Risoluzione dei problemi comuni di Cisco Secure Client VPN

Introduzione

Questo documento descrive i problemi di Cisco Secure Client con errori e disconnessioni delle app su Windows, macOS e Linux.

Prerequisiti

Requisiti

Prima di utilizzare questo documento, verificare di disporre di:

• Cisco Secure Client 5.x sull'endpoint (o la versione supportata dall'headend).
• Possibilità di raccogliere un bundle DART o i log dei client.
• Accesso amministrativo all'headend VPN (ASA o FTD).

Componenti usati

Le informazioni fornite in questo documento si basano su:

• Client: Cisco Secure Client 5.x (modulo AnyConnect VPN).
• Headend Cisco ASA 9.x o Cisco Secure Firewall Threat Defense (FTD) con VPN ad accesso remoto.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Vedere la sezione Risoluzione dei problemi di Cisco Secure Client nella guida per l'amministratore del prodotto.

Risoluzione dei problemi del processo

In questo documento vengono descritti in dettaglio i problemi della VPN Cisco Secure Client (tra cui AnyConnect), inclusi gli errori delle applicazioni, le disconnessioni impreviste e gli errori comuni nelle configurazioni degli headend Windows, macOS, Linux e Cisco ASA/FTD.

• Applicazioni che non funzionano tramite il tunnel VPN.
• I client si connettono o si disconnettono in modo imprevisto.
• Messaggi di errore comuni visualizzati sul client o sull'headend.

Copre il client VPN su Windows, macOS e Linux, compresa la configurazione dell'headend su Cisco ASA e l'accesso remoto Cisco Secure Firewall Threat Defense (FTD). VPN

Consultare le sezioni seguenti per risolvere problemi e soluzioni comuni:

• Raccogli informazioni per la risoluzione dei problemi
• Problemi di installazione e dell'adattatore virtuale
• Disconnessione o impossibilità di stabilire una connessione iniziale
• Problemi di transito del traffico
• Problemi di arresto anomalo di AnyConnect
• Problemi di frammentazione/transito del traffico
• Disinstallazione automatica
• Problema di popolamento dell'FQDN del cluster
• Configurazione dell'elenco dei server di backup

Raccogli informazioni per la risoluzione dei problemi

Raccogliere i dati del client e dell'headend prima di modificare la configurazione. TAC richiede in genere un bundle DART.

Client — Statistiche e DART

1. Esporta statistiche di connessione
   
   • Windows: Icona ingranaggio > Finestra avanzata > Statistiche > AnyConnect VPN > Esporta statistiche
   • macOS: Statistiche Icona > Esporta statistiche
   • Linux: Dettagli sull'interfaccia utente del client
2. Esegui DART
   
   • Windows/Linux: Icona ingranaggio > Finestra avanzata > Diagnostica
   • macOS: Menu Applicazione > Genera rapporto di diagnostica
   Collegare il pacchetto alla richiesta TAC o utilizzare il comando Upload to TAC con il numero SR e il token.
3. Problemi relativi al browser incorporato: Finestra avanzata > Generale > Browser Web > Cancella dati.

Headend — ASA

• show running-config
• show vpn-sessiondb detail anyconnect filter name <nome utente>
• Esempio di debug: 
  

  configure terminal
  logging enable
  logging timestamp
  logging class auth console debugging
  logging class webvpn console debugging
  logging class ssl console debugging
  logging class anyconnect console debugging

  Riprodurre l'errore, acquisire l'output, quindi non abilitare la registrazione.

Headend — FTD

Da FMC/CDO, esportare i criteri VPN di Accesso remoto e le impostazioni del profilo di connessione. Raccogliere i registri di connessione/VPN SSL FTD per la finestra di errore.

Problemi di installazione e dell'adattatore virtuale

Se l'installazione o l'installazione della scheda virtuale non riesce, raccogliere:

1. Registri di installazione di Windows:
   

   %SystemRoot%\Inf\setupapi.dev.log
   %SystemRoot%\Inf\setupapi.setup.log

2. Registro del programma di installazione MSI: %LOCALAPPDATA%\Temp\ o %SystemRoot%\Temp\ — nome file cisco-secure-client-win-install-*.log (più recente per la versione in uso).
3. MSI dettagliato (se necessario):
   

   msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

4. Informazioni di sistema: msinfo32 /nfo %TEMP%\msinfo.nfo e systeminfo > %TEMP%\sysinfo.txt

Per gli errori del database dei driver, vedere Cisco Secure Client: Problema del database dei driver danneggiato e sezione della guida per l'amministratore in cui viene rilevato l'errore del driver del client VPN (dopo un aggiornamento di Microsoft Windows).

Disconnessione o impossibilità di stabilire una connessione iniziale

Se si verificano problemi di connessione con Cisco Secure Client, raccogliere i dati per raccolta di informazioni per la risoluzione dei problemi prima di modificare la configurazione.

• Configurazione headend: show running-config o criterio di esportazione da FMC/CDO per FTD.
• Registri client: Raccogliere un bundle DART (vedere Raccolta di informazioni). Non fare affidamento sulle esportazioni precedenti del Visualizzatore eventi .evt.
• Debug ASA (se necessario): Abilitare logging class auth, webvpn, ssl e anyconnect al debug; riprodurre il guasto; output della console di acquisizione; quindi nessuna registrazione abilitata.

Se l'utente non è in grado di connettersi, il problema può essere correlato a Remote Desktop Protocol (RDP) o Fast User Switching. L'utente può visualizzare: Le impostazioni del profilo AnyConnect prevedono l'accesso di un singolo utente locale, ma al momento sono connessi più utenti locali. Impossibile stabilire una connessione VPN.

Disconnettere le sessioni RDP e disabilitare Cambio rapido utente. Più utenti locali simultanei non sono supportati sullo stesso computer per la definizione della VPN.

Nota: Verificare che la porta 443 (e UDP 443 per DTLS) non sia bloccata in modo che il client possa raggiungere l'headend.

Quando un utente non può connettersi, il problema può essere causato da un'incompatibilità tra la versione di Cisco Secure Client e il software dell'headend. L'utente può ricevere: Impossibile avviare il client VPN Cisco. L'accesso senza client non è disponibile. Aggiornare il client a una versione supportata dalla distribuzione della VPN ad accesso remoto ASA o FTD.

Quando si accede per la prima volta a Cisco Secure Client, lo script di accesso può presentare dei problemi. Se ci si disconnette e si accede di nuovo, lo script di accesso viene spesso eseguito come previsto. Questo comportamento può essere previsto a seconda della tempistica del profilo e dello script.

Quando ci si connette, è possibile ricevere: User not authorized for AnyConnect Client access, contact your administrator. Questa condizione si verifica spesso quando sull'headend manca l'immagine Secure Client. Caricare l'immagine client corretta e farvi riferimento nella configurazione di RSA VPN / WebVPN.

DART può visualizzare TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE quando il canale DTLS viene disattivato a causa di un errore DPD (Dead Peer Detection). Sintonizzare i pacchetti keepalive sull'appliance ASA:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

Disabilitare DTLS solo come test temporaneo (ASDM: Configurazione > VPN ad accesso remoto > Accesso di rete (client) > Profili di connessione AnyConnect, deselezionare Attiva DTLS o equivalente a FMC. Preferire la correzione della temporizzazione DPD e consentire UDP 443.

Problemi di transito del traffico

Quando vengono rilevati problemi di passaggio del traffico alla rete privata con una sessione Cisco Secure Client tramite l'ASA, attenersi alla seguente procedura di raccolta dati:

1. Ottenere l'output del comando show vpn-sessiondb detail anyconnect filter name <username> dalla console ASA. Se l'output restituisce Filter Name: XXXXX, mostra l'elenco degli accessi XXXXX. Verificare che l'elenco degli accessi non blocchi il traffico previsto.
   
   
2. Esporta statistiche di connessione: Cisco Secure Client > Gear > Finestra Avanzata > Statistiche > AnyConnect VPN > Esporta statistiche.
   
   
3. Controllare la configurazione dell'ASA per le istruzioni nat. Se Network Address Translation (NAT) è abilitato, il traffico che ritorna al client viene esentato. Esempio di esenzione NAT per un pool AnyConnect:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

4. Determinare se il gateway predefinito con tunneling deve essere abilitato. Esempio:
   
   

   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   Se il client deve raggiungere risorse non incluse nella tabella di routing del gateway VPN, la parola chiave tunneled instrada il traffico attraverso il tunnel VPN.
   
   
5. Verificare se il criterio di ispezione riduce il traffico dell'applicazione. È possibile concedere l'esenzione a un protocollo in Modular Policy Framework. Esempio di pelle:
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problemi di arresto anomalo di AnyConnect

Procedere come segue alla raccolta dei dati:

1. Raccogliere DART subito dopo l'arresto anomalo.
2. Nota Voci di Segnalazione errori Windows per vpnagent.exe / acvpnui.exe.
3. Registri client: %LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs (verificare il percorso della versione).

Problemi di frammentazione/transito del traffico

Alcune applicazioni, ad esempio Microsoft Outlook, non funzionano mentre il tunnel trasmette traffico ridotto, ad esempio piccoli ping. Ciò può indicare una frammentazione sul percorso. I router consumer sono spesso inadatti alla frammentazione e al riassemblaggio.

Provare a ridimensionare i ping: ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Configurare un criterio di gruppo dedicato per gli utenti interessati e impostare un valore MTU inferiore:

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

Disinstallazione automatica

Problema

Cisco Secure Client si disinstalla dopo la chiusura della connessione anche se l'opzione Mantieni installazione è selezionata in ASDM/FMC.

Soluzione

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

Problema di popolamento dell'FQDN del cluster

Problema: Il client AnyConnect è precompilato con il nome host anziché con il nome di dominio completo (FQDN) del cluster.

Quando si dispone di un cluster di bilanciamento del carico per VPN SSL e il client si connette, la richiesta può essere reindirizzata a un nodo del cluster e l'accesso ha esito positivo. In un tentativo di connessione successivo, l'FQDN del cluster non viene visualizzato in Connetti a; in alternativa, è possibile visualizzare il nome host dell'ultimo nodo.

Soluzione

Il client memorizza nella cache l'ultimo nome host corretto. Cancellare le voci memorizzate nella cache o impostare il nome di dominio completo (FQDN) del cluster nell'elenco dei server dei profili. Verifica su Cisco Secure Client 5.x. Per le note specifiche sulla piattaforma, vedere l'ID bug Cisco CSCsz39019.

Configurazione dell'elenco dei server di backup

Quando il server primario non è raggiungibile, viene configurato un elenco di server di backup. Definirlo nel riquadro Server di backup del profilo client. Attenersi alla seguente procedura:

1. Modificare il profilo con l'Editor di profili dal package headend Secure Client o in base alla Guida alla configurazione del profilo Secure Client 5.1. Assegnare il profilo in ASDM o FMC.
   
   
2. Creare o modificare il profilo XML:
   
   1. Passare alla scheda Server List.
   2. Fare clic su Add.
   3. Immettere il nome host del server primario.
   4. Aggiungere i server di backup nell'elenco dei server di backup, quindi fare clic su Aggiungi.
3. Assegnare il profilo alla connessione sull'appliance ASA:
   
   1. In ASDM: Configurazione > VPN ad accesso remoto > Accesso di rete (client) > Profili di connessione AnyConnect.
   2. Selezionare il profilo e fare clic su Edit.
   3. Fare clic su Manage nella sezione Default Group Policy.
   4. Selezionare la policy di gruppo e fare clic su Edit.
   5. Selezionare Avanzate, quindi Client VPN SSL.
   6. Fare clic su Nuovo, assegnare un nome al profilo e assegnare il file XML.
4. Connettere il client per scaricare il profilo.

Cisco Secure Client: database dei driver danneggiato

Questa voce nel file SetupAPI.log suggerisce che il sistema di catalogo è danneggiato:

L'elenco della classe di firma del driver W239 genera il messaggio di errore "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: Errore sconosciuto., presupponendo che tutte le classi di dispositivo siano soggette ai criteri di firma del driver. È inoltre possibile ricevere: Error(3/17): Unable to start VA, setup shared queue, or VA gave up shared queue.

E si può ricevere questo log sul client: "The VPN client driver has encountered an error".

Riparazione

Questo problema è correlato all'ID bug Cisco CSCsm54689. Disabilitare il servizio di routing e accesso remoto (RRAS) prima di avviare Cisco Secure Client. Se il problema persiste:

1. Aprire un prompt dei comandi come amministratore in Windows.
   
   
2. Eseguire il comando net stop CryptSvc.
   
   
3. Lanciare:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

4. Quando richiesto, scegliere OK per tentare il ripristino.
5. Uscire dal prompt dei comandi.
   
   
6. Riavviare.

Riparazione non riuscita

Se la riparazione non riesce:

1. Aprire un prompt dei comandi come amministratore in Windows.
   
   
2. Eseguire il comando net stop CryptSvc.
   
   
3. Rinominare %WINDIR%\system32\catroot2 in catroot2_old.
   
   
4. Uscire dal prompt dei comandi.
   
   
5. Riavviare.

Analisi del database

È possibile analizzare il database in qualsiasi momento per determinarne la validità.

1. Aprire un prompt dei comandi come amministratore in Windows.
   
   
2. Lanciare:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   Per ulteriori informazioni consultare Integrità del database del catalogo di sistema.

Messaggi di errore

Errore: Impossibile aggiornare il database di gestione delle sessioni

È possibile che questo errore venga visualizzato durante l'autenticazione della VPN SSL o del portale Web basata su browser. Nel client o nel portale viene visualizzato il messaggio Impossibile aggiornare il database di gestione delle sessioni. L'appliance ASA può registrare %ASA-3-211001: Memory allocation Error. The adaptive security appliance failed to allocate RAM system memory.

Soluzione 1

Relativamente all'ID bug Cisco CSCsm51093. Ricaricare l'ASA o aggiornare il sistema a una versione corretta in base al bug. In FTD verificare i limiti della memoria della piattaforma e della sessione VPN dell'agente di registrazione.

Soluzione 2

Memoria headend libera:

1. Disabilitare il rilevamento delle minacce, se abilitato.
2. Disabilitare la compressione AnyConnect: compressione anyconnect none nella sezione webvpn di criteri di gruppo.
3. Ricaricare l'ASA.
4. Sulle piattaforme ASA meno recenti con 256 MB di RAM, aggiornare il sistema a 512 MB se la memoria non è sufficiente.

Errore: "Registrazione del modulo non riuscita" durante l'installazione di Cisco Secure Client

Durante l'installazione in Windows, il programma di installazione segnala che un modulo (ad esempio vpnapi.dll) non è stato registrato ed è stato ripristinato.

Soluzione

• Rimuovere temporaneamente le schede di rete virtuali VMware in conflitto; reinstallare Secure Client; aggiungere nuovamente VMware.
• Aggiungere l'FQDN headend ai siti attendibili se si utilizza la distribuzione Web.
• Da C:\Program Files\Cisco\Cisco Secure Client\, eseguire con privilegi elevati: regsvr32 vpnapi.dll (e vpncommon.dll, vpncommoncrypt.dll se presente).
• Raccogliere il log dettagliato MSI (vedere la sezione Installazione) e DART se l'installazione continua a non riuscire.
• Come ultima risorsa, ripristinare Windows o ridistribuire da una disinstallazione pulita di Secure Client.

Errore: Il gateway di sicurezza ha restituito un errore in risposta alla richiesta di negoziazione VPN. Contattare l'amministratore di rete.

Quando i client si connettono con Cisco Secure Client, il gateway restituisce un errore come "Classe di indirizzi non valida", "Host o rete è 0", o "Altro errore".

Soluzione

L'ASA o il pool IP locale FTD è esaurito o non configurato correttamente. Espandere il pool di indirizzi VPN e utilizzare una maschera appropriata (ad esempio /24 anziché un pool solo /32). Vedere l'ID bug Cisco CSCsl82188.

Errore: AnyConnect non abilitato sul server VPN mentre si cerca di connettere AnyConnect all'ASA

Il client segnala che AnyConnect/Secure Client non è abilitato sul server VPN.

Soluzione

Abilitare la VPN ad accesso remoto e distribuire un'immagine client sicura sull'headend. Su appliance ASA: Configurazione > VPN ad accesso remoto > Accesso di rete (client) > Profili di connessione AnyConnect. Su FTD: configurare la VPN per l'Autorità registrazione integrità e l'immagine del client in FMC. Utilizzare una guida VPN ad accesso remoto, non una configurazione WebVPN Only senza client.

Errore:-% ASA-6-722036: Gruppo client-group utente xxxx IP x.x.x.x: trasmissione di un pacchetto grande 1220 (soglia 1206)

Il messaggio di errore %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (soglia 1206) viene visualizzato nei log ASA.

Soluzione

Al client è stato inviato un pacchetto di grandi dimensioni (MTU o dati non comprimibili). Disabilitare la compressione per i Criteri di gruppo:

group-policy <name> attributes
 webvpn
  anyconnect compression none

Errore: Il gateway di sicurezza ha rifiutato la richiesta di connessione o riconnessione VPN dell'agente.

Gli esempi includono nessun indirizzo assegnato, host o rete impostata su 0 o Nessuna licenza nel messaggio del gateway.

Soluzione

Verificare che l'headend disponga di un pool locale IP configurato e di un'assegnazione di indirizzi di Criteri di gruppo dopo il ricaricamento o il failover:

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

Per Nessuna licenza, installare o abilitare la licenza di mobilità Secure Client richiesta sull'headend.

Errore: Il driver del client VPN ha riscontrato un errore.

In genere, l'errore della scheda virtuale, il conflitto RRAS o il problema del driver successivo a Windows Update.

Soluzione

1. Disabilitare il servizio Routing e Accesso remoto (RRAS) prima di avviare Secure Client.
2. Completare l'operazione Cisco Secure Client: Passi danneggiati del database driver se l'interfaccia setupapi mostra errori di catalogo.
3. Dopo Windows Update, utilizzare Repair VPN Client Driver Error (Ripristina errore driver client VPN) nella Guida dell'amministratore di Secure Client 5.1.
4. Raccogliere DART e contattare TAC, se necessario. Vedere l'ID bug Cisco CSCsm54689.

Errore: Impossibile elaborare la risposta da xxx.xxx.xxx.xxx

Cisco Secure Client non riesce a connettersi con Unable to process response from <gateway>.

Soluzione

• Disabilitare e riabilitare VPN/WebVPN di accesso remoto sull'interfaccia interessata.
• Spostare temporaneamente la VPN SSL su un'altra porta (ad esempio, 444), quindi ripristinare 443.

Vedere configurazione del client VPN SSL sull'appliance ASA. Se l'errore persiste, selezionare DART.

Errore: Accesso negato, meccanismo di connessione non autorizzato, contattare l'amministratore

Cisco Secure Client visualizza Accesso negato, meccanismo di connessione non autorizzato, contattare l'amministratore.

Soluzione

Rivedere il profilo di connessione e l'autenticazione sull'headend (ASA o FTD). Verificare che il metodo di autenticazione client (RADIUS, SAML, certificato e così via) corrisponda al profilo. Verificare i criteri di gruppo e l'assegnazione dei gruppi di tunnel.

Errore: Pacchetto AnyConnect non disponibile o danneggiato. Contattare l'amministratore di sistema.

Questo errore può essere visualizzato quando si avvia Cisco Secure Client da un client Macintosh.

Soluzione

1. Caricare il pacchetto macOS Secure Client nell'headend flash.
2. Fare riferimento alla configurazione WebVPN:
   

   webvpn
    anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Errore: Impossibile trovare il pacchetto AnyConnect sul gateway di sicurezza

Su Linux (o altre piattaforme), il client non può scaricare il pacchetto dall'headend.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Soluzione

Verificare che il sistema operativo client sia supportato e che l'immagine corretta sia configurata sull'headend:

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Per i passaggi correlati, vedere Pacchetto AnyConnect non disponibile o danneggiato.

Errore: La VPN di sicurezza tramite desktop remoto non è supportata

Gli utenti vedono VPN protetta tramite desktop remoto non supportata.

Soluzione

Eseguire l'aggiornamento a una versione Cisco Secure Client 5.x supportata. Vedere l'ID bug Cisco CSCsu22088 e l'ID bug Cisco CSCso42825.

Errore: Il certificato del server ricevuto o la relativa catena non è conforme a FIPS. La connessione VPN non verrà stabilita.

Il client segnala che il certificato o la catena del server non è conforme a FIPS.

Soluzione

Se sull'endpoint è richiesto il protocollo FIPS, utilizzare i certificati conformi a FIPS sull'headend. Se non è necessario, modificare il file C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml e impostare <FipsMode>false</FipsMode>, quindi riavviare (sono necessari i diritti di amministratore).

Errore: Errore di convalida certificato

Gli utenti non possono avviare Cisco Secure Client e ricevere errori di convalida del certificato.

Soluzione

Per l'autenticazione del certificato, importare il certificato client, configurare il profilo per l'autenticazione del certificato e su ASA abilitare:

ssl certificate-authentication interface outside port 443

Verificare che il certificato del server corrisponda all'FQDN nell'elenco dei server dei profili.

Errore: VPN Agent Service ha riscontrato un problema e deve essere chiuso. Siamo spiacenti per l'inconveniente.

Il servizio vpnagent.exe non riesce durante l'installazione, l'aggiornamento o la connessione.

Soluzione

1. Riavviare Cisco Secure Client - AnyConnect VPN Agent nei servizi Windows.
2. Ripristina o reinstalla da distribuzione Web headend.
3. Raccogliere DART se il servizio si interrompe ripetutamente. Per i conflitti Citrix, vedere l'ID bug Cisco CSCsq49102.

Errore: Impossibile aprire il pacchetto di installazione. Verificare che il pacchetto esista.

Distribuzione Web non riuscita. Errore di Windows Installer durante l'apertura del pacchetto.

Soluzione

1. Verificare che il file MSI sia stato scaricato completamente. riprovare dal portale headend.
2. Disabilitare temporaneamente l'audio/video aggressivo nella cartella di download; raccoglie il log MSI dettagliato.
3. Verificare che il servizio Windows Installer sia in esecuzione.
4. Se il problema persiste, raccogliere i log DART/MSI e aprire una richiesta TAC.

Errore: Errore durante l'applicazione delle trasformazioni. Verificare che i percorsi di trasformazione specificati siano validi.

Il download automatico dall'headend non riesce, a volte a causa di una trasformazione MST danneggiata.

Soluzione

1. Rimuovere la trasformazione MST personalizzata dalla definizione dell'installazione personalizzata AnyConnect dell'headend.
2. Ricaricare l'immagine Secure Client corretta sull'headend.
3. In ASDM: Rete (client) > Accesso > AnyConnect personalizzato > Installazioni — Rimozione delle voci duplicate; mantenere l'immagine attiva in impostazioni client.

Errore: La riconnessione di una VPN ha prodotto impostazioni di configurazione diverse. L'impostazione della rete VPN è in corso di reinizializzazione. Potrebbe essere necessario ripristinare le applicazioni che utilizzano la rete privata.

È possibile che questo messaggio venga visualizzato dopo la riconnessione quando le impostazioni Push dell'headend vengono modificate.

Soluzione

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

Errore Cisco Secure Client Durante L'Accesso

Problema: Connessione VPN non consentita tramite un proxy locale. È possibile modificare questa impostazione tramite le impostazioni del profilo AnyConnect.

Soluzione

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

Errore: AnyConnect Essentials non può essere abilitato fino alla chiusura di tutte queste sessioni.

ASDM mostra le sessioni VPN SSL senza client in corso quando si abilita AnyConnect Essentials.

Soluzione

AnyConnect Essentials non può essere eseguito contemporaneamente alla licenza VPN SSL condivisa Premium. Terminare le sessioni VPN SSL senza client prima di abilitare Essentials. Essentials non include VPN SSL senza client.

Errore: Alcuni utenti ricevono il messaggio di errore Accesso non riuscito, mentre altri riescono a connettersi correttamente tramite la VPN AnyConnect

Alcuni utenti ricevono Accesso non riuscito mentre altri possono connettersi.

Soluzione

Assicurarsi che non richieda la preautenticazione (o equivalente) sia impostata correttamente per gli utenti interessati. Confrontare i mapping dei criteri di gruppo e dei profili di connessione.

Errore: Il certificato visualizzato non corrisponde al nome del sito che si desidera visualizzare.

Durante l'aggiornamento del profilo in Windows, la convalida del certificato non riesce in base all'URL di connessione.

Soluzione

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

Il profilo di AnyConnect non viene replicato in standby dopo il failover

Dopo il failover dell'ASA, i file relativi ai profili di Secure Client risultano mancanti sull'unità in standby.

Soluzione

Vedere l'ID bug Cisco CSCtn71662. Per risolvere il problema: copiare manualmente i file di profilo nella modalità standby. Verificare la sincronizzazione della configurazione di failover con stato per i profili VPN RA.

Messaggio di errore: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Cisco Secure Client non riesce a connettersi con Impossibile stabilire una connessione. Nel registro eventi viene visualizzato TLSPROTOCOL_ERROR_INSufficient_BUFFER.

Soluzione

Questo si verifica con un elenco di split-tunnel molto grande (circa 180-200 voci) più altri attributi dei criteri di gruppo (ad esempio, dns-server).

1. Ridurre le voci dell'elenco di split-tunnel.
2. DTLS disabilitato temporaneamente:
   

   group-policy groupName attributes
    webvpn
     anyconnect ssl dtls none

Vedere l'ID bug Cisco CSCtc4170.

Messaggio di errore: Tentativo di connessione non riuscito a causa di una voce host non valida

Tentativo di connessione non riuscito a causa di una voce host non valida durante l'autenticazione del certificato.

Soluzione

• Utilizzare un nome host (FQDN) valido nell'elenco dei server dei profili.
• Utilizzare Cisco Secure Client 5.x supportato.
• Rimuovere i criteri Cisco Secure Desktop (CSD) obsoleti, se ancora presenti.

Vedere l'ID bug Cisco CSCti73316.

Errore: Assicurarsi che i certificati del server possano superare la modalità strict se si configura la VPN come sempre attiva

Quando Always-On è abilitato, il client può segnalare che i certificati del server devono passare la modalità rigorosa.

Soluzione

Always-On richiede un certificato headend valido corrispondente all'URL di connessione. Se il certificato non è attendibile o non corrisponde, la modalità Certificato rigido nel criterio locale provoca un errore.

Vedere Certified by an Unknown Authority nel manuale Secure Client 5.1 Administrator Guide.

Errore: Si è verificato un errore interno nei servizi HTTP di Microsoft Windows

DART può visualizzare errori HttpSendRequest e si è verificato un errore interno nei servizi HTTP di Microsoft Windows con errori CTransportWinHttp.

Soluzione

Ciò può essere causato da uno stato danneggiato di Winsock. Da un prompt dei comandi con privilegi elevati: netsh winsock reset

Riavviare Windows e vedere la Guida Microsoft per la reimpostazione di Winsock.

Errore: Il trasporto SSL ha ricevuto un errore Secure Channel.  Può trattarsi di una configurazione di crittografia non supportata sul gateway di sicurezza.

Cisco Secure Client DART può mostrare errori CTransportWinHttp e CTransPORT_ERROR_SECURE_CHANNEL_FAILURE quando la negoziazione TLS o cifratura non riesce tra il client e l'headend.

Soluzione

1. Sull'headend, utilizzare solo TLS 1.2+ e le suite di cifratura moderne. Non attivare DES, 3DES o RC4.
2. Esempio di appliance ASA:
   

   ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

3. Verificare la validità del certificato server e la corrispondenza del nome di dominio completo (FQDN).
4. Aggiornare il client e l'headend alle versioni supportate.
5. In Windows, mantenere Schannel su TLS 1.2+; non indebolire la crittografia del client per headend obsoleti.

Informazioni correlate

• Risoluzione dei problemi di Cisco Secure Client (Guida dell'amministratore 5.1)
• Guida alla risoluzione dei problemi dei client VPN AnyConnect - Problemi comuni all'esterno
• Domande frequenti su Cisco Secure Client/AnyConnect

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
3.0	23-Jun-2026	Controllo ortografico, grammaticale, struttura della frase, introduzione, spaziatura e avvisi CCW aggiornati.
1.0	04-Apr-2018	Versione iniziale