目次
- AnyConnect ユーザ ガイド
- AnyConnect のインストールおよび起動
- AnyConnect の概要
- Android でサポートされるデバイス
- Android AnyConnect アプリケーションのインストール
- AnyConnect の起動
- Android デバイスのアクセス許可
- VPN 接続の設定
- 接続エントリの設定
- 手動での接続エントリの追加
- 接続エントリの変更
- 接続エントリの削除
- 証明書の設定
- Android デバイス上の証明書について
- ユーザ証明書について
- サーバ証明書について
- ハイパーリンクによる証明書のインポート
- 手動での証明書のインポート
- セキュア ゲートウェイから提供される証明書のインポート
- 証明書の表示
- 証明書の削除
- 1 つの証明書の削除
- すべての証明書のクリア
- VPN 接続の確立
- AnyConnect 通知への応答
- 信頼できない VPN サーバ通知への応答
- 別のアプリケーションへの応答
- MMS 通知への応答
- AnyConnect の設定と管理(オプション)
- アプリケーション設定の指定
- スタートアップ時の AnyConnect の起動
- AnyConnect ステータス バーのアイコンを非表示にする
- AnyConnect の外部使用の制御
- 信頼されていないサーバのブロック
- FIPS モードの設定
- OCSP 失効の設定
- 厳格な証明書トラスト
- AnyConnect ウィジェットの使用方法
- AnyConnect クライアント プロファイルの管理
- AnyConnect クライアント プロファイルについて
- AnyConnect プロファイルの表示
- AnyConnect プロファイルのインポート
- AnyConnect プロファイルの削除
- ローカリゼーションの管理
- インストール済みローカリゼーション データの表示
- ローカリゼーション データのインポート
- ローカリゼーション データの復元
- AnyConnect の終了
- AnyConnect の削除
- AnyConnect のモニタリングとトラブルシューティング
- AnyConnect のバージョンおよびライセンスの表示
- 接続ステータスの判別
- AnyConnect 統計情報の表示
- AnyConnect のロギング
- ログ メッセージの表示
- ログ メッセージの送信
- デバッグ ログ メッセージのクリア
- 一般的な Android の問題
- Android での AnyConnect の注意事項と制約事項
- 既知の互換性の問題
AnyConnect ユーザ ガイド
AnyConnect のインストールおよび起動
AnyConnect の概要
Android 用 Cisco AnyConnect セキュア モビリティ クライアントは、企業ネットワークへのシームレスかつセキュアなリモート アクセスを実現します。AnyConnect を使用すると、インストールされているアプリケーションで、企業ネットワークに直接接続されているかのように通信できます。AnyConnect は高度なネットワーキング アプリケーションであり、プリファレンスを設定したり、AnyConnect の動作を制御したり、デバイスで管理者が推奨する診断ツールや診断機能を使用したりすることも可能です。
企業で AnyConnect をモバイル デバイス管理ソフトウェアと組み合わせて使用する場合があります。その場合、デバイス管理ルールに、VPN アクセス許可を、承認された一連のアプリケーションに限定するなどの内容が含まれる場合があるため、管理者と協力してデバイス管理ルールに従うようにしてください。組織によっては Android 用 AnyConnect の使用方法に関するその他のマニュアルがある場合があります。
Android App Store には、初期インストールとすべてのアップグレード用のアプリケーションが用意されています。Cisco 適応型セキュリティ アプライアンス(ASA)は、VPN へのアクセスを許容するセキュア ゲートウェイですが、モバイル デバイス向け AnyConnect の更新はサポートしません。
オープン ソフトウェア ライセンスに関する通知
本製品には、OpenSSL Toolkit(http://www.openssl.org/)で使用するために OpenSSL プロジェクトによって開発されたソフトウェアが含まれています。(This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit(http://www.openssl.org/).)
本製品には、Eric Young 氏(eay@cryptsoft.com)によって作成された暗号化ソフトウェアが含まれています。(This product includes cryptographic software written by Eric Young(eay@cryptsoft.com).)
本製品には、Tim Hudson 氏(tjh@cryptsoft.com)によって作成されたソフトウェアが含まれています。(This product includes software written by Tim Hudson(tjh@cryptsoft.com).)
Android でサポートされるデバイス
Cisco AnyConnect on Android の完全サポートは、Android 4.0(Ice Cream Sandwich)から Android 7.0(Nougat)の最新リリースを実行するデバイスまでで提供されます。
Kindle Fire HD デバイスと新しい Kindle Fire 向けの Cisco AnyConnect on Kindle を Amazon から入手できます。AnyConnect for Kindle は、AnyConnect for Android パッケージと同じ機能を備えています。
Per App VPN は、管理型環境および非管理型環境でサポートされています。Samsung KNOX MDM を使用する管理型環境では、Android 4.3 以降で Samsung Knox 2.0 を実行する Samsung デバイスが必要です。非管理型環境で Per App を使用する場合は、一般的な Android のメソッドが使用されます。
Network Visibility Module(NVM)機能には、Android 7.0 以降を必要とする Samsung Knox 2.8 以降を実行する Samsung デバイスが必要です。NVM の設定には、AnyConnect 4.4.3 以降の AnyConnect プロファイル エディタも必要です。それより前のリリースでは、モバイル NVM の設定はサポートされていません。
インストールおよびアップグレードの手順については、『Android User Guide for Cisco AnyConnect Secure Mobility Client, Release 4.0』を参照してください。
AnyConnect の起動
手順
ステップ 1 AnyConnect アイコンをタップして AnyConnect アプリケーションを起動します。 ステップ 2 インストールまたはアップグレード後に初めて AnyConnect を起動する場合には、次のように表示されます。
- エンドユーザライセンス契約(EULA)、[承認(Accept)] して続行する必要があります。
- データ収集のためのアクセプタブル ユース ポリシー(AUP)、(ネットワーク管理者によって設定されている場合)。[OK] をクリックして、先へ進みます。データ収集は、AnyConnect のクライアント アプリケーションの一部である Network Visibility Module(NVM)によって行われます。
ステップ 3 手動での接続エントリの追加を参照してください。 をタップして、接続エントリを設定します。詳細については、 ステップ 4 (任意) 現在アクティブな VPN 接続に関する概要と詳細な統計情報を表示するには、[詳細(Details)] をタップします。「AnyConnect 統計情報の表示」を参照してください。 ステップ 5 (任意) [メニュー(Menu)] をタップして、次のいずれかを選択します。
[設定(Settings)]:AnyConnect アプリケーション プリファレンスを指定します。「アプリケーション プリファレンスの指定」を参照してください。
[診断(Diagnostics)]:次の診断アクティビティを実行します。
証明書の管理:「証明書管理」を参照してください。
AnyConnect プロファイルの管理:「プロファイル管理」を参照してください。
AnyConnect ローカリゼーションの管理:「ローカリゼーション管理」を参照してください。
ロギング情報とシステム情報の表示:「ログ メッセージの表示」を参照してください。
[バージョン情報(About)]:AnyConnect のバージョンとライセンス情報を表示します。「AnyConnect のバージョンおよびライセンスの詳細の表示」を参照してください。
[終了(Exit)]:AnyConnect を終了します。「AnyConnect の終了」を参照してください。
次の作業
管理者から提供される手順に従い、ネットワークへの VPN 接続を設定、確立します。
Android デバイスのアクセス許可
次のアクセス許可が AnyConnect の動作用に Android マニフェスト ファイルで宣言されます。
マニフェストのアクセス許可 説明 uses-permission: android.permission.ACCESS_NETWORK_STATE アプリケーションがネットワークの情報にアクセスすることを許可します。
uses-permission: android.permission.ACCESS_WIFI_STATE アプリケーションが Wi-Fi ネットワークの情報にアクセスすることを許可します。
uses-permission: android.permission.BROADCAST_STICKY アプリケーションがスティッキ インテントをブロードキャストすることを許可します。これは、クライアントが次のブロードキャストを待たなくてもデータをすぐに取得できるよう、完了後もデータがシステムによって保持されるブロードキャストです。
uses-permission: android.permission.INTERNET アプリケーションがネットワーク ソケットを開くことを許可します。
uses-permission: android.permission.READ_EXTERNAL_STORAGE アプリケーションが外部ストレージから読み取ることを許可します。
uses-permission: android.permission.READ_LOGS アプリケーションが低レベルのシステム ログ ファイルを読み取ることを許可します。
uses-permission: android.permission.READ_PHONE_STATE デバイスの電話番号、現在の携帯電話ネットワーク情報、通話中のコールのステータス、デバイスに登録されているすべての PhoneAccounts のリストなどの電話状態への読み取り専用アクセスを許可します。
uses-permission: android.permission.RECEIVE_BOOT_COMPLETED システムの起動完了後にアプリケーションがブロードキャストを受信することを許可します。
VPN 接続の設定
AnyConnect が VPN 接続を確立するには、次の情報が必要となります。
ネットワークにアクセスするためのセキュア ゲートウェイのアドレス。
このアドレスは、接続エントリで設定されます。接続エントリは、AnyConnect のホーム画面にリストされます。アクティブな接続エントリは、AnyConnect ホーム画面または [接続(Connections)] リストに示されます。VPN 接続エントリは、デバイス上で手動で設定するか、または社内の管理者によって自動的に設定されます。
正常に接続を確立するための認証情報。
これは、覚えておく必要のあるユーザ名とパスワードの形式となるか、またはデバイスに設定されたデジタル証明書に含められます。一部の VPN 接続では、両方の認証方式が必要になる場合があります。デジタル証明書は、デバイス上で手動で設定するか、またはデバイス管理者によって自動的に設定されます。
管理者の指示に従って AnyConnect クライアントを設定します。明確な指示がない場合は、管理者に問い合わせてください。
接続エントリの設定
手順接続エントリは、プライベート ネットワークへのアクセスを提供するセキュア ゲートウェイ、およびその他の接続属性を指定します。
すでにデバイスで設定されているエントリを表示するには、AnyConnect のホーム画面から [接続(Connections)] を選択します。複数の接続エントリがリストされることもあります。接続エントリは、次のステータスになっています。
接続エントリは、次の方法でデバイス上で手動または自動で設定されます。
手動での設定。
ネットワークへのセキュア ゲートウェイのアドレスを把握しておく必要があります。このアドレスはセキュア ゲートウェイのドメイン名または IP アドレスであり、所属するグループを指定することもあります。その他の接続属性も設定できます。手動での接続エントリの追加を参照してください。
管理者から提供されたリンクをクリックすることで、自動的に設定されます。
AnyConnect URI リンクは電子メールに含まれるか、または Web ページで公開されます。このことをデバイスで許可するには、アプリケーション プリファレンスの [外部制御(External Control)] を、[プロンプト(Prompt)] または [有効(Enable)] に設定する必要があります。次の項を参照してください。 AnyConnect の外部使用の制御
接続エントリを含む AnyConnect クライアント プロファイルをダウンロードするセキュア ゲートウェイに接続した後で、自動的に設定されます。AnyConnect クライアント プロファイルの管理を参照してください。
- 会社のモバイル デバイス管理ソフトウェアによる設定。デバイス管理プロファイルが、デバイスの一般設定下に見つかる場合があります。
手動での接続エントリの追加
手順
接続エントリの変更
手順設定エラーを修正したり、IT ポリシーの変更に準拠したりする場合に、VPN 接続エントリを変更します。
(注)
セキュア ゲートウェイからダウンロードした接続エントリの説明またはサーバ アドレスは変更できません。
証明書の設定
Android デバイス上の証明書について
証明書は、VPN 接続の両端(セキュア ゲートウェイまたはサーバと AnyConnect クライアントまたはユーザ)を電子的に識別するために使用されます。サーバ証明書は AnyConnect に対してセキュア ゲートウェイを識別し、ユーザ証明書はセキュア ゲートウェイに対して AnyConnect ユーザを識別します。証明書は認証局(CA)から取得されます。また、認証局によって検証されます。
接続を確立する際、AnyConnect は常にセキュア ゲートウェイからのサーバ証明書を待ちます。セキュア ゲートウェイでは、そのように設定されている場合にのみ AnyConnect からの証明書を要求します。VPN 接続を認証するもう 1 つの方法は、AnyConnect ユーザが証明書を手動で入力するのを待つことです。実際、セキュア ゲートウェイは、AnyConnect ユーザをデジタル証明書、手動による証明書の入力、またはその両方で認証するように設定できます。証明書のみによる認証では、ユーザの操作を必要とせずに VPN が接続できます。
セキュア ゲートウェイとデバイスへの証明書の配布、およびセキュア ゲートウェイとデバイスによる証明書の使用は、管理者によって指示されます。管理者からの指示に従い、AnyConnect VPN のサーバ証明書とユーザ証明書のインポート、使用、および管理を行います。このマニュアルの証明書および証明書の管理に関連した情報および手順は、ユーザに理解し、参考にしてもらうために提供されています。
AnyConnect は認証に使用するユーザ証明書とサーバ証明書の両方を Android デバイスの AnyConnect 用の証明書ストアに格納します。AnyConnect 証明書ストアは
画面で管理します。また、この画面では Android System の証明書も確認できます。ユーザ証明書について
AnyConnect ユーザがデジタル証明書を使用してセキュア ゲートウェイへの認証を行うには、デバイスの AnyConnect 証明書ストアにユーザ証明書が含まれている必要があります。ユーザ証明書は、管理者からの指示に従い次のいずれかの方法でインポートされます。証明書のインポート後、この証明書を特定の接続エントリに関連付けるか、または接続確立中に認証のためにこの証明書を自動的に選択させることができます。
AnyConnect ストアに格納されているユーザ証明書は、認証に必要ではなくなった場合には削除できます。
サーバ証明書について
接続の確立中にセキュア ゲートウェイから受信したサーバ証明書は(証明書が有効で信頼できる場合のみ)、そのサーバを AnyConnect に対して自動的に認証します。該当しない場合は、次のようになります。
有効だが信頼できないサーバ証明書を調べて許可し、AnyConnect 証明書ストアにインポートできます。AnyConnect ストアにサーバ証明書がインポートされると、このデジタル証明書を使用する、そのサーバに対する後続の接続は自動的に受け入れられます。
無効な証明書は AnyConnect ストアにインポートできません。証明書を受け入れて現行接続を確立することができますが、この方法は推奨されません。
AnyConnect ストア内のサーバ証明書は、認証に必要なくなった場合は削除できます。
手動での証明書のインポート
手順
セキュア ゲートウェイから提供される証明書のインポート
手順
セキュア ゲートウェイによって、証明書がデバイスにダウンロードされます。VPN セッションが切断され、証明書の登録が正常に完了したことを示すメッセージを受け取ります。
VPN 接続の確立
手順VPN に接続するには、[AnyConnect VPN] パネルに表示されたアクティブな接続に関連付けられたチェックボックスまたはスライダをタップするか、AnyConnect ホーム画面に示されているその他の接続エントリの 1 つを選択します。
VPN セキュア ゲートウェイの設定に応じて、AnyConnect は、AnyConnect のホーム ウィンドウにあるリストに接続エントリを追加します。AnyConnect のホーム ウィンドウの一番上の行でチェックマークが強調表示され、VPN 接続が確立されたことを示します。
(注)
AnyConnect のホーム ウィンドウにある別の VPN 接続をタップすることで、現在の VPN 接続を切断し、タップした VPN 接続に関連付けられている VPN セキュア ゲートウェイに接続します。AnyConnect 通知への応答
信頼できない VPN サーバ通知への応答
別のアプリケーションへの応答
デバイスを保護するため、AnyConnect は、外部アプリケーションが AnyConnect を使用しようとすると警告します。これは、AnyConnect アプリケーション プリファレンスの [外部制御(External Control)] が [プロンプト(Prompt)] に設定されている場合に生じます。
次のプロンプトに対して [はい(Yes)] をタップするかどうか管理者に確認してください。
Another application has requested that AnyConnect create a new connection to host.Do you want to allow this? [Yes | No]
Another application has requested that AnyConnect connect to host.Do you want to allow this? [Yes | No]
Another application has requested that AnyConnect disconnect the current connection.Do you want to allow this? [Yes | No]
Another application has requested that AnyConnect import a certificate bundle to the AnyConnect certificate store.Do you want to allow this? [Yes | No]
Another application has requested that AnyConnect import localization files.Do you want to allow this? [Yes | No]
Another application has requested that AnyConnect import profiles.Do you want to allow this? [Yes | No]
MMS 通知への応答
AnyConnect の設定と管理(オプション)
アプリケーション設定の指定
スタートアップ時の AnyConnect の起動
AnyConnect の外部使用の制御
手順外部制御アプリケーションの設定により、AnyConnect アプリケーションが外部 URI 要求に応答する方法が指定されます。外部要求により、接続エントリの作成、VPN の接続または切断、およびクライアント プロファイル、証明書、またはローカリゼーション ファイルのインポートが行われます。
外部要求は、一般には管理者により電子メールまたは Web ページで提供されます。管理者は、次の値のいずれかを使用するように指示します。
[有効(Enabled)]:AnyConnect アプリケーションは自動的にすべての URI コマンドを許可します。
[無効(Disabled)]:AnyConnect アプリケーションは自動的にすべての URI コマンドを拒否します。
[プロンプト(Prompt)]:AnyConnect アプリケーションは、デバイス上の AnyConnect URI にアクセスするたびプロンプトを表示します。URI 要求を許可または拒否します。詳細については、別のアプリケーションへの応答を参照してください。
信頼されていないサーバのブロック
手順このアプリケーション設定は、AnyConnect がセキュア ゲートウェイを識別できない場合に接続をブロックするかどうかを決定します。この保護はデフォルトでは ON です。OFF にできますが、OFF にすることは推奨されません。
AnyConnect はサーバから受信した証明書を使用してそのアイデンティティを確認します。期限切れまたは無効な日付、キーの不正な使用、または名前の不一致が原因で証明書エラーが発生すると、接続がブロックされます。
この設定が ON になっている場合、ブロッキング通知「信頼できない VPN サーバ(Untrusted VPN Server!)」により、このセキュリティの脅威が警告されます。
OCSP 失効の設定
厳格な証明書トラスト
選択すると、リモート セキュリティ ゲートウェイを認証するときに、AnyConnect はユーザの操作なしに自動的に確認できない証明書を許可しません。これらの証明書を受け入れるようユーザにプロンプトを表示するのではなく、クライアントは接続に失敗します。この設定は、[信頼されていないサーバをブロック(Block Untrusted Servers)] よりも優先されます。
オフにすると、クライアントはユーザに証明書を受け入れるかどうかを確認するプロンプトを表示します。これはデフォルトの動作です。
はじめる前に手順
ネットワークに接続するためにお使いのモバイル デバイスで [厳格な証明書トラスト(Strict Certificate Trust)] を有効にする必要がある場合は、管理者からそのことが通知されます。
AnyConnect ウィジェットの使用方法
手順AnyConnect には、ホーム画面に追加できるウィジェットがあります。
最も小さいウィジェットは、AnyConnect アプリケーションのアイコンと同じサイズです。アイコンの下のバーの色には、VPN ステータスが反映されます。VPN 接続を確立するか、または現在の VPN 接続から切断するには、ウィジェットをタップします。
大きなウィジェットは、AnyConnect アイコンと名前、現在の VPN 接続、VPN ステータスを示します。VPN 接続を確立するか、または VPN 接続から切断するには、ウィジェットをタップします。
ウィジェットを配置する手順は、使用するデバイスおよび Android のバージョンによって異なることがあります。手順の例を示します。
AnyConnect クライアント プロファイルの管理
AnyConnect クライアント プロファイルについて
AnyConnect VPN クライアント プロファイルは XML ファイルで、クライアントの動作を指定し、VPN 接続を識別します。VPN クライアント プロファイル内の各接続エントリは、このデバイスからアクセス可能なセキュア ゲートウェイ、およびその他の接続属性、ポリシー、および制約を指定します。デバイスでローカルに設定した VPN 接続に加えて、これらの接続エントリが、VPN 接続を開始するときに選択する対象として AnyConnect のホーム画面に表示されます。
AnyConnect は、Android デバイス上で一度に 1 つの VPN クライアント プロファイルのみ維持します。次に、現在のプロファイルが存在する場合、それを置換または削除する主要なシナリオをいくつか示します。
プロファイルを手動でインポートすると、現在のプロファイルがインポートしたプロファイルで置き換えられます。
自動または手動の VPN 接続を開始すると、現在のプロファイルが新しい接続のプロファイルで置き換えられます。
VPN 接続にプロファイルが関連付けられていない場合、その VPN の起動時に既存のプロファイルが削除されます。
現在デバイス上にある AnyConnect プロファイルを表示または削除するか、または新しいプロファイルをインポートします。
AnyConnect プロファイルのインポート
はじめる前に手順
プロファイル ファイルをこの方法でインポートするには、Android デバイスにプロファイル ファイルが存在している必要があります。管理者から、デバイスにインストールするプロファイル ファイルの名前が提供されます。
関連コンセプト
ローカリゼーションの管理
インストール済みローカリゼーション データの表示
手順AnyConnect をインストールすると、デバイスで指定されているロケールがパッケージに含まれている言語変換に一致する場合には、モバイル デバイスがローカライズされます。AnyConnect パッケージには、次の言語変換が含まれます。
カナダ フランス語(fr-ca)
中国語(台湾)(zh-tw)
チェコ語(cs-cz)
オランダ語(nl-nl)
フランス語(fr-fr)
ドイツ語(de-de)
ハンガリー語(hu-hu)
イタリア語(it-it)
日本語(ja-jp)
韓国語(ko-kr)
中南米スペイン語(es-co)
ポーランド語(pl-pl)
ポルトガル語(ブラジル)(pt-br)
ロシア語(ru-ru)
簡体字中国語(zh-cn)
スペイン語(es-es)
インストールされる言語は、 で指定されているロケールによって決定されます。AnyConnect の UI とメッセージは、AnyConnect を起動するとすぐに変換されます。
AnyConnect は最適なものを判断するために、言語仕様、地域仕様の順に使用します。たとえば、インストール後にロケール設定をスイス フランス語(fr-ch)にすると、カナダ フランス語(fr-ca)表示になります。
ローカリゼーション データのインポート
手順インストール後に、AnyConnect パッケージでサポートされていない言語のローカリゼーション データを、次のようにしてインポートします。
管理者によって提供され、ローカリゼーション データをインポートするように定義されたハイパーリンクをクリックします。
管理者は、クリックするとローカリゼーション データがインポートされるハイパーリンクを、電子メールまたは Web ページで提供できます。この方法では、AnyConnect の設定および管理を簡素化するため、管理者に提供されている機能である AnyConnect URI ハンドラを使用します。
(注)
AnyConnect 設定内で外部制御を [プロンプト(Prompt)] または [有効(Enable)] に設定して、この AnyConnect アクティビティを許可する必要があります。この設定方法については、AnyConnect の外部使用の制御を参照してください。
VPN 接続時にダウンロード可能なローカリゼーション データを提供するように管理者が設定したセキュア ゲートウェイに接続します。
この方法を使用する場合には、管理者が適切な VPN 接続情報を提供するか、または XML プロファイル内に事前定義された接続エントリを提供します。VPN 接続時に、ローカリゼーション データがデバイスにダウンロードされ、ただちに有効になります。
[AnyConnect ローカリゼーション管理アクティビティ(AnyConnect Localization Management Activity)] 画面の [ローカリゼーションのインポート(Import Localization)] オプションを使用して手動でインポートします。
AnyConnect の終了
手順AnyConnect を終了すると、現在の VPN 接続が終了し、すべての AnyConnect プロセスが停止されます。このアクションは慎重に使用してください。デバイス上の他のアプリケーションやプロセスが現在の VPN 接続を使用している場合があり、AnyConnect を終了するとこれらのアプリケーションやプロセスの動作に悪影響を及ぼす可能性があります。
AnyConnect のホーム ウィンドウで、 をタップします。AnyConnect がすべてのプロセスを正常に終了できない場合は、Android アプリケーション管理画面が表示されます。[強制停止(Force Stop)] をタップして AnyConnect を手動で終了します。
AnyConnect のモニタリングとトラブルシューティング
AnyConnect のロギング
ログ メッセージの表示
一般的な Android の問題
tun.ko エラー メッセージが返されます
tun.ko モジュールが、まだカーネルにコンパイルされていない場合は、tun.ko モジュールが必要です。このモジュールがデバイスに含まれていない、またはカーネルにコンパイルされていない場合は、対応するデバイスのカーネル用に入手または作成して、/data/local/kernel_modules/ ディレクトリに配置します。
編集または削除できない接続エントリがあります
管理者が、AnyConnect プロファイル内にこれらの接続エントリを定義しました。これらのプロファイルの削除手順については、AnyConnect プロファイルの表示および管理に関する項を参照してください。
接続タイムアウトと未解決のホスト
インターネット接続の問題、携帯電話の信号レベルが低い、およびネットワーク リソースの輻輳は、タイムアウトや未解決ホスト エラーの一般的な原因です。より強い信号のあるエリアへ移動してみるか、WiFi を使用してみます。Wi-Fi ネットワークを利用できる場合は、デバイスの設定アプリケーションを使用して、最初にそのネットワークとの接続の確立を試してください。タイムアウトになったときに、何度か再試行することで、成功することがよくあります。
証明書ベースの認証が機能しません
該当する証明書を以前は使用できた場合、証明書の有効性と期限を確認します。確認するには、AnyConnect のホーム ウィンドウに移動し、接続エントリを長押しします。次に、[証明書(Certificate)] をタップします。[証明書(Certificates)] ウィンドウにすべての証明書のリストが示されます。証明書名を長押しして、次に、[証明書の詳細の表示(View Certificate Details)] をタップします。接続に対して適切な証明書を使用しているかどうかを管理者に確認します。
ASA に接続できません、解決できないホスト エラーです
インターネット ブラウザを使用して、ネットワーク接続を確認します。ネットワークの接続性を確認するには、https://vpn.example.com(vpn.example.com は VPN セキュア ゲートウェイの URL)に移動します。
「インストール エラー:不明な理由 -8(Installation Error: Unknown reason -8)」
サポートされていないデバイスにブランド固有の AnyConnect パッケージをインストールしようとすると、このメッセージが返されます。サポートされる Android デバイスのリストと、AnyConnect のインストールまたはアップグレードの手順を参照して、デバイスに適切な AnyConnect パッケージをダウンロードします。
AnyConnect エラー、「このアプリケーションを実行するための必要な許可を取得できませんでした。このデバイスは、AnyConnect をサポートしていません。(Could not obtain the necessary permissions to run this application.This device does not support AnyConnect.)」
AnyConnect は、このデバイスで動作していません。サポートされる Android デバイスのリストと、AnyConnect のインストールまたはアップグレードの手順を参照して、デバイスに適切な AnyConnect パッケージをダウンロードします。
ネットワークの接続性の問題のため、ログを電子メールで送信できません
インターネットにアクセス可能な別のネットワークを試します。ネットワークの接続性がない、またはデバイスのリセットが必要な場合は、ドラフトの電子メールメッセージにログ メッセージを保存します。
Android での AnyConnect の注意事項と制約事項
AnyConnect for Android は、リモート アクセスに関連している VPN 機能のみをサポートしています。
AnyConnect for Android はネットワーク可視性モジュールのみサポートし、他の AnyConnect モジュールはサポートしていません。
ASA は、AnyConnect for Android のディストリビューションと更新プログラムを提供しません。Google Play からのみ入手できます。
AnyConnect for Android では、ユーザが追加する接続エントリと、ASA によりプッシュされる AnyConnect プロファイルによって挿入される接続エントリがサポートされています。Android デバイスでは 1 つの AnyConnect プロファイル(ヘッドエンドから受信した最後のプロファイル)だけがサポートされます。ただし、プロファイルは複数の接続エントリで構成できます。
ユーザが、サポートされていないデバイスに AnyConnect をインストールしようとすると、「インストールエラー: 原因不明 -8(Installation Error: Unknown reason -8)」というポップアップ メッセージが表示されます。これは Android OS により生成されるメッセージです。
ユーザがホーム スクリーンに AnyConnect ウィジェットを表示している場合、[始動時に開始(Launch at startup)] 設定に関わらず AnyConnect サービスが自動的に開始されます(ただし接続は確立されません)。
AnyConnect for Android では、クライアント証明書からの事前入力を使用する場合に、拡張 ASCII 文字のために UTF-8 文字エンコードが必要です。事前入力機能を使用する場合は、クライアント証明書が UTF-8 でなければなりません(KB-890772 および KB-888180 の説明を参照)。
AnyConnect は、EDGE の固有の性質およびその他の早期無線テクノロジーによって EDGE 接続上の VPN トラフィックを送受信する場合、ボイスコールをブロックします。
いくつかのよく知られているファイル圧縮ユーティリティでは、[AnyConnect ログ送信(AnyConnect Send Log)] ボタンを使用してパッケージされたログ バンドルを圧縮解除できません。回避策として、AnyConnect ログ ファイルの圧縮解除には Windows および Mac OS X のネイティブ ユーティリティを使用してください。
既知の互換性の問題
パブリック インターフェイスとプライベート インターフェイスにおける IPv6。
IPv6 は、AnyConnect 4.05015 以降を使用するプライベートおよびパブリック トランスポートの両方でサポートされており、Android 5 以降で対応しています。この組み合わせにより、IPv6 トンネルを介した IPv4 および IPv6 トンネルを介した IPv6 が可能になります。
以前のバージョンの AnyConnect と Android リリースで従来から使用できたトンネル設定(IPv4 トンネルを介した IPv4 および IPv4 トンネルを介した IPv6)も引き続き使用できます。
(注)
Android に存在する既知の問題(Issue #65572)が原因で、IPv6 over IPv4 は Android 4.4 上で機能しません。Android 5 以降を使用する必要があります。
バッテリ セーバーおよび AnyConnect:
Android 5.0 では、デバイスでのバックグラウンド ネットワーク接続をブロックするバッテリ セーバー機能が導入されました。バッテリ セーバーを有効にした場合、AnyConnect がバックグラウンドで実行されると、一時停止状態に移行します。Android 5.0 でこれを回避するには、デバイス設定でバッテリ セーバーをオフにすることができます([設定(Settings)] -> [バッテリ(Battery)] -> [バッテリ セーバー(Battery saver)] または通知バーから)。
Android 6.0 以降では、AnyConnect がバッテリ セーバーの結果として一時停止状態に移行する場合、AnyConnect をバッテリ セーバー モードからホワイトリストに登録するオプションを選択できるポップアップが表示されます。AnyConnect をホワイトリストに登録すると、バックグラウンドで実行する AnyConnect の機能に影響を与えずに、バッテリ セーバーを引き続き利用できます。
バッテリ セーバーが原因で AnyConnect が一時停止した場合、バッテリ セーバーをオフにするにしても、AnyConnect をホワイトリストに登録するにしても、AnyConnect を一時停止状態から戻すために手動で再接続する必要があります。
スプリット DNS は、Android 4.4 デバイスでは機能しません。また、Samsung 製の Android 5.x デバイスでも機能しません。Samsung デバイスの場合、唯一の回避策は、スプリット DNS を無効にしてグループに接続することです。その他のデバイスでは、Android 5.x にアップグレードして、この問題の修正を入手する必要があります。
これは、Android 4.4 に存在する既知の問題( Issue #64819)によるもので、Android 5.x で修正されましたが、Samsung 製の Android 5.x デバイスには組み込まれませんでした。
Android 5.x のバグ(Google Issue #85758、Cisco Issue # CSCus38925)が原因で、AnyConnect アプリケーションを Recent Apps 画面から閉じると、正しく動作しない場合があります。正常な動作を復元するには、AnyConnect を [設定(Settings)] で停止してから、再起動します。
Samsung モバイル デバイスでは、[設定(Settings)] > [Wi-Fi] > [スマート ネットワーク スイッチ(Smart network switch)] で、安定したインターネット接続を維持するために Wi-Fi から LTE に切り替えることができます(Wi-Fi 接続が最適でない場合)。この場合も、アクティブな VPN トンネルが一時停止し、再接続します。何度も繰り返し再接続することになるため、この機能を無効にすることをお勧めします。
複数のアクティブ ユーザをサポートする Android 5.0(Lollipop)で、VPN 接続はデバイス上のすべてのユーザではなく、単一のユーザのデータのみをトンネルします。バックグラウンド データ フローが暗号化されずに発生する可能性があります。
Android 4.3.1 のバグ(Google Issue #62073)が原因で、AnyConnect ICS+ パッケージを使用するユーザは、非完全修飾ドメイン名を入力できません。たとえば、「internalhost」と入力できずに、「internalhost.company.com」と入力する必要があります。
Android 4.3 への HTC One 上の AT&T ファームウェアのアップデート(ソフトウェア バージョン:3.17.502.3)は、「HTC AnyConnect」をサポートしていません。お客様は「AnyConnect HTC」をアンインストールし、「AnyConnect ICS+」をインストールする必要があります(HTC AnyConnect は、3.22.1540.1 ソフトウェア バージョンのインターナショナル エディションでは機能します)。デバイスのソフトウェア バージョンは、[設定(Settings)] > [端末情報(About)] > [ソフトウェア情報(Software information)] > [ソフトウェア番号(Software number)] で確認します。
管理者が Android トンネルの MTU を 1280 以下に設定した場合に VPN 接続が失敗するという Google Issue #70916 が、Android 5.0(Lollipop)で解決されたことをご報告します。次の問題情報は、参考のために提供します。
Android 4.4.3 でのバグの再発のため(Google Issue #70916、Cisco CSCup24172)、管理者が Android トンネルの MTU を 1280 以下に設定した場合に、VPN 接続が失敗します。この問題はすでに Google に報告されています。Android 4.4.3 で再発したバグを修正するには、新しいバージョンの OS が必要になります。この問題を回避するには、ヘッドエンドの管理者はトンネル MTU を 1280 より小さい値に設定しないようにします。
問題が発生すると、エンドユーザに「システム設定の設定値を適用できませんでした。(System configuration settings could not be applied.)VPN 接続は確立されません(A VPN connection will not be established)」というメッセージが表示され、AnyConnect デバッグ ログに以下がレポートされます。
E/vpnandroid( 2419): IPCInteractionThread: NCSS: General Exception occured, telling client E/vpnandroid( 2419): java.lang.IllegalStateException: command '181 interface fwmark rule add tun0' failed with '400 181 Failed to add fwmark rule (No such process)' E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1473) E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1419) E/vpnandroid( 2419): at com.cisco.android.nchs.aidl.IICSSupportService$Stub$Proxy.establish (IICSSupportService.java:330) E/vpnandroid( 2419): at com.cisco.android.nchs.support.VpnBuilderWrapper.establish (VpnBuilderWrapper.java:137) E/vpnandroid( 2419): at com.cisco.android.nchs.support.NCSSIPCServer.callServiceMethod (NCSSIPCServer.java:233) E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.handleClientInteraction (IPCInteractionThread.java:230) E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.run (IPCInteractionThread.java:90) E/acvpnagent( 2450): Function: ApplyVpnConfiguration File: NcssHelper.cpp Line: 740 failed to establish VPN E/acvpnagent( 2450): Function: PluginResult AndroidSNAKSystem::configDeviceForICS() File: AndroidSNAKSystem.cpp Line: 665 failed to apply vpn configuration E/acvpnagent( 2450): Function: virtual PluginResult AndroidSNAKSystem::ApplyConfiguration() File: AndroidSNAKSystem.cpp Line: 543 Failed to Configure System for VPN.Android 4.4(KitKat)のバグ Google Issue #61948(AnyConnect ユーザが VPN 接続で大量のパケット損失を経験する/タイムアウトが発生する)が Google の Android 4.4.1 のリリース(Google がソフトウェア アップデートを介して一部のデバイスに配布を開始しました)で解決されたことをご報告します。次の問題情報は、参考のために提供します。
Android 4.4 のバグ(Issue #61948、Cisco サポートの更新 [英語] も参照してください)が原因で、AnyConnect ユーザは VPN 接続で大量のパケット損失を経験します。これは、Android 4.4 で AnyConnect ICS+ を実行する Google Nexus 5 で確認されています。ユーザは、特定のネットワーク リソースにアクセスしようとすると、タイムアウトを経験します。また、ASA ログには、「大きいパケット 1420 バイト(しきい値 1405 バイト)を送信(Transmitting large packet 1420 (threshold 1405))」のようなテキストの syslog メッセージが表示されます。
Google が Android 4.4 用の修正を作成するまで、VPN 管理者は sysopt connection tcpmss <mss size> を設定することにより、ASA 上の TCP 接続のための最大セグメント サイズを一時的に小さくすることができます。このパラメータのデフォルトは 1380 バイトです。ASA ログに表示される値の差に応じてこの値を小さくします。上記の例では、差は 15 バイトです。値を 1365 未満にする必要があります。この値を小さくすると、大きなパケットを送信する接続済みの VPN ユーザのパフォーマンスに悪影響を及ぼします。
AnyConnect for Android で、464xlat と呼ばれる IPv6 移行メカニズムを使用してモバイル ネットワークに接続すると、接続の問題が生じる場合があります。影響を受けることが確認されているデバイスには、T-Mobile US ネットワークに接続している Samsung Galaxy Note III LTE があります。このデバイスは、デフォルトで IPv6 モバイル ネットワーク接続のみを使用します。接続を試行すると、デバイスを再起動するまで、モバイル接続が失われることがあります。
この問題を防止するには、AnyConnect ICS+ アプリケーションを使用し、IPv4 ネットワーク接続を取得するか、Wi-Fi ネットワークを使用して接続するようにデバイス設定を変更します。T-Mobile USA ネットワークに接続している Samsung Galaxy Note III LTE の場合、T-Mobile によって提供されている手順 [英語] に従って、デバイスのアクセス ポイント名(APN)を設定します([APN プロトコル(APN Protocol)] が [IPv4] に設定されていることを確認します)。
VPN 内のプライベート IP アドレスの範囲がクライアント デバイスの外部インターフェイスの範囲とオーバーラップすると、AnyConnect ICS+ パッケージに問題が発生することがあります。このルートのオーバーラップが発生すると、ユーザは VPN に正常に接続できますが、実際には何にもアクセスできません。この問題は、NAT(ネットワーク アドレス変換)を使用し、アドレスを 10.0.0.0 ~ 10.255.255.255 の範囲内に割り当てている携帯電話ネットワークで確認されています。またこの問題は、AnyConnect で Android VPN フレームワークのルート制御が制限されていると発生します。ベンダー固有の Android パッケージに完全なルーティング制御があると、このようなシナリオではより良く機能する場合があります。
Android 4.0(ICS)を実行する Asus タブレットで、TUN ドライバが失われることがあります。これにより、AVF AnyConnect が失敗します。
Android セキュリティ ルールによって、VPN 接続がアップ状態の間、デバイスのマルチメディア メッセージング サービス(MMS)メッセージの送受信が阻止されます。ほとんどのデバイスとサービス プロバイダーでは、VPN 接続がアップ状態の間に MMS メッセージを送信しようとすると通知が表示されます。Android では VPN に接続していないときにメッセージの送受信が許可されます。
Google Isssue 41037 が原因で、クリップボードからテキストを貼り付けるときに、テキストの前にスペースが挿入されます。AnyConnect では、ワンタイム パスワードなどのテキストをコピーする場合は、ユーザがこの不要な空白文字を削除する必要があります。
Copyright © 2014-2017, Cisco Systems, Inc. All rights reserved.