el Paso del Tráfico

Problemas de la Instalación y del Adaptador Virtual

Complete estos pasos:

1. Obtenga el archivo del log del dispositivo:
   
   
   • Windows XP/Windows 2000:
     
     

     \Windows\setupapi.log

     
     
     
   • Windows Vista:
     
     

     Nota: Las carpetas ocultas deben estar visibles para que puedan verse estos archivos.

     
     
     

     \Windows\Inf\setupapi.app.log
         \Windows\Inf\setupapi.dev.log

     
     
     
   
   
   Si detecta errores en el archivo del log, puede aumentar la verbosidad a 0x2000FFFF según lo descrito en este artículo de Windows KB. Note el artículo le dice que para fijarlo a 0xFFFF, pero si usted agrega el valor de alto nivel de 0x2, hace el registro más rápido.
   
   
2. Obtenga el archivo del log del Instalador MSI:
   
   Si se trata de una instalación de implementación web inicial, este log está ubicado en el directorio temporal por usuario.
   
   
   • Windows XP/Windows 2000:
     
     

     \Documents and Settings\<username>\Local Settings\Temp\

     
     
     
   • Windows Vista:
     
     

     \Users\<username>\AppData\Local\Temp\

     
     
     
   
   
   Si se trata de una actualización automática, este log se encuentra en el directorio temporal del sistema:
   
   

   \Windows\Temp

   
   
   El nombre del archivo está en este formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Obtenga el archivo más reciente para la versión del cliente que desee instalar. Los cambios x.xxxx basados en la versión, como 2.0.0343, y yyyyyyyyyyyyyy incluyen la fecha y hora de la instalación.
   
   
3. Obtenga el archivo de información del sistema de la PC:
   
   
   1. Desde el Indicador del Comando/cuadro DOS, escriba lo siguiente:
      
      
      • Windows XP/Windows 2000:
        
        

        winmsd /nfo c:\msinfo.nfo

        
        
        
      • Windows Vista:
        
        

        msinfo32 /nfo c:\msinfo.nfo

        
        
        

      Nota: Después de que usted teclee en este prompt, espere. El archivo puede tardar entre dos y cinco minutos en completarse.

      
      
      
   2. Obtenga un vaciado del archivo systeminfo de un Indicador de Comando:
      
      Windows XP y Windows Vista:
      
      

      systeminfo c:\sysinfo.txt

Refiera a AnyConnect: Problema en la Base de Datos del Driver Dañado para ejecutar un debug del problema del driver.

Desconexión o Imposibilidad de Establecer la Conexión Inicial

Si usted experimenta los Problemas de conexión con el cliente de AnyConnect, tal como desconexiones o la incapacidad de establecer una conexión inicial, obtenga estos archivos:

• El archivo de configuración de ASA para determinar si hay algo en la configuración que provoque la falla de conexión:
  
  Desde la consola del ASA, escriba write net x.x.x.x: ASA-Config.txt donde está direccionamiento x.x.x.x del theIP de un servidor TFTP en la red.
  
  O
  
  Desde la consola de ASA, escriba show running-config. Deje la configuración completa en la pantalla, después corte y pegar a un editor de textos y a una salvaguardia.
  
  
• Los logs de eventos ASA:
  
  
  1. Para habilitar la apertura de sesión del ASA para el auth, el WebVPN, Secure Sockets Layer (SSL), y los eventos del (SVC) del cliente VPN SSL, publican estos comandos CLI:
     
     

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

     
     
     
  2. Origine una sesión de AnyConnect y asegúrese de que el error puede ser reproducido. Capture la salida de registro de la consola a un editor de textos y sálvela.
     
     
  3. Para inhabilitar el registro, ejecute no logging enable.
     
     
  
  
  
• El log de Cisco AnyConnect VPN Client de Windows Event Viewer en el equipo cliente:
  
  
  1. Elija Start > Run.
     
     
  2. Ingrese:
     
     

     eventvwr.msc /s

     
     
     
  3. Haga clic con el botón derecho del ratón el registro del Cliente Cisco AnyConnect VPN, y seleccione el archivo del registro de la salvaguardia como AnyConnect.evt.
     
     

     Nota: Siempre guarde el archivo con el formato de archivo .evt.

Si el usuario no puede conectar con el cliente VPN de AnyConnect, el problema se pudo relacionar con una sesión o un fast switching de usuarios establecida del protocolo del Escritorio Remoto (RDP) habilitado en PC del cliente. El usuario puede ver que las configuraciones del perfil de AnyConnect requieren un solo usuario local, pero varios usuarios locales actualmente tienen una sesión iniciada en su equipo. No se establecerá la conexión VPN; aparece un mensaje de error en el equipo cliente. Para resolver este problema, desconecte cualquier sesión establecida RDP y inhabilite el fast switching de usuarios.

Nota: Aseegurese que el puerto 443 no está bloqueado así que el cliente de AnyConnect puede conectar con el ASA.

Cuando un usuario no puede conectar al cliente VPN de AnyConnect con el ASA, el problema se pudo causar por una incompatibilidad entre la versión de cliente de AnyConnect y la versión de la imagen del software ASA. En este caso, el usuario recibe este mensaje de error: El instalador no podía comenzar al Cliente Cisco VPN, acceso del clientless no está disponible.

Para resolver este problema, actualice la versión de cliente de AnyConnect para ser compatible con la imagen del software ASA. Para verificar la compatibilidad, consulte la sección Dispositivos de Seguridad y Soporte de Software de las notas de Anyconnect Client Release.

Cuando un usuario no puede conectar con el cliente VPN de AnyConnect del PC, el problema se puede causar por el Software anti virus presente en el PC.

Nota: AnyConnect se debe instalar en el ordenador antes de que usted instale cualquier software de tercera persona del Firewall/del contra virus (AV). Si AnyConnect está instalado después de algún software de tercera persona del Firewall/del contra virus, después AnyConnect no puede conectar. Para resolver este problema, inhabilite todas las características del firewall/AV personal. Entonces, realice los cambios pequeños en el adaptador virtual de AnyConnect e intente volver a conectar AnyConnect. Para más información, refiera al bug Cisco ID CSCsj91840 y CSCti16453.

Cuando usted inicia sesión la primera vez al AnyConnect, el script del login no se ejecuta. Si usted desconecta y inicia sesión otra vez, después el script del login se ejecuta muy bien. Ésta es la conducta esperada.

Cuando usted conecta al cliente VPN de AnyConnect con el ASA, usted puede ser que reciba este error: El usuario no autorizado para el acceso al cliente de AnyConnect, entra en contacto a su administrador.

Se considera este error cuando la imagen de AnyConnect falta del ASA. Una vez que la imagen se carga al ASA, AnyConnect puede conectar sin ningunos problemas con el ASA.

Este error puede ser resuelto inhabilitando la Seguridad de la capa de transporte de datagrama (DTL). Vaya a la configuración > al acceso del VPN de acceso remoto > de la red (cliente) > a los perfiles de la conexión de AnyConnect y desmarque la casilla de verificación del permiso DTL. Esto inhabilita los DTL.

Los archivos del dartbundle muestran este mensaje de error cuando el usuario consigue disconnected: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: El gateway seguro no pudo responder a los paquetes del Dead Peer Detection. Este error significa que el canal DTL era rasgado debido al error del Dead Peer Detection (DPD). Se resuelve este error si usted pellizca el Keepalives DPD y publica estos comandos:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

El keepalive svc y los comandos del DPD-intervalo svc son substituidos por el keepalive del anyconnect y los comandos del DPD-intervalo del anyconnect respectivamente en la Versión de ASA 8.4(1) y posterior como se muestra aquí:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemas con el Paso del Tráfico

Cuando los problemas se detectan con el paso del tráfico a la red privada con una sesión de AnyConnect con el ASA, complete estos pasos de la recolección de datos:

1. Obtenga la salida del comando del <username> ASA del nombre del filtro svc del detalle de VPN-sessiondb de la demostración de la consola. Si la salida muestra el nombre del filtro: XXXXX, recopile el resultado para show access-list XXXXX . Verifique que la lista de acceso XXXXX no bloquee el flujo de tráfico deseado.
   
   
2. Exporte las estadísticas de AnyConnect del cliente VPN > de las estadísticas > de los detalles > de la exportación de AnyConnect (AnyConnect-ExportedStats.txt).
   
   
3. Verifique el archivo de configuración ASA para las sentencias NAT. Si se habilita el Network Address Translation (NAT), éstos deben eximir los datos esos las devoluciones al cliente como resultado del NAT. Por ejemplo, al NAT exento (0 nacional) los IP Addresses del pool de AnyConnect, utilizan esto en el CLI:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

   
   
   
4. Determine si el gateway predeterminado tunelado debe habilitarse para la configuración. El gateway predeterminado tradicional es el gateway de último recurso para el tráfico no descifrado.
   
   Ejemplo:
   
   

   !--- Route outside 0 0 is an incorrect statement.
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   
   Por ejemplo, si el cliente VPN necesita acceder un recurso que no esté en la tabla de ruteo del gateway de VPN, el paquete se rutea a través del default gateway estándar. El gateway de VPN no necesita la tabla de ruteo interno completa para resolver este problema. La palabra clave tunneled puede ser en este caso usado.
   
   
5. Verifique si el tráfico de AnyConnect es caído por la directiva del examen del ASA. Usted podría eximir la aplicación específica que es utilizada por el cliente de AnyConnct si usted implementa el Marco de políticas modular de Cisco ASA. Por ejemplo, usted podría eximir el Skinny Protocol de la exención con estos comandos.
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problemas por Crash de AnyConnect

Complete estos pasos de la recolección de datos:

1. Asegúrese de que esté habilitada la Utilidad de Microsoft Dr. Watson. Para hacerlo, seleccione Start> Run, y ejecute Drwtsn32.exe. Configure esto y haga clic en OK:
   
   

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   
   
   Cuando se produzca el crash, recopile los archivos .log y .dmp de C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. Si estos archivos se están usando, utilice ntbackup.exe.
   
   
2. Obtenga el log del Cisco AnyConnect VPN Client del Visor de Eventos de Windows en el equipo cliente:
   
   
   1. Elija Start > Run.
      
      
   2. Ingrese:
      
      

      eventvwr.msc /s

      
      
      
   3. Haga clic con el botón derecho en el log de Cisco AnyConnect VPN Client, y seleccione Save Log File As AnyConnect.evt.
      
      

      Nota: Siempre guarde el archivo con el formato de archivo .evt.

Problemas con la Fragmentación o el Paso del Tráfico

Algunas aplicaciones, tales como Microsoft Outlook, no trabajan. Sin embargo, el túnel puede pasar el otro tráfico tal como pequeños ping.

Esto puede proporcionar pistas en cuanto a un problema de fragmentación en la red. El rendimiento de los routers del consumidor es particularmente deficiente en cuanto a la fragmentación de paquetes y el re ensamblado.

Intente un conjunto del escalamiento de los ping para determinar si falla en cierto tamaño. Por ejemplo, ping - l 500, ping - l 1000, ping - l 1500, ping - l 2000.

Se recomienda que usted configura a un grupo especial para los usuarios que experimentan la fragmentación, y fija la unidad máxima de la transición de SVC (MTU) para este grupo a 1200. Esto le permite a los usuarios del remediate que experimentan este problema, pero no afectar la Base del usuario más amplia.

Problema

Caída de las conexiones TCP conectada una vez con AnyConnect.

Solución

Para verificar si su usuario tiene un problema de fragmentación, ajuste el MTU para que haya clientes de AnyConnect en el ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Desinstalación Automática

Problema

El cliente VPN de AnyConnect se desinstala una vez que la conexión termina. Los logs del cliente muestran que la opción mantener instalado está inhabilitada.

Solución

AnyConnect se desinstala a pesar de ése que la opción instalada custodia se selecciona en el Administrador de dispositivos de seguridad adaptante (ASDM). Para resolver este problema, configure el comando svc keep-installer installed debajo de la política de grupo.

Publique la población del cluster FQDN

Problema: PRE-pueblan al cliente de AnyConnect con el nombre de host en vez del nombre de dominio completo (FQDN) del cluster.

Cuando usted tiene una configuración del cluster del balanceo de carga para SSL VPN y el cliente intenta conectar con el cluster, la petición se reorienta al nodo ASA y el cliente abre una sesión con éxito. Después de una cierta hora, cuando el cliente intenta conectar con el cluster otra vez, el cluster FQDN no se considera en la conexión con las entradas. En lugar, se considera la entrada del nodo ASA a la cual han reorientado al cliente.

Solución

Esto ocurre porque el cliente de AnyConnect conserva el nombre del host al cual él la más reciente conectado. Se observa este comportamiento y se ha clasifiado un bug. Para los detalles completos sobre el bug, refiera al Id. de bug Cisco CSCsz39019. La solución alternativa sugerida es actualizar Cisco AnyConnect a la versión 2.5.

Configuración de la lista del servidor de backup

Se configura una lista del servidor de backup en caso de que el servidor principal seleccionado por el usuario no sea accesible. Esto se define en el cristal del servidor de backup en el perfil de AnyConnect. Complete estos pasos:

1. Descargue el editor del perfil de AnyConnect (clientes registrados solamente). El nombre del archivo es AnyConnectProfileEditor2_4_1.jar.
   
   
2. Cree un archivo XML con el editor del perfil de AnyConnect.
   
   
   1. Vaya a la lengueta de la lista de servidores.
      
      
   2. Haga clic en Add (Agregar).
      
      
   3. Teclee al servidor principal en el campo del nombre de host.
      
      
   4. Agregue al servidor de backup debajo de la lista del servidor de backup en el campo de la dirección de host. Entonces, haga click en Add
   
   
   
3. Una vez que usted tiene el archivo XML, usted necesita asignarlo a la conexión que usted utiliza en el ASA.
   
   
   1. En el ASDM, elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > los perfiles de la conexión de AnyConnect.
      
      
   2. Seleccione su perfil y el tecleo edita.
      
      
   3. El tecleo maneja de la sección Política del grupo predeterminado.
      
      
   4. Seleccione su grupo-directiva y el tecleo edita.
      
      
   5. Seleccione avanzado y después haga clic al cliente VPN SSL.
      
      
   6. Haga clic en New. Entonces, usted necesita teclear un nombre para el perfil y asignar el archivo XML.
   
   
   
4. Conecte al cliente con la sesión para descargar el archivo XML.

AnyConnect: Problema en la Base de Datos del Driver Dañado

Esta entrada en el archivo SetupAPI.log sugiere que el sistema de catálogo está dañado:

Falta la lista de clase de firma del driver W239 “C:\WINDOWS\INF\certclas.inf” o no es válida. Error 0xfffffde5: El Error desconocido., si se asume que todas las clases de dispositivo está conforme a la directiva de firma del driver.

Usted puede también recibir este mensaje de error: Error(3/17): Incapaz de comenzar el VA, la configuración compartió la cola, o el VA abandonó la cola compartida.

Usted puede recibir este inicio el cliente: “El driver del cliente VPN ha encontrado un error”.

Reparación

Este problema es debido al Id. de bug Cisco CSCsm54689. Para resolver este problema, asegúrese de que el Routing and Remote Access Service esté inhabilitado antes de iniciar AnyConnect. Si esto no resuelve el problema, siga estos pasos:

1. Abra un indicador de comando como Administrador en el equipo (indicador elevado en Vista).
   
   
2. Ejecute net stop CryptSvc.
   
   
3. Ejecútese:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   
4. Cuando se le pregunte, elija OK para intentar la reparación.
5. Salga del indicador de comando.
   
   
6. Reiniciar.

Reparación fallada

Si la reparación falla, siga estos pasos:

1. Abra un indicador de comando como Administrador en el equipo (indicador elevado en Vista).
   
   
2. Ejecute net stop CryptSvc.
   
   
3. Cambie el nombre del directorio %WINDIR%\system32\catroot2 to catroot2_old.
   
   
4. Salga del indicador de comando.
   
   
5. Reiniciar.

Analizar la Base de Datos

Puede analizar la base de datos en cualquier momento para determinar si es válida.

1. Abra un indicador de comando como Administrador en el equipo.
   
   
2. Ejecútese:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   Consulte Integridad de la Base de Datos del Catálogo del Sistema para obtener más información.
   
   

   Nota: Refiera al asapedia para más información.

Mensajes de error

Error: Unable to Update the Session Management Database

Cuando la SSL VPN está conectada a través de un navegador web, aparece Unable to Update the Session Management Database como mensaje de error, y los logs de ASA muestran %ASA-3-211001: Memory allocation Error. El dispositivo de seguridad adaptante no pudo afectar un aparato memoria del sistema del RAM.

Solución 1

Este problema es debido al Id. de bug Cisco CSCsm51093. Para resolver este problema, recargue el ASA o actualice el software ASA a la versión provisoria mencionada en el bug. Refiera al Id. de bug Cisco CSCsm51093 para más información.

Solución 2

Este problema puede también ser resuelto si usted inhabilita la amenaza-detección en el ASA si se utiliza la amenaza-detección.

Error: “El cliente VPN \ vpnapi.dll de c:\Program Files\Cisco\Cisco AnyConnect del módulo no pudo registrarse”

Cuando usted utiliza al cliente de AnyConnect en las laptopes o los PC, un error ocurre durante el instalar:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Cuando se encuentra este error, el instalador no puede moverse adelante y quitan al cliente.

Solución

Éstas son las soluciones alternativas posibles para resolver este error:

• Soportan al último cliente de AnyConnect no más oficialmente con el Microsoft Windows 2000. Es un problema del registro con el ordenador 2000. Refiera a la sección de los requisitos de Windows de los Release Note de AnyConnect.
  
  
• Quite las aplicaciones de VMware. Una vez que AnyConnect está instalado, las aplicaciones de VMware se pueden agregar de nuevo al PC.
  
  
• Agregue el ASA a sus sitios confiables. Para más información, refiera al dispositivo de seguridad que agrega para enumerar de la sección de los sitios confiables de los Release Note de AnyConnect.
  
  
• Copie estos archivos del \ la carpeta de ProgramFiles \ de Cisco \ de CiscoAnyconnect a una nueva carpeta y funcione con el comando prompt regsvr32 vpnapi.dll:
  
  
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll
  
  
  
• Nueva imagen el sistema operativo en el laptop/PC.

El mensaje del registro relacionado con este error en el cliente de AnyConnect parece similar a esto:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Error: “Un error fue recibido del gateway seguro en respuesta a la petición de la negociación VPN. Entre en contacto por favor a su administrador de la red”

Cuando los clientes intentan conectar con el VPN con el Cliente Cisco AnyConnect VPN, se recibe este error.

Este mensaje fue recibido del gateway seguro:

La “clase de la extensión ilegal” o el “host o la red es 0" o “otros errores”

Solución

El problema ocurre debido al agotamiento de la agrupación IP local ASA. Mientras que se agota el recurso del pool VPN, el rango de la agrupación IP debe ser agrandado.

El Id. de bug Cisco es CSCsl82188 se clasifía para este problema. Este error ocurre generalmente cuando agotan a la agrupación local para la asignación de dirección, o si utilizan a una máscara de subred de 32 bits para la agrupación de direcciones. La solución alternativa es ampliar a la agrupación de direcciones y utilizar a una máscara de subred 24-bit para el pool.

Error: La sesión no podía ser establecida. Límite de sesión de 2 alcanzados.

Cuando usted intenta conectar a más de dos clientes con el cliente VPN de AnyConnect, usted recibe el mensaje de error fallado login en el cliente y un mensaje de advertencia en los registros ASA que estado la sesión no podría ser establecido. Límite de sesión de 2 alcanzados. Tengo la licencia esencial de AnyConnect en el ASA, que funciona con la versión 8.0.4.

Solución 1

Este error ocurre porque la licencia esencial de AnyConnect no es soportada por la Versión de ASA 8.0.4. Usted necesita actualizar el ASA a la versión 8.2.2. Esto resuelve el error.

Nota: Sin importar la licencia usada, si se alcanza el límite de sesión, el usuario recibirá el mensaje de error fallado login.

Solución 2

Este error puede también ocurrir si utilizan al comando session-limit del MAX-anyconnect-superior-o-esencial-límite de VPN-sessiondb de establecer el límite de sesiones de VPN permitidas para ser establecido. Si el sesión-límite se fija como dos, después el usuario no puede establecer más de dos sesiones aunque la licencia instalada soporta más sesiones. Fije el sesión-límite al número de sesiones de VPN requeridas para evitar este mensaje de error.

Error: Anyconnect no habilitado en el servidor VPN mientras que intenta conectar el anyconnect con el ASA

Usted recibe el Anyconnect no habilitado en el mensaje de error del servidor VPN cuando usted intenta conectar AnyConnect con el ASA.

Solución

Se resuelve este error si usted habilita AnyConnect en la interfaz exterior del ASA con el ASDM. Para más información sobre cómo habilitar AnyConnect en la interfaz exterior, refiera a habilitar el protocolo del cliente VPN SSL.

Error: -- %ASA-6-722036: IP x.x.x.x del xxxx del usuario del cliente-grupo del grupo que transmite el paquete grande 1220 (umbral 1206)

El %ASA-6-722036: El usuario < xxxx > del < Grupo de clientes > del grupo IP < x.x.x.x> que transmite el mensaje de error grande del paquete 1220 (umbral 1206) aparece en los registros del ASA. ¿Se resuelve qué hace este medio logarítmico y cómo esto?

Solución

Estados de este mensaje del registro que un paquete grande fue enviado al cliente. La fuente del paquete no es consciente del MTU del cliente. Esto puede también ser debido a la compresión de los datos incompresibles. La solución alternativa es apagar la compresión de SVC con el comando none de la compresión svc. Esto resuelve el problema.

Error: El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición.

Cuando usted conecta con el cliente de AnyConnect, se recibe este error: “El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere la reautentificación y se debe comenzar manualmente. Entre en contacto por favor a su administrador de la red si persiste este problema. El siguiente mensaje fue recibido del gateway seguro: ningún direccionamiento asignado”.

Este error también se recibe cuando usted conecta con el cliente de AnyConnect: “El gateway seguro ha rechazado el intento de conexión. Una tentativa de la nueva conexión lo mismo u otro asegura el gateway es necesaria, que requiere la reautentificación. El siguiente mensaje fue recibido del gateway seguro: El host o la red es el 0".

Este error también se recibe cuando usted conecta con el cliente de AnyConnect: “El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere una reautentificación y se debe comenzar manualmente. Entre en contacto por favor al administrador de la red si persiste el problema. El siguiente mensaje fue recibido del gateway seguro: Ninguna licencia”.

Solución

El router faltaba la configuración de agrupación después de la recarga. Usted necesita agregar la configuración en cuestión de nuevo al router.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

“El gateway seguro ha rechazado el vpn del agente conecta o vuelve a conectar la petición. Una nueva conexión requiere una reautentificación y se debe comenzar manualmente. Entre en contacto por favor al administrador de la red si persiste el problema. El siguiente mensaje fue recibido del gateway seguro: Error de ninguna licencia el” ocurre cuando la licencia de la movilidad de AnyConnect falta. Una vez que la licencia está instalada, se resuelve el problema.

Error: “Incapaz de poner al día la base de datos de la administración de la sesión”

Cuando usted intenta autenticar en WebPortal, se recibe este mensaje de error: “Incapaz de poner al día la base de datos de la administración de la sesión”.

Solución

Este problema se relaciona con la asignación de memoria en el ASA. Este problema se encuentra sobre todo cuando la Versión de ASA es 8.2.1. Originalmente, esto requiere un RAM 512MB para sus funciones completas. Refiera a la sección de los requisitos de memoria en los Release Note.

Como solución alternativa permanente, actualice la memoria a 512MB. Usted puede pedir los “equipos de actualización de memoria”.

Como solución provisoria, intente liberar la memoria con estos pasos:

1. Inhabilite la amenaza-detección.
   
   
2. Inhabilite la compresión de SVC.
   
   
3. Recargue el ASA.
   
   

Error: “El driver del cliente VPN ha encontrado un error”

Esto es un mensaje de error obtenido en la máquina del cliente cuando usted intenta conectar con AnyConnect.

Solución

Para resolver este error, complete este procedimiento para fijar manualmente el agente de AnyConnect VPN a interactivo:

1. Haga clic con el botón derecho del ratón el > Services (Servicios) del manage > services and applications del Mi PC > > y seleccione el agente de Cisco AnyConnect VPN.
   
   
2. Haga clic con el botón derecho del ratón las propiedades, después el inicio, y selectos permiten que el servicio obre recíprocamente con el escritorio.
   
   Esto fija el valor DWORD del tipo del registro a 110 (el valor por defecto es 010) para el HKEY_LOCAL_MACHINE \ SISTEMA \ CurrentControlSet \ servicios \ vpnagent.
   
   

   Nota: Si se va éste a ser utilizado, después la preferencia sería utilizar el .MST transforma el en este caso. Esto es porque si usted fija esto manualmente con estos métodos, requiere que esto esté fijada después de cada instale/proceso de actualización. Esta es la razón por la cual hay una necesidad de identificar la aplicación que causa este problema.

   
   
   Cuando habilitan al servicio de enrutamiento y acceso remoto (RRAS) en el PC de Windows, AnyConnect falla con el cliente VPN que el driver ha encontrado un error. . Para resolver este problema, aseegurese que el rutear y el RRAS está inhabilitado antes de comenzar AnyConnect. Refiera al Id. de bug Cisco CSCsm54689 para más información.

Error: “Incapaz de procesar la respuesta del xxx.xxx.xxx.xxx”

Fall de los clientes de AnyConnect a conectar con Cisco ASA. El error en la ventana de AnyConnect no puede “procesar la respuesta del xxx.xxx.xxx.xxx”.

Solución

Para resolver este error, intente estas soluciones alternativas:

• Quite el WebVPN del ASA y vuélvalo a permitir.
  
  
• Cambie el número del puerto a 444 de los 443 existentes y vuélvalo a permitir en 443.

Para más información sobre cómo habilitar el WebVPN y cambiar el puerto para el WebVPN, refiera a esta solución.

Error: El “login negó, mecanismo de la conexión no autorizada, entra en contacto a su administrador”

Los clientes de AnyConnect no pueden conectar con Cisco ASA. El error en la ventana de AnyConnect es “login negado, mecanismo de la conexión no autorizada, entra en contacto a su administrador”.

Solución

Este mensaje de error ocurre sobre todo debido a los problemas de configuración que son incorrectos o una configuración incompleta. Marque la configuración y aseegurese la es como sea necesario resolver el problema.

Error: “Paquete de Anyconnect inasequible o corrompido. Entre en contacto a su administrador de sistema”

Este error ocurre cuando usted intenta poner en marcha el software de AnyConnect de un cliente Macintosh para conectar con un ASA.

Solución

Para resolver esto, complete estos pasos:

1. Cargue el paquete de Macintosh AnyConnect al flash del ASA. Para más información sobre esto, refiera a cargar la imagen de AnyConnect.
   
   
2. Modifique la configuración del WebVPN para especificar el paquete de AnyConnect se utiliza que.
   
   

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   
   
   El comando de la imagen svc es substituido por el comando de la imagen del anyconnect en la Versión de ASA 8.4(1) y posterior como se muestra aquí:
   
   

   hostname(config)#webvpn
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Error: “El paquete de AnyConnect en el gateway seguro no podía ser localizado”

Este error se causa en la máquina de Linux del usuario cuando intenta conectar con el ASA iniciando AnyConnect. Aquí está el error completo:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solución

Para resolver este mensaje de error, verifique si el operating system (OS) que se utilice en la máquina del cliente es soportado por el cliente de AnyConnect. Para toda la información sobre el software admitido, refiera a la sección de los requisitos del sistema en los Release Note de AnyConnect.

Si se soporta el OS, después verifique si el paquete de AnyConnect se especifica en la configuración del WebVPN o no. Vea la sección inasequible o corrompida del paquete de Anyconnect de este documento para más información.

Error: El “VPN seguro vía el escritorio remoto no se soporta”

Los usuarios no pueden realizar un acceso de escritorio remoto. El VPN seguro vía el escritorio remoto no es mensaje de error soportado aparece.

Solución

Este problema es debido a este bug Cisco ID: CSCsu22088 y CSCso42825. Si usted actualiza al cliente VPN de AnyConnect, puede resolver el problema. Refiera a estos bug para más información.

Error: “El certificado de servidor recibido o su encadenamiento no cumple con los FIP. Una conexión VPN no será establecida”

Cuando usted intenta al VPN al ASA 5505, el certificado de servidor recibido o su encadenamiento no cumple con los FIP. Una conexión VPN no será mensaje de error establecido aparece.

Solución

Para resolver este error, usted debe inhabilitar los Estándares de procesamiento de la información federales (FIP) en el archivo de la política local de AnyConnect. Este archivo se puede encontrar generalmente en el cliente VPN \ AnyConnectLocalPolicy.xml de C:\ProgramData\Cisco\Cisco AnyConnect. Si este archivo no se encuentra en esta trayectoria, después localice el archivo en un directorio distinto con una trayectoria tal como usuarios \ datos de aplicación \ Cisco AnyConnectVPNClient \ AnyConnectLocalPolicy.xml de C:\Documents and Settings\All. Una vez que usted localiza el archivo del xml, realice los cambios a este archivo como se muestra aquí:

Cambie la frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Entonces, recomience el ordenador. Los usuarios deben tener permisos administrativos para modificar este archivo.

Error: “Error de la validación de certificado”

Los usuarios no pueden iniciar AnyConnect y recibir el error del error de la validación de certificado.

Solución

Los trabajos de la autenticación certificada con AnyConnect compararon diferentemente al cliente IPSec. Para que la autenticación certificada trabaje, usted debe importar el certificado del cliente a su navegador y cambiar el perfil de la conexión para utilizar la autenticación certificada. Usted también necesita permitir a este comando en su ASA para permitir que los certificados del cliente SSL sean utilizados en la interfaz exterior:

puerto externo 443 de la interfaz de la autenticación certificada SSL

Para más información sobre este comando, refiera a la autenticación certificada SSL.

Error: “El servicio del agente VPN ha encontrado un problema y necesita cerrarse. Lo sentimos para la inconveniencia”

Cuando la versión 2.4.0202 de AnyConnect está instalada en Windows XP PC, para en la puesta al día de los archivos de la localización y un mensaje de error muestra que el vpnagent.exe falla.

Solución

Este comportamiento es el Id. de bug Cisco abierto una sesión CSCsq49102. La solución alternativa sugerida es inhabilitar al cliente del Citrix.

Error: “Este paquete de la instalación no podía ser abierto. Verifique que exista el paquete”

Cuando se descarga AnyConnect, se recibe este mensaje de error:

“Entre en contacto a su administrador de sistema. El instalador fallado con el error siguiente: Este paquete de la instalación no podía ser abierto. Verifique que exista el paquete y que usted pueda accederlo, o entre en contacto al vendedor de la aplicación para verificar que esto es un paquete válido del instalador de Windows.”

Solución

Complete estos pasos para solucionar este problema:

1. Quite cualquier software del contra virus.
   
   
2. Inhabilite firewall de Windows.
   
   
3. Si ni las ayudas del paso 1 o 2, después formatan la máquina y entonces instalela.
   
   
4. Si todavía persiste el problema, abra un caso TAC.

Error: La “aplicación del error transforma. Verifique que especificados transformen las trayectorias sean válidos.”

Este mensaje de error se recibe durante la auto-descarga de AnyConnect del ASA:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Éste es el mensaje de error recibido al conectar con AnyConnect para el MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Solución

Complete una de estas soluciones alternativas para resolver este problema:

1. La causa raíz de este error pudo ser debido a un archivo corrompido de la traducción MST (por ejemplo, importado). Realice estos pasos para reparar esto:
   
   
   1. Quite la tabla de traducción MST.
      
      
   2. Configure la imagen de AnyConnect para el MacOS en el ASA.
   
   
   
2. Del ASDM, siga el acceso de la red (cliente) > la aduana de AnyConnect > instala la trayectoria y borra el archivo de paquete de AnyConnect. Aseegurese el paquete permanece en el acceso de la red (cliente) > avanzó > SSL VPN > configuración del cliente.

Si ningunas de estas soluciones alternativas resuelven el problema, entre en contacto el Soporte técnico de Cisco.

Error: “El driver del cliente VPN ha encontrado un error”

Se recibe este error:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Solución

Este problema puede ser resolved cuando usted desinstala al cliente de AnyConnect, y después quita el software del contra virus. Después de esto, reinstale al cliente de AnyConnect. Si esta resolución no trabaja, después cambie formato el PC para reparar este problema.

Error: “Un VPN vuelve a conectar dado lugar a diverso ajuste de la configuración. La configuración de la red VPN está siendo reinicializada. Las aplicaciones que utilizan la red privada pueden necesitar ser restablecido.”

Se recibe este error cuando usted intenta iniciar AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Solución

Para resolver este error, utilice esto:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

Al comando mtu del anyconnect en la Versión de ASA 8.4(1) substituye al comando mtu svc y posterior como se muestra aquí:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Error de AnyConnect mientras que abre una sesión

Problema

El AnyConnect recibe este error cuando conecta con el cliente:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Solución

El problema puede ser resuelto si usted realiza estos cambios al perfil de AnyConnect:

Agregue esta línea al perfil de AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

La configuración de representación IE no se restablece después de que desconexión de AnyConnect en Windows 7

Problema

En Windows 7, si la configuración de representación IE se configura para automáticamente detecte las configuraciones y a AnyConnect empuja hacia abajo una nueva configuración de representación, la configuración de representación IE no se restablece de nuevo a automáticamente detectan las configuraciones después del usuario termina la sesión de AnyConnect. Esto causa los problemas LAN para los usuarios que necesitan su configuración de representación configurada para automáticamente detectan las configuraciones.

Solución

Este comportamiento es el Id. de bug Cisco abierto una sesión CSCtj51376. La solución alternativa sugerida es actualizar al 3.0 de AnyConnect.

Error: El esencial de AnyConnect no puede ser habilitado hasta que todas estas sesiones sean cerradas.

Este mensaje de error se recibe en el ASDM de Cisco cuando usted intenta habilitar la licencia del esencial de AnyConnect:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Solución

Éste es el comportamiento normal del ASA. El esencial de AnyConnect es un cliente VPN por separado autorizado SSL. Se configura totalmente en el ASA y proporciona la capacidad completa de AnyConnect, con estas excepciones:

• Ningún (CSD) del Cisco Secure Desktop (producto de limpieza de discos incluyendo de HostScan/de la cámara acorazada/del caché)
  
  
• Ningún clientless SSL VPN
  
  
• Soporte opcional de Windows Mobile
  
  

Esta licencia no se puede utilizar al mismo tiempo que la licencia compartida del premio SSL VPN. Cuando usted necesita utilizar una licencia, usted necesita inhabilitar la otra.

Error: La lengueta de la conexión en la opción de Internet del Internet Explorer oculta después de conseguir conectada con el cliente de AnyConnect.

La lengueta de la conexión en la opción de Internet del Internet Explorer oculta después de que usted esté conectado con el cliente de AnyConnect.

Solución

Esto es debido a la característica del lockdown del MSIE-proxy. Si usted habilita esta característica, oculta la lengueta de las conexiones en Microsoft Internet Explorer para la duración de una sesión de VPN de AnyConnect. Si usted inhabilita la característica, sale de la visualización de la lengueta de las conexiones sin cambios.

Error: Pocos usuarios que conseguían el login fallaron el mensaje de error cuando otros pueden conectar con éxito con AnyConnect VPN

Algunos usuarios reciben el mensaje de error fallado login cuando otros pueden conectar con éxito con el AnyConnect VPN.

Solución

Este problema puede ser resuelto si usted se aseegura no requiere el checkbox de la PRE-autenticación se marca para saber si hay los usuarios.

Error: El certificado que usted está viendo no hace juego con el nombre del sitio usted está intentando ver.

Durante la actualización del perfil de AnyConnect, se muestra un error que dice el certificado es inválido. Esto ocurre con Windows solamente y en la fase de la actualización del perfil. El mensaje de error se muestra aquí:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Solución

Esto puede ser resuelta si usted modifica la lista de servidores del perfil de AnyConnect para utilizar el FQDN del certificado.

Esto es una muestra del perfil XML:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

Nota: Si hay una entrada existente para el IP Address público del servidor tal como <HostAddress>, después quítelo y conserve solamente el FQDN del servidor (por ejemplo, <hostname> pero no < dirección de host >).

No puede iniciar AnyConnect de la cámara acorazada CSD de una máquina de Windows 7

Cuando el AnyConnect se inicia de la cámara acorazada CSD, no trabaja. Esto se intenta en las máquinas de Windows 7.

Solución

Actualmente, esto no es posible porque no se soporta.

El perfil de AnyConnect no consigue replicado al recurso seguro después de la Conmutación por falla

El cliente VPN del 3.0 de AnyConnect con los trabajos del software de la Versión de ASA 8.4.1 muy bien. Sin embargo, después de la Conmutación por falla, no hay replicación para la configuración relacionada del perfil de AnyConnect.

Solución

Este problema se ha observado y se ha registrado bajo el Id. de bug Cisco CSCtn71662. La solución provisoria es copiar manualmente los archivos a la unidad en espera.

Caídas del cliente de AnyConnect si va el Internet Explorer off-liné

Cuando ocurre esto, el registro de acontecimientos de AnyConnect contiene las entradas similares a éstos:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solución

Este comportamiento se observa y se registra bajo el Id. de bug Cisco CSCtx28970. Para resolver esto, salga la aplicación de AnyConnect y reláncela. Las entradas de la conexión reaparecen después del relanzamiento.

Mensaje de error: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

El cliente de AnyConnect no puede conectar y se recibe el incapaz de establecer un mensaje de error de conexión. En el registro de acontecimientos de AnyConnect, se encuentra el error TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Solución

Esto ocurre cuando el headend se configura para el Túnel dividido con una lista de túnel dividido muy grande (aproximadamente entradas del 180-200) y uno o más otros atributos del cliente se configuran en la grupo-directiva, tal como dns-servidor.

Complete estos pasos para resolver el problema:

1. Reduzca el número de entradas en la lista de túnel dividido.
   
   
2. Utilice esta configuración para inhabilitar los DTL:
   
   

   group-policy groupName attributes
     webvpn
       svc dtls none

Para más información, refiera al Id. de bug Cisco CSCtc41770.

Mensaje de error: El “intento de conexión ha fallado debido a la entrada de host inválida”

Se recibe el intento de conexión ha fallado debido al mensaje de error inválido de la entrada de host mientras que AnyConnect se autentica con el uso de un certificado.

Solución

Para resolver este problema, intente cualquiera de estas Soluciones posibles:

• Actualice el AnyConnect a la versión 3.0.
• Inhabilite el Cisco Secure Desktop en su ordenador.

Para más información, refiera al Id. de bug Cisco CSCti73316.

Error: “Asegúrese que sus certificados de servidor puedan pasar el modo estricto si usted configura siempre-en el VPN”

Cuando usted habilita Siempre-en la característica en AnyConnect, el asegurar sus certificados de servidor puede pasar el modo estricto si usted configura siempre-en el mensaje de vpn error se recibe.

Solución

Este mensaje de error implica que si usted quiere utilizar Siempre-en la característica, usted necesita un válido separa el certificado configurado en el headend. Sin un certificado de servidor válido, esta característica no trabaja. El modo estricto CERT es una opción que usted fija en el archivo de la política local de AnyConnect para asegurar el uso de las conexiones a un certificado válido. Si usted habilita esta opción en el archivo de políticas y conecta con un certificado falso, la conexión falla.

Error: “Intento de conexión fallado”

Esta herramienta de informe de diagnóstico de AnyConnect (DARDO) muestra un intento fallido:

******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft 
Windows HTTP Services 
*****************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

También, refiera al visor de eventos abre una sesión la máquina de Windows.

Solución

Esto se podía causar debido a una conexión corrompida del Winsock. Reajuste la conexión del comando prompt con este comando y recomience su máquina de las ventanas:

restauración del Winsock del netsh

Refiera a cómo determinar y recuperarse de la corrupción Winsock2 en el Servidor Windows 2003, en Windows XP, y en el artículo sobre Knowledge Base de Windows Vista para más información.

Información Relacionada

• Cisco ASA 5500 Series Adaptive Security Appliances
• Preguntas Más Frecuentes sobre AnyConnect VPN Client
• Preguntas Frecuentes sobre Cisco Secure Desktop (CSD)
• Cisco AnyConnect VPN Client
• Soporte Técnico y Documentación - Cisco Systems