O cliente seguro VPN desconecta com o código de razão de término 7 no Ubuntu 24.04
Contents
Problema
O Cisco Secure Client no Ubuntu 24.04 estabelece com êxito uma conexão VPN, mas se desconecta em segundos. A desconexão é consistentemente acompanhada pelo código de razão de terminação 7 e travamentos envolvendo libvpnapi.so, impedindo a conectividade VPN estável necessária para o acesso comercial normal.
A sequência de conexão mostra o cliente atingindo o estado "Conectado", mas imediatamente fazendo a transição de volta para o estado Desconectado ao verificar o status. O cliente VPN exibe o "Código de razão da terminação 7: O agente foi interrompido" nos logs, junto com as entradas de alteração de estado de túnel e mensagens indicando que as conexões DTLS/SSL estão sendo encerradas com alertas de "notificação de fechamento".
Esta sequência de comandos demonstra o problema:
/opt/cisco/secureclient/bin/vpn connect
A saída da conexão mostra o estabelecimento bem-sucedido:
Cisco Secure Client (version 5.1.12.146) release.
Copyright (c) 2004 - 2025, Cisco Systems, Inc. All rights reserved.
>> state: Unknown
>> state: Disconnected
>> state: Disconnected
>> notice: Ready to connect.
>> registered with local VPN subsystem.
>> contacting host (vpn.sse.cisco.com) for login information...
>> notice: Contacting vpn.sse.cisco.com.
>> Your client certificate will be used for authentication
Group:
>> state: Connecting
>> notice: Establishing VPN session...
The Cisco Secure Client - Downloader is analyzing this computer. Please wait...
Initializing the Cisco Secure Client - Downloader...
The Cisco Secure Client - Downloader is performing update checks...
The Cisco Secure Client - Downloader update checks have been completed.
>> notice: The Cisco Secure Client - Downloader is performing update checks...
>> notice: Checking for profile updates...
>> notice: Checking for customization updates...
>> notice: Performing any required updates...
>> notice: The Cisco Secure Client - Downloader update checks have been completed.
Please wait while the VPN connection is established...
>> state: Connecting
>> notice: Establishing VPN session...
>> notice: Establishing VPN - Initiating connection...
>> notice: Establishing VPN - Examining system...
>> notice: Establishing VPN - Activating VPN adapter...
>> notice: Establishing VPN - Configuring system...
>> notice: Establishing VPN...
>> state: Connected
No entanto, ao verificar o status imediatamente após a conexão:
/opt/cisco/secureclient/bin/vpn status
O cliente mostra o estado desconectado:
Cisco Secure Client (version 5.1.12.146) release.
Copyright (c) 2004 - 2025, Cisco Systems, Inc. All rights reserved.
>> state: Unknown
>> state: Disconnected
>> state: Disconnected
>> state: Disconnected
>> notice: Ready to connect.
>> registered with local VPN subsystem.
VPN>
Ambiente
Sistema operacional: Ubuntu 24,04
Versão do Cisco Secure Client: 5.1.12.146
método de autenticação: Autenticação de certificado de cliente
Interface virtual: cscotun0 (ou interface virtual similar do Cisco Secure Client)
O ambiente inclui scripts de automação para gerenciamento do sistema
Resolução
O problema foi resolvido identificando e corrigindo um script de automação que estava identificando incorretamente a interface virtual do Cisco Secure Client (cscotun0) como um novo dispositivo físico e aplicando a ele a configuração de proxy HTTP/transparente. As próximas etapas descrevem o processo de resolução.
Passo 1: Coletar Informações de Diagnóstico
Gere pacotes DART (Diagnostic and Reporting Tool) do endpoint afetado para capturar logs detalhados do cliente VPN e informações do sistema:
Generate DART bundle from Cisco Secure Client interface or command line
Os pacotes DART contêm entradas de log do agente de VPN que mostram as etapas de configuração da interface e do perfil, incluindo as configurações de DNS para a interface cscotun0, a configuração do adaptador de VPN e as alterações da tabela de roteamento.
Mar 13 16:41:08 Message type information sent to
> the user: Contacting vpn.sse.cisco.com.
> Mar 13 16:41:08 : VPN SESSION START: Initiating
> VPN connection to the secure gateway hvpn.sse.cisco.com
> Mar 13 16:41:08 The Cisco Secure Client -
> AnyConnect VPN has obtained the following proxy server configuration from
> the operating system: http://x.x.x.x:3128/
> Mar 13 16:41:08 The Cisco Secure Client -
> AnyConnect VPN has obtained the following proxy exception list from the
> operating system: localhost,127.0.0.0/8,::1
> Mar 13 16:41:11 Termination reason code 7: The
> agent has been stopped.
Passo 2: Analisar comportamento do script de automação
Investigar scripts de automação locais que gerenciam interfaces de rede e configurações de proxy. Procure scripts que detectem automaticamente novas interfaces de rede e apliquem políticas de configuração.
Passo 3: Identificar problema de atribuição de proxy
Determine se os scripts de automação estão tratando a interface virtual do Cisco Secure Client como um novo dispositivo físico e aplicando configurações de proxy inadequadas. A interface virtual (cscotun0 ou similar) não pode ter uma configuração de proxy HTTP/transparente aplicada a ela.
Passo 4: Remover configuração de proxy da interface virtual
Remova ou corrija a atribuição de proxy que foi aplicada automaticamente à interface virtual do Cisco Secure Client pelo script de automação. Isso evita que o proxy interfira no fluxo de tráfego da VPN.
Passo 5: Lógica do Script de Automação de Atualização
Modifique o script de automação para excluir as interfaces virtuais do Cisco Secure Client (normalmente chamadas de cscotun0, cscotun1) das políticas de configuração automática de proxy. Adicionar lógica para identificar e ignorar interfaces virtuais VPN durante processos de configuração de rede automatizados.
Passo 6: Verificar a conectividade VPN
Teste a conectividade VPN após remover a configuração do proxy para confirmar a conexão estável:
/opt/cisco/secureclient/bin/vpn connect vpn.sse.cisco.com
Verifique se a conexão permanece estável verificando o status após o estabelecimento da conexão:
/opt/cisco/secureclient/bin/vpn status
Passos alternativos de solução de problemas
Se o problema persistir ou ocorrer em ambientes semelhantes, considere estas abordagens adicionais de solução de problemas:
Testar o Cisco Secure Client em um terminal Linux sem scripts de automação
Desative temporariamente os serviços de terceiros que podem interferir com a libvpnapi ou o agente VPN
Atualize o Cisco Secure Client para a versão mais recente disponível
Verificar os logs do sistema quanto a conflitos com a criação e a configuração da interface virtual VPN
Causa
A causa principal foi um script de automação interno que identificou incorretamente a interface virtual do Cisco Secure Client (cscotun0 ou semelhante) como um novo dispositivo de rede física. O script aplicou automaticamente a configuração de proxy HTTP/transparente a essa interface virtual, o que interferiu no fluxo de tráfego da VPN e fez com que a conexão fosse encerrada com o código de razão 7.
Quando o cliente VPN estabelece uma conexão, ele cria uma interface de rede virtual para lidar com o tráfego criptografado. O script de automação detectou essa criação de interface como um novo dispositivo de rede que se une ao sistema e aplicou políticas de proxy padrão destinadas a interfaces de rede física. Essa configuração de proxy interrompeu a capacidade do túnel VPN de rotear adequadamente o tráfego criptografado, levando à desconexão imediata após o estabelecimento bem-sucedido da conexão.
O código de razão de término 7 ("O agente foi parado") e os travamentos de libvpnapi.so foram sintomas de interferência de proxy subjacente em vez de problemas diretos de software de cliente VPN.
Conteúdo relacionado
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
26-May-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)