Disconnessioni VPN client sicure con codice motivo terminazione 7 su Ubuntu 24.04

Opzioni per il download

  • PDF     (253.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (85.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 maggio 2026
ID documento:225971

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Problema

Cisco Secure Client su Ubuntu 24.04 stabilisce una connessione VPN ma si disconnette in pochi secondi. La disconnessione è sempre accompagnata dal codice motivo di terminazione 7 e da arresti anomali che coinvolgono libvpnapi.so, impedendo la connettività VPN stabile necessaria per il normale accesso aziendale.

La sequenza mostra il client che sta raggiungendo lo stato "Connesso" ma che sta tornando immediatamente allo stato Disconnesso durante la verifica dello stato. Sul client VPN viene visualizzato il messaggio "Codice motivo terminazione 7: L'agente è stato arrestato" nei log, insieme alle voci di modifica dello stato del tunnel e ai messaggi che indicano che le connessioni DTLS/SSL sono state interrotte con gli avvisi di "notifica di chiusura".

Questa sequenza di comandi mostra il problema:

/opt/cisco/secureclient/bin/vpn connect

L'output della connessione indica che la connessione è stata stabilita:

Cisco Secure Client (version 5.1.12.146) release.
Copyright (c) 2004 - 2025, Cisco Systems, Inc. All rights reserved.
  >> state: Unknown
  >> state: Disconnected
  >> state: Disconnected
  >> notice: Ready to connect.
  >> registered with local VPN subsystem.
  >> contacting host (vpn.sse.cisco.com) for login information...
  >> notice: Contacting vpn.sse.cisco.com.
  >> Your client certificate will be used for authentication
Group: 
  >> state: Connecting
  >> notice: Establishing VPN session...
The Cisco Secure Client - Downloader is analyzing this computer. Please wait...
Initializing the Cisco Secure Client - Downloader...
The Cisco Secure Client - Downloader is performing update checks...
The Cisco Secure Client - Downloader update checks have been completed.
  >> notice: The Cisco Secure Client - Downloader is performing update checks...
  >> notice: Checking for profile updates...
  >> notice: Checking for customization updates...
  >> notice: Performing any required updates...
  >> notice: The Cisco Secure Client - Downloader update checks have been completed.
Please wait while the VPN connection is established...
  >> state: Connecting
  >> notice: Establishing VPN session...
  >> notice: Establishing VPN - Initiating connection...
  >> notice: Establishing VPN - Examining system...
  >> notice: Establishing VPN - Activating VPN adapter...
  >> notice: Establishing VPN - Configuring system...
  >> notice: Establishing VPN...
  >> state: Connected

Tuttavia, quando si controlla lo stato subito dopo la connessione:

/opt/cisco/secureclient/bin/vpn status

Il client visualizza lo stato disconnesso:

Cisco Secure Client (version 5.1.12.146) release.
Copyright (c) 2004 - 2025, Cisco Systems, Inc. All rights reserved.
  >> state: Unknown
  >> state: Disconnected
  >> state: Disconnected
  >> state: Disconnected
  >> notice: Ready to connect.
  >> registered with local VPN subsystem.
VPN>

Ambiente

  • Sistema operativo: Ubuntu 24,04

  • Cisco Secure Client versione: 5.1.12.146

  • Metodo di autenticazione: Autenticazione certificati client

  • Interfaccia virtuale: cscotun0 (o un'interfaccia virtuale Cisco Secure Client simile)

  • L'ambiente include script di automazione per la gestione del sistema

Risoluzione

Il problema è stato risolto identificando e correggendo uno script di automazione che identificava in modo errato l'interfaccia virtuale Cisco Secure Client (cscotun0) come nuovo dispositivo fisico e applicando ad esso la configurazione proxy HTTP/trasparente. Le fasi successive illustrano il processo di risoluzione.

Passaggio 1: Raccogli informazioni di diagnostica

Generare bundle DART (Diagnostic and Reporting Tool) dall'endpoint interessato per acquisire informazioni dettagliate sui client VPN e sul sistema:

Generate DART bundle from Cisco Secure Client interface or command line

I bundle DART contengono voci di registro dell'agente VPN che mostrano i passaggi di configurazione dell'interfaccia e del profilo, incluse le impostazioni DNS per l'interfaccia cscotun0, la configurazione della scheda VPN e le modifiche alla tabella di routing.

Mar 13 16:41:08  Message type information sent to
> the user: Contacting vpn.sse.cisco.com.
> Mar 13 16:41:08 : VPN SESSION START: Initiating
> VPN connection to the secure gateway hvpn.sse.cisco.com
> Mar 13 16:41:08 The Cisco Secure Client -
> AnyConnect VPN has obtained the following proxy server configuration from
> the operating system: http://x.x.x.x:3128/
> Mar 13 16:41:08 The Cisco Secure Client -
> AnyConnect VPN has obtained the following proxy exception list from the
> operating system: localhost,127.0.0.0/8,::1
> Mar 13 16:41:11 Termination reason code 7: The
> agent has been stopped.

Passaggio 2: Analizza comportamento script di automazione

Esaminare gli script di automazione locale che gestiscono le interfacce di rete e le configurazioni proxy. Cercare script che rilevino automaticamente le nuove interfacce di rete e applichino i criteri di configurazione.

Passaggio 3: Identifica problema assegnazione proxy

Determinare se gli script di automazione stanno gestendo l'interfaccia virtuale Cisco Secure Client come un nuovo dispositivo fisico e applicando impostazioni proxy inappropriate. All'interfaccia virtuale (cscotun0 o simile) non può essere applicata la configurazione del proxy HTTP/trasparente.

Passaggio 4: Rimozione della configurazione proxy dall'interfaccia virtuale

Rimuovere o correggere l'assegnazione del proxy applicata automaticamente all'interfaccia virtuale Cisco Secure Client dallo script di automazione. In questo modo il proxy non interferisce con il flusso del traffico VPN.

Passaggio 5: Aggiorna logica script di automazione

Modificare lo script di automazione in modo da escludere le interfacce virtuali Cisco Secure Client (in genere denominate cscotun0, cscotun1) dai criteri di configurazione automatica del proxy. Aggiungi la logica per identificare e ignorare le interfacce virtuali VPN durante i processi di configurazione di rete automatizzati.

Passaggio 6: Verifica della connettività VPN

Verificare la connettività VPN dopo aver rimosso la configurazione proxy per confermare la stabilità della connessione:

/opt/cisco/secureclient/bin/vpn connect vpn.sse.cisco.com

Verificare che la connessione rimanga stabile controllando lo stato dopo la connessione:

/opt/cisco/secureclient/bin/vpn status

Passaggi alternativi per la risoluzione dei problemi

Se il problema persiste o si verifica in ambienti simili, prendere in considerazione i seguenti approcci aggiuntivi per la risoluzione dei problemi:

  • Test di Cisco Secure Client su un nuovo endpoint Linux senza script di automazione

  • Disabilitare temporaneamente i servizi di terze parti che possono interferire con libvpnapi o l'agente VPN

  • Aggiorna Cisco Secure Client all'ultima versione disponibile

  • Verifica dei registri di sistema per rilevare eventuali conflitti con la creazione e la configurazione dell'interfaccia virtuale VPN

Causa

La causa principale è stata uno script di automazione interno che ha identificato in modo errato l'interfaccia virtuale Cisco Secure Client (cscotun0 o simile) come un nuovo dispositivo di rete fisico. Lo script ha applicato automaticamente la configurazione del proxy HTTP/trasparente a questa interfaccia virtuale, che ha interferito con il flusso del traffico VPN e ha causato l'interruzione della connessione con codice motivo 7.

Quando il client VPN stabilisce una connessione, crea un'interfaccia di rete virtuale per gestire il traffico crittografato. Lo script di automazione ha rilevato la creazione dell'interfaccia come un nuovo dispositivo di rete che si unisce al sistema e ha applicato i criteri proxy standard destinati alle interfacce di rete fisiche. Questa configurazione proxy ha impedito al tunnel VPN di instradare correttamente il traffico crittografato, determinando la disconnessione immediata dopo la connessione.

Il motivo della terminazione è codice 7 ("L'agente è stato arrestato") e libvpnapi.so gli arresti anomali sono stati sintomi dell'interferenza proxy sottostante piuttosto che problemi diretti del software client VPN.

Contenuto correlato

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
26-May-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Amit Arora
    Consulenza tecnica Responsabile tecnico progettazione

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti