Problemen oplossen met Cisco Secure Client VPN Vaak voorkomende problemen

Inleiding

Dit document beschrijft problemen met Cisco Secure Client met app-fouten en verbreekt de verbinding met Windows, macOS en Linux.

Voorwaarden

Vereisten

Voordat u dit document gebruikt, moet u ervoor zorgen dat u:

• Cisco Secure Client 5.x op het eindpunt (of de versie die uw headend ondersteunt).
• Mogelijkheid om een DART-bundel of clientlogboeken te verzamelen.
• Administratieve toegang tot de VPN-headend (ASA of FTD).

Gebruikte componenten

De informatie in dit document is gebaseerd op:

• Client: Cisco Secure Client 5.x (AnyConnect VPN-module).
• Headend: Cisco ASA 9.x of Cisco Secure Firewall Threat Defense (FTD) met Remote Access VPN.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Bekijk de probleemoplossing voor Cisco Secure Client in de handleiding voor productbeheerders.

Problemen oplossen

In dit document worden Cisco Secure Client VPN-problemen (waaronder AnyConnect) beschreven, waaronder toepassingsfouten, onverwachte verbroken verbindingen en veelvoorkomende fouten in Windows-, macOS-, Linux- en Cisco ASA/FTD-headendconfiguraties.

• Toepassingen die niet werken via de VPN-tunnel.
• Cliënten maken onverwacht verbinding/verbreken verbinding.
• Veelvoorkomende foutmeldingen die op de client of headend verschijnen.

Dit omvat de VPN-client op Windows, macOS en Linux, inclusief headendconfiguratie op Cisco ASA en Cisco Secure Firewall Threat Defense (FTD) Remote Access. VPN.

Bekijk deze secties om gemeenschappelijke problemen en oplossingen aan te pakken:

• Informatie verzamelen voor probleemoplossing
• Problemen bij installatie en met virtuele adapter
• Verbroken verbinding of niet mogelijk eerste verbinding tot stand te brengen
• Problemen met passerend verkeer
• Crashproblemen met AnyConnect
• Problemen met fragmentatie/passerend verkeer
• Automatisch verwijderen
• Probleem met invullen van cluster-FQDN
• Configuratie van back-upserverlijst

Informatie verzamelen voor probleemoplossing

Verzamel client- en headendgegevens voordat u de configuratie wijzigt. TAC vraagt meestal een DART-bundel aan.

Klant — Statistieken en DART

1. Verbindingsstatistieken exporteren
   
   • Windows: Tandwielpictogram > Geavanceerd venster > Statistieken > AnyConnect VPN > Statistieken exporteren
   • macOS: Statistieken > Statistieken exporteren
   • Linux: Details over de client GUI
2. DART uitvoeren
   
   • Windows / Linux: tandwielpictogram > Geavanceerd venster > Diagnose
   • macOS: Toepassingsmenu > Diagnostisch rapport genereren
   Bevestig de bundel aan uw TAC-geval of gebruik Upload to TAC met het SR-nummer en token.
3. Problemen met ingesloten browsers: Geavanceerd venster > Algemeen > Webbrowser > Gegevens wissen.

Headend — ASA

• show running-config
• VPN-sessionb-details weergeven AnyConnect-filternaam <gebruikersnaam>
• Voorbeeld van debug: 
  

  configure terminal
  logging enable
  logging timestamp
  logging class auth console debugging
  logging class webvpn console debugging
  logging class ssl console debugging
  logging class anyconnect console debugging

  Reproduceer de fout, leg de uitvoer vast en schakel geen logboekregistratie in.

Headend — FTD

Exporteer vanuit FMC/CDO het beleid voor externe toegang en de instellingen voor het verbindingsprofiel. Verzamel FTD SSL/VPN-verbindingslogs voor het storingsvenster.

Problemen bij installatie en met virtuele adapter

Als de installatie of installatie van de virtuele adapter mislukt, verzamelt u:

1. Windows-installatielogboeken:
   

   %SystemRoot%\Inf\setupapi.dev.log
   %SystemRoot%\Inf\setupapi.setup.log

2. MSI installer log: %LOCALAPPDATA%\Temp\ of %SystemRoot%\Temp\ — bestandsnaam cisco-secure-client-win-*-install-*.log (meest recent voor uw versie).
3. Verbose MSI (indien nodig):
   

   msiexec /i cisco-secure-client-win-<version>-predeploy-k9.msi /lvx %TEMP%\ac-install.log

4. Systeeminfo: msinfo32 /nfo %TEMP%\msinfo.nfo en systeminfo > %TEMP%\sysinfo.txt

Zie Cisco Secure Client: Corrupt Driver Database Issue en de sectie Administrator Guide VPN Client Driver Encounters Error (na een Microsoft Windows Update) voor fouten in de driverdatabase.

Verbroken verbinding of niet mogelijk eerste verbinding tot stand te brengen

Als u verbindingsproblemen ondervindt met de Cisco Secure Client, verzamelt u gegevens per Verzamel informatie voor probleemoplossing voordat u de configuratie wijzigt.

• Headend Configuration: weergave van het actieve config- of exportbeleid van FMC/CDO voor FTD.
• Clientlogboeken: Verzamel een DART-bundel (zie Verzamel informatie). Vertrouw niet op de bestaande export van Event Viewer .evt.
• ASA Debug (indien nodig): Schakel logboekklasse auth, webvpn, ssl en AnyConnect in bij foutopsporing; reproduceer de fout; leg consoleuitvoer vast; dan geen logboekregistratie inschakelen.

Als de gebruiker geen verbinding kan maken, kan het probleem worden gerelateerd aan Remote Desktop Protocol (RDP) of Fast User Switching. De gebruiker kan zien: AnyConnect-profielinstellingen verplichten één lokale gebruiker, maar meerdere lokale gebruikers zijn momenteel aangemeld bij uw computer. Er kan geen VPN-verbinding worden gemaakt.

Koppel de RDP-sessie(s) los en schakel Fast User Switching uit. Meerdere gelijktijdige lokale gebruikers worden niet ondersteund op dezelfde machine voor VPN-instelling.

Opmerking: zorg ervoor dat poort 443 (en UDP 443 voor DTLS) niet wordt geblokkeerd, zodat de client de kop kan bereiken.

Wanneer een gebruiker geen verbinding kan maken, kan het probleem worden veroorzaakt door incompatibiliteit tussen de Cisco Secure Client-versie en de headendsoftware. De gebruiker kan ontvangen: Het installatieprogramma kon de Cisco VPN-client niet starten, clientloze toegang is niet beschikbaar. Upgrade de client naar een versie die wordt ondersteund door uw ASA- of FTD Remote Access VPN-implementatie.

Wanneer u zich voor het eerst aanmeldt bij Cisco Secure Client, kan het aanmeldingsscript problemen opleveren. Als u de verbinding verbreekt en opnieuw inlogt, wordt het aanmeldingsscript vaak uitgevoerd zoals verwacht. Dit gedrag kan worden verwacht, afhankelijk van het profiel en de scripttiming.

Wanneer u verbinding maakt, kunt u het volgende ontvangen: Gebruiker die niet is geautoriseerd voor AnyConnect-clienttoegang, neemt contact op met uw beheerder. Dit wordt vaak gezien wanneer het Secure Client-image ontbreekt in de koptekst. Upload het juiste clientimage en verwijs ernaar in de RA VPN / WebVPN-configuratie.

DART kan TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE weergeven wanneer het DTLS-kanaal wordt afgebroken vanwege een DPD-fout (Dead Peer Detection). Tune houdt levend op ASA:

webvpn
 anyconnect ssl keepalive 15
 anyconnect dpd-interval client 5
 anyconnect dpd-interval gateway 5

Schakel DTLS alleen uit als tijdelijke test (ASDM: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles, schakel DTLS inschakelen of FMC-equivalent uit). Geef de voorkeur aan DPD-timing en UDP 443 toestaan.

Problemen met passerend verkeer

Wanneer problemen worden gedetecteerd bij het doorgeven van verkeer naar het privénetwerk met een Cisco Secure Client-sessie via de ASA, voert u de volgende stappen voor het verzamelen van gegevens uit:

1. Verkrijg de uitvoer van show vpn-sessiondb detail any connect filternaam <gebruikersnaam> van de ASA-console. Als de uitvoer Filternaam: XXXXX toont, verzamelt u toegangslijst XXXXX tonen. Controleer of de toegangslijst het beoogde verkeer niet blokkeert.
   
   
2. Verbindingsstatistieken exporteren: Cisco Secure Client > Gear > Geavanceerd venster > Statistieken > AnyConnect VPN > Statistieken exporteren.
   
   
3. Controleer de ASA-configuratie voor nat-instructies. Als Network Address Translation (NAT) is ingeschakeld, stelt u verkeer dat terugkeert naar de client vrij. Voorbeeld om een AnyConnect-groep vrij te stellen van NAT:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

4. Bepaal of de standaardgateway met tunnel moet zijn ingeschakeld. Voorbeeld:
   
   

   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   Als de client bronnen moet bereiken die niet in de routeringstabel van de VPN-gateway staan, routeert het getunnelde zoekwoord dat door de VPN-tunnel gaat.
   
   
5. Controleer of het inspectiebeleid het toepassingsverkeer verlaagt. U kunt een protocol vrijstellen onder het Modular Policy Framework. Voorbeeld voor skinny:
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Crashproblemen met AnyConnect

Voer de volgende stappen uit om data te verzamelen:

1. Verzamel DART onmiddellijk na de crash.
2. Opmerking Windows Foutrapportage items voor vpnagent.exe / acvpnui.exe.
3. Clientlogs: %LOCALAPPDATA%\Cisco\Cisco Secure Client\Logs (controleer het pad voor uw versie).

Problemen met fragmentatie/passerend verkeer

Sommige applicaties, zoals Microsoft Outlook, werken niet terwijl de tunnel kleiner verkeer passeert, zoals kleine pings. Dit kan wijzen op fragmentatie op het pad. Consumentenrouters zijn vaak slecht in fragmentatie en reassemblage.

Probeer een schaalset pings: ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Configureer een speciaal groepsbeleid voor getroffen gebruikers en stel een lagere MTU in:

group-policy <name> attributes
 webvpn
  anyconnect mtu 1200

Automatisch verwijderen

Probleem

Cisco Secure Client verwijdert zichzelf nadat de verbinding is beëindigd, hoewel Keep installed geselecteerd wordt in ASDM/FMC.

Oplossing

group-policy <name> attributes
 webvpn
  anyconnect keep-installer installed

Probleem met invullen van cluster-FQDN

Probleem: AnyConnect-client is vooraf gevuld met de hostnaam in plaats van de cluster Fully Qualified Domain Name (FQDN).

Wanneer u een load-balancing cluster voor SSL VPN hebt en de client verbinding maakt, kan het verzoek worden omgeleid naar een clusternode en slaagt de aanmelding. Bij een latere verbindingspoging wordt de FQDN-clusternaam niet weergegeven in Verbinding maken met; in plaats daarvan kan de hostnaam van de laatste node worden weergegeven.

Oplossing

De client cachet de laatste succesvolle hostnaam. Wis de gegevens in de cache of stel het FQDN-cluster in de lijst met profielservers in. Controleer op Cisco Secure Client 5.x. Zie Cisco bug ID CSCsz39019 voor platformspecifieke opmerkingen.

Configuratie van back-upserverlijst

Er wordt een back-upserverlijst geconfigureerd wanneer de primaire server niet bereikbaar is. Definieer dit in het deelvenster Back-upserver van het clientprofiel. Voer de volgende stappen uit:

1. Bewerk het profiel met de profieleditor vanuit uw koptekst voor het Secure Client-pakket of volgens de handleiding voor de profielconfiguratie voor Secure Client 5.1. Wijs het profiel toe in ASDM of FMC.
   
   
2. Het XML-profiel maken of bewerken:
   
   1. Ga naar het tabblad Server list (Serverlijst).
   2. Klik op Add (Toevoegen).
   3. Voer de hostnaam van de primaire server in.
   4. Voeg back-upservers toe aan de lijst met back-upservers en klik vervolgens op Toevoegen.
3. Wijs het profiel toe aan de verbinding op de ASA:
   
   1. In ASDM: Configuratie > Remote Access VPN > Netwerktoegang (client) > AnyConnect-verbindingsprofielen.
   2. Selecteer uw profiel en klik op Edit (Bewerken).
   3. Klik op Manage (Beheren) in de sectie Default Group Policy (Standaardgroepsbeleid).
   4. Selecteer uw groepsbeleid en klik op Edit (Bewerken).
   5. Selecteer Geavanceerd en vervolgens SSL VPN-client.
   6. Klik op Nieuw, geef het profiel een naam en wijs het XML-bestand toe.
4. Sluit de client aan om het profiel te downloaden.

Cisco Secure Client: Probleem met corrupte driverdatabase

Deze vermelding in het bestand SetupAPI.log suggereert dat het catalogussysteem corrupt is:

W239 driver signing class list "C:\WINDOWS\INF\certclas.inf" was missing or invalid. Fout 0xfffffde5: Onbekende fout., ervan uitgaande dat alle apparaatklassen zijn onderworpen aan het beleid voor het ondertekenen van stuurprogramma's. U kunt ook ontvangen: Fout (3/17): Kan VA niet starten, gedeelde wachtrij instellen of VA heeft gedeelde wachtrij opgegeven.

En u kunt dit logboek op de client ontvangen: "Het VPN-clientstuurprogramma heeft een fout aangetroffen".

Herstellen

Dit probleem is gerelateerd aan Cisco bug ID CSCsm54689. Schakel Routing and Remote Access Service (RRAS) uit voordat u Cisco Secure Client start. Als het probleem zich blijft voordoen:

1. Open een opdrachtprompt als Administrator op Windows.
   
   
2. Voer de opdracht net stop CryptSvc uit.
   
   
3. Voer uit:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

4. Wanneer u daarom wordt gevraagd, kiest u OK om de reparatie uit te voeren.
5. Sluit de opdrachtprompt.
   
   
6. Start opnieuw op.

Mislukte herstelpoging

Als de reparatie mislukt:

1. Open een opdrachtprompt als Administrator op Windows.
   
   
2. Voer de opdracht net stop CryptSvc uit.
   
   
3. Hernoem %WINDIR%\system32\catroot2 naar catroot2_old.
   
   
4. Sluit de opdrachtprompt.
   
   
5. Start opnieuw op.

De database analyseren

U kunt de database op elk moment analyseren om te bepalen of deze geldig is.

1. Open een opdrachtprompt als Administrator op Windows.
   
   
2. Voer uit:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   Raadpleeg het artikel System Catalog Database Integrity (Integriteit van database van systeemcatalogus) voor meer informatie.

Foutmeldingen

Fout: de database voor sessiebeheer kan niet worden bijgewerkt

Deze fout kan optreden tijdens de browsergebaseerde SSL VPN- of Web Portal-verificatie. De client of portal toont Kan de sessiebeheerdatabase niet bijwerken. De ASA kan %ASA-3-211001 loggen: Geheugentoewijzingsfout. The adaptive security appliance failed to allocate RAM system memory. (Geheugentoewijzingsfout. De adaptieve security applicatie kan geen RAM-systeemgeheugen toekennen.)

Oplossing 1

Gerelateerd aan Cisco bug ID CSCsm51093. Herlaad de ASA of upgrade naar een vaste release per de bug. Controleer bij FTD de limieten voor het platformgeheugen en de RA VPN-sessie.

Oplossing 2

Gratis headend-geheugen:

1. Schakel de detectie van bedreigingen uit als deze is ingeschakeld.
2. AnyConnect-compressie uitschakelen: AnyConnect-compressie niet onder de sectie webvpn-beleid voor groepen.
3. Laad de ASA opnieuw.
4. Op oudere ASA-platforms met 256 MB RAM, upgrade naar 512 MB als het geheugen uitput blijft.

Fout: "Module kan niet worden geregistreerd" tijdens installatie van Cisco Secure Client

Tijdens de installatie op Windows meldt het installatieprogramma dat een module (bijvoorbeeld vpnapi.dll) niet is geregistreerd en terugdraait.

Oplossing

• Verwijder tijdelijk conflicterende virtuele netwerkadapters van VMware; installeer de beveiligde client opnieuw; voeg VMware terug toe.
• Voeg de koptekst FQDN toe aan vertrouwde sites als u web-implementatie gebruikt.
• Vanuit C:\Program Files\Cisco\Cisco Secure Client\, voer verhoogde: regsvr32 vpnapi.dll (en vpncommon.dll, vpncommoncrypt.dll indien aanwezig).
• Verzamel MSI-logboek (zie Installatie sectie) en DART als de installatie nog steeds mislukt.
• Als laatste redmiddel, repareer Windows of herimplementeer het vanaf een schone Secure Client-verwijdering.

Fout: "Er is een fout ontvangen van de beveiligde gateway als reactie op het VPN-onderhandelingsverzoek. Please contact your network administrator"

Wanneer clients verbinding maken met Cisco Secure Client, retourneert de gateway een fout zoals "klasse Ongeldig adres", "Host of netwerk is 0" of "Andere fout".

Oplossing

De lokale IP-pool van ASA of FTD is uitgeput of verkeerd geconfigureerd. Vouw de VPN-adrespool uit en gebruik een geschikt masker (bijvoorbeeld /24 in plaats van een pool met alleen /32). Zie Cisco bug ID CSCsl82188.

Fout: AnyConnect is niet ingeschakeld op VPN-server terwijl u probeert verbinding te maken met ASA

De client meldt dat AnyConnect / Secure Client niet is ingeschakeld op de VPN-server.

Oplossing

Schakel Remote Access VPN in en implementeer een Secure Client-image op de koptelefoon. In ASA: Configuratie > Externe toegang VPN > Netwerktoegang (client) > AnyConnect-verbindingsprofielen. Op FTD: RA VPN en clientimage configureren in FMC. Gebruik een Remote Access VPN-gids — geen clientloze configuratie met alleen WebVPN.

Fout:- %ASA-6-722036: Groepsclient-groep Gebruiker xxxx IP x.x.x.x.x Groot pakket verzenden 1220 (drempel 1206)

Het bericht %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (drempel 1206) wordt weergegeven in ASA-logs.

Oplossing

Er werd een groot pakket naar de client gestuurd (MTU of niet-comprimeerbare data). De compressie voor het groepsbeleid uitschakelen:

group-policy <name> attributes
 webvpn
  anyconnect compression none

Fout: De beveiligde gateway heeft de aanvraag voor een VPN-verbinding of opnieuw verbinden van de agent afgewezen.

Voorbeelden hiervan zijn geen toegewezen adres, host of netwerk is 0, of geen licentie in het gateway-bericht.

Oplossing

Controleer of de kop een geconfigureerde IP-toewijzing voor de lokale pool en het groepsbeleidsadres heeft na opnieuw laden of failover:

show running-config | include pool
ip local pool SSLPOOL 192.168.30.2 192.168.30.254
 anyconnect address-pool SSLPOOL

Installeer of schakel de vereiste mobiliteitslicentie voor Secure Client in de koptekst voor No License (Geen licentie).

Fout: "Het VPN-clientstuurprogramma heeft een fout aangetroffen"

Meestal is er een probleem met de virtuele adapter, het RRAS-conflict of het stuurprogrammaprobleem na Windows Update.

Oplossing

1. Schakel Routing and Remote Access Service (RRAS) uit voordat u Secure Client start.
2. Voer de stappen Cisco Secure Client: Corrupt Driver Database Issue uit als de installatie catalogusfouten vertoont.
3. Na de Windows Update gebruikt u Repair VPN Client Driver Error in de Beheerdershandleiding van Secure Client 5.1.
4. Verzamel DART en neem indien nodig contact op met TAC. Zie Cisco bug ID CSCsm54689.

Fout: "Reactie van xxx.xxx.xxx.xxx kan niet worden verwerkt"

De Cisco Secure Client maakt geen verbinding met Kan de reactie van <gateway>niet verwerken.

Oplossing

• Schakel Remote Access VPN / WebVPN op de betreffende interface uit en schakel deze opnieuw in.
• Verplaats de SSL VPN tijdelijk naar een andere poort (bijvoorbeeld 444) en herstel vervolgens 443.

Zie SSL VPN-clientconfiguratie op ASA. Verzamel DART als de fout aanhoudt.

Fout: "Login geweigerd, niet-geautoriseerd verbindingsmechanisme, neem contact op met uw beheerder"

Cisco Secure Client toont Login Denied, ongeautoriseerd verbindingsmechanisme, neem contact op met uw beheerder.

Oplossing

Controleer het verbindingsprofiel en de verificatie op de kop (ASA of FTD). Zorg ervoor dat de methode voor clientverificatie (RADIUS, SAML, certificaat, enzovoort) overeenkomt met het profiel. Controleer de toewijzing van het groepsbeleid en de tunnelgroep.

Fout: "AnyConnect-pakket niet beschikbaar of beschadigd. Contact your system administrator"

Deze fout kan worden weergegeven wanneer u Cisco Secure Client vanaf een Macintosh-client start.

Oplossing

1. Upload het macOS Secure Client-pakket naar headend flash.
2. Verwijs ernaar in de WebVPN-configuratie:
   

   webvpn
    anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Fout: "Het AnyConnect-pakket op de beveiligde gateway kon niet worden gevonden"

Op Linux (of andere platforms) kan de client het pakket niet downloaden van de kop.

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Oplossing

Controleer of het client-besturingssysteem wordt ondersteund en of het juiste image is geconfigureerd in de koptekst:

webvpn
 anyconnect image disk0:/cisco-secure-client-win-<version>-predeploy-k9.pkg 1
 anyconnect image disk0:/cisco-secure-client-macos-<version>-predeploy-k9.pkg 2

Zie AnyConnect-pakket niet beschikbaar of beschadigd voor de bijbehorende stappen.

Fout: "Beveiligde VPN via extern bureaublad wordt niet ondersteund"

Gebruikers zien dat Secure VPN via remote desktop niet wordt ondersteund.

Oplossing

Upgrade naar een ondersteunde Cisco Secure Client 5.x-release. Zie Cisco bug ID CSCsu22088 en Cisco bug ID CSCso42825.

Fout: "Het ontvangen servercertificaat of de keten ervan voldoet niet aan FIPS. A VPN connection will not be established"

De client meldt dat het servercertificaat of de keten niet voldoet aan FIPS.

Oplossing

Als FIPS vereist is op het eindpunt, gebruikt u de FIPS-compatibele certificaten op de kop. Als dit niet nodig is, bewerkt u de C:\ProgramData\Cisco\Cisco Secure Client\AnyConnectLocalPolicy.xml en stelt u <FipsMode>false</FipsMode> in en start u vervolgens opnieuw op (beheerdersrechten vereist).

Fout: "Fout bij certificaatvalidatie"

Gebruikers kunnen Cisco Secure Client niet starten en certificaatvalidatiefout ontvangen.

Oplossing

Voor certificaatverificatie importeert u het clientcertificaat, configureert u het profiel voor certificaatauteur en schakelt u op ASA het volgende in:

ssl certificate-authentication interface outside port 443

Controleer of het servercertificaat overeenkomt met de FQDN in de profielserverlijst.

Fout: "VPN Agent Service heeft een probleem ondervonden en moet worden gesloten. We are sorry for the inconvenience"

De service vpnagent.exe mislukt tijdens de installatie, upgrade of verbinding.

Oplossing

1. Start Cisco Secure Client opnieuw op - AnyConnect VPN Agent in Windows Services.
2. Repareren of opnieuw installeren vanaf headend web-implementatie.
3. Verzamel DART als de service herhaaldelijk uitvalt. Zie Cisco bug ID CSCsq49102 voor Citrix-conflicten.

Fout: "Dit installatiepakket kon niet worden geopend. Verify that the package exists"

Web-implementatie mislukt met een Windows Installer-fout waardoor het pakket niet kon worden geopend.

Oplossing

1. Controleer of de MSI volledig is gedownload; probeer het opnieuw vanaf het hoofdportaal.
2. Schakel agressieve AV tijdelijk uit in de downloadmap; verzamel een uitgebreid MSI-log.
3. Controleer of de Windows Installer-service actief is.
4. Als het probleem zich blijft voordoen, verzamelt u DART/MSI-logs en opent u een TAC-case.

Fout: "Fout bij toepassen van transformaties. Verify that the specified transform paths are valid."

Het automatisch downloaden van de kop mislukt, soms als gevolg van een beschadigde MST-transformatie.

Oplossing

1. Verwijder de aangepaste MST-transformatie uit de hoofdtekst van de aangepaste installatiedefinitie van AnyConnect.
2. Upload opnieuw het juiste Secure Client-image in de koptekst.
3. In ASDM: Netwerktoegang (client) > Aangepast AnyConnect > Installaties — Dubbele items verwijderen; houd het actieve image onder clientinstellingen.

Fout: "Een VPN-herverbinding resulteerde in een andere configuratie-instelling. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restored."

Dit bericht kan worden weergegeven nadat u opnieuw verbinding hebt gemaakt wanneer de instellingen voor de koptelefoon zijn gewijzigd.

Oplossing

group-policy <Name> attributes
 webvpn
  anyconnect mtu 1200

Cisco Secure Client-fout bij inloggen

Probleem: De VPN-verbinding is niet toegestaan via een lokale proxy. Dit kan worden gewijzigd via de profielinstellingen van AnyConnect.

Oplossing

<ProxySettings>IgnoreProxy</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>

Fout: AnyConnect Essentials kan pas worden ingeschakeld wanneer al deze sessies zijn gesloten.

ASDM toont lopende clientloze SSL VPN-sessies wanneer AnyConnect Essentials wordt ingeschakeld.

Oplossing

AnyConnect Essentials kan niet gelijktijdig met de premium gedeelde SSL VPN-licentie worden uitgevoerd. Beëindig clientloze SSL VPN-sessies voordat Essentials wordt ingeschakeld. Essentials bevat geen clientloze SSL VPN.

Fout: weinig gebruikers krijgen bericht dat aanmelding is mislukt als anderen via AnyConnect VPN verbinding kunnen maken

Sommige gebruikers ontvangen Login Failed terwijl anderen verbinding kunnen maken.

Oplossing

Zorg ervoor dat geen pre-authenticatie (of gelijkwaardig) is ingesteld voor de getroffen gebruikers. Vergelijk het toewijzen van groepsbeleid en verbindingsprofielen.

Fout: het certificaat dat u bekijkt, komt niet overeen met de naam van de site die u probeert te bekijken.

Tijdens het bijwerken van het profiel in Windows mislukt de certificaatvalidatie ten opzichte van de verbindings-URL.

Oplossing

<ServerList>
 <HostEntry>
    <HostName>vpn1.example.com</HostName>
 </HostEntry>
</ServerList>

AnyConnect-profiel wordt niet gerepliceerd naar de standby na failover

Na een ASA-failover ontbreken er bestanden met betrekking tot het Secure Client-profiel op de standby-eenheid.

Oplossing

Zie Cisco bug ID CSCtn71662. Workaround: handmatig kopiëren van profielbestanden naar de stand-by. Controleer stateful failover config sync voor RA VPN-profielen.

Foutbericht: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

Cisco Secure Client maakt geen verbinding met Kan geen verbinding maken. Het gebeurtenissenlogboek toont TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Oplossing

Dit gebeurt met een zeer grote split-tunnellijst (ongeveer 180-200 vermeldingen) plus andere attributen voor groepsbeleid (bijvoorbeeld dns-server).

1. Verminder de items in de lijst met gesplitste tunnels.
2. DTLS tijdelijk uitschakelen:
   

   group-policy groupName attributes
    webvpn
     anyconnect ssl dtls none

Zie Cisco bug ID CSCtc41770.

Foutbericht: "Verbindingspoging is mislukt vanwege ongeldige hostinvoer"

Verbindingspoging is mislukt vanwege ongeldige hostinvoer tijdens certificaatverificatie.

Oplossing

• Gebruik een geldige hostnaam (FQDN) in de lijst met profielservers.
• Gebruik de ondersteunde Cisco Secure Client 5.x.
• Verwijder het verouderde Cisco Secure Desktop (CSD)-beleid als dit nog aanwezig is.

Zie Cisco bug ID CSCti73316.

Fout: "Zorg ervoor dat uw servercertificaten de strikte modus kunnen passeren als u always-on VPN configureert"

Wanneer Always-On is ingeschakeld, kan de client melden dat servercertificaten de strikte modus moeten passeren.

Oplossing

Always-On vereist een geldig kopcertificaat dat overeenkomt met de verbindings-URL. De strikte certificaatmodus in lokaal beleid veroorzaakt een fout als het certificaat niet wordt vertrouwd of niet overeenkomt.

Zie Gecertificeerd door een onbekende autoriteit in de Beheerdershandleiding voor beveiligde client 5.1.

Fout: "Er is een interne fout opgetreden in de Microsoft Windows HTTP Services"

DART kan HttpSendRequest-fouten weergeven en er is een interne fout opgetreden in de Microsoft Windows HTTP-services met CTransportWinHttp-fouten.

Oplossing

Dit kan worden veroorzaakt door een beschadigde Winsock-toestand. Van een verhoogde opdrachtprompt: netsh winsock reset

Start Windows opnieuw op en raadpleeg de Microsoft-richtlijnen voor het opnieuw instellen van Windows.

Fout: "Het SSL-transport heeft een Secure Channel-fout ontvangen. May be a result of a unsupported crypto configuration on the Secure Gateway."

Cisco Secure Client DART kan CTransportWinHttp-fouten en CTransPORT_ERROR_SECURE_CHANNEL_FAILURE tonen wanneer TLS- of cijferonderhandeling tussen de client en de koptelefoon mislukt.

Oplossing

1. Gebruik alleen TLS 1.2+ en moderne cijfersuites. Schakel DES, 3DES of RC4 niet in.
2. Een voorbeeld:
   

   ssl cipher tlsv1.2 custom "AES256-GCM-SHA384:AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"

3. Controleer de geldigheid van het servercertificaat en de FQDN-overeenkomst.
4. Upgrade de client en headend naar ondersteunde releases.
5. Op Windows, houd Schannel op TLS 1.2 +; niet verzwakken de client crypto voor verouderde koppen.

Gerelateerde informatie

• Problemen met Cisco Secure Client oplossen (Beheerdershandleiding 5.1)
• Handleiding voor probleemoplossing AnyConnect VPN-client - Veelvoorkomende externe problemen
• Veelgestelde vragen over Cisco Secure Client / AnyConnect

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
3.0	23-Jun-2026	Bijgewerkte spelling-, grammatica-, zinsstructuur-, introductie-, spatiëring- en CCW-waarschuwingen.
1.0	04-Apr-2018	Eerste vrijgave