AnyConnect SWGモジュールを有効にしたキャプティブポータル経由のホットスポットへの接続のトラブルシューティング

はじめに

このドキュメントでは、AnyConnect SWGモジュールを有効にした状態でキャプティブポータル経由でホットスポットに接続する場合のトラブルシューティングについて説明します。

問題

AnyConnect Secure Web Gateway(SWG)モジュールを使用しているユーザが、一部のパブリックホットスポットの場所でサインインできない場合があります。

さらなるトラブルシューティングのための修正と推奨事項

AnyConnectバージョン4.10.05095(4.10MR5)を使用していることを確認します。 キャプティブポータルに関する問題は、このバージョンで対処します。 

ただし、4.10.05095にアップグレードしても問題が解決しない場合は、Umbrellaサポートにお問い合わせください。

サポートプロセスを迅速に進めるため、お客様はこれらの手順を実行し、Umbrellaサポートに連絡する前に必要なログを収集することをお勧めします。 

1. お客様には、AnyConnectバイナリと接続を除外してポリシーの競合を回避するために、エンドポイントにインストールされているすべてのセキュリティエージェントを設定することを要求します。したがって、TrendMicroやその他のセキュリティエージェントを適宜設定する必要があります。 
   AnyConnect リリースノートの該当するスニペットを参照し、AnyConnectの例外が適切に行われていることを確認してください。
2. ブラウザでHTTP(たとえば、http://www.portquiz.net)とHTTPS(https://www.google.com)の両方のURLにアクセスして、キャプティブポータルへのリダイレクションが発生するかどうかを確認します。
3. それでも問題が解決しない場合は、DARTバンドル（最大デバッグが有効）、PCAPファイル（ループバックを含む）、および画面記録（オプション）を収集して、詳細を調査してください。

AnyConnectのアンチウイルスアプリケーションの設定

アンチウイルス、アンチマルウェア、侵入防御システム(IPS)などのアプリケーションが、AnyConnectセキュアモビリティクライアントアプリケーションの動作を悪意のあるものと誤解する可能性があります。このような誤解を避けるために、例外を設定できます。AnyConnectモジュールまたはパッケージをインストールした後、AnyConnectインストールフォルダを許可するようにウイルス対策ソフトウェアを設定するか、AnyConnectアプリケーションのセキュリティ例外を作成します。除外する共通ディレクトリがリストされますが、リストが完全でない場合もあります。

• C:\Users<user>\AppData\Local\Cisco
• C:\ProgramData\Cisco
• C:\Programファイルx86)\Cisco

SWGを使用する場合、以前のバージョンのAnyConnectを使用するキャプティブポータルに対するサポートは制限されます。キャプティブポータルの次のアクションにより、SWGクライアントに到達できなくなる可能性があります。

• RFC-1918プライベートIPアドレス空間外の宛先へのリダイレクト、またはからのアセットのロード。
• ポート80または443でUmbrellaプロキシのTCPハンドシェイクを受け入れ、接続を閉じるか、または予期しない応答を提供する。

回避策として、ロードに失敗した宛先に対しては、Umbrellaダッシュボードの「Deployments —> Domain Management —> External Domains & IPs」セクションに例外を追加します。キャプティブポータルの動作は実装固有であるため、必要なリダイレクトドメインまたはIPアドレスはホットスポットごとに異なります。