ASA 8. x: Доступ к VPN с помощью VPN-клиента AnyConnect, для которого используется пример конфигурации с недоверительным сертификатом

Введение

В этом документе описывается способ применения самостоятельно подписанных сертификатов, разрешающих удаленный доступ подключений SSL VPN к ASA из клиента Cisco AnyConnect 2.0.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

• Базовая ASA конфигурация, где запущено ПО версии 8.0

• ASDM 6.0(2)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Cisco ASA 8.0(2), ASDM 6.0 (2)

• Cisco AnyConnect 2.0

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Клиент Cisco AnyConnect 2.0 — это клиент VPN, работающий на базе SSL. AnyConnect Клиент можно использовать и устанавливать в самых разных операционных системах (таких как Windows 2000, XP, Vista, Linux (разные дистрибутивы) и MAC OS X). Системный администратор может установить клиент AnyConnect вручную на удаленный компьютер. Его также можно загрузить в устройство обеспечения безопасности и подготовить для загрузки удаленными пользователями. После загрузки приложение можно автоматически удалить вслед за разрывом подключения либо оставить на удаленном компьютере для будущих подключений VPN SSL. В этом примере клиент AnyConnect подготавливается к загрузке после успешной аутентификации SSL на основе браузера.

Дополнительные сведения о клиенте AnyConnect 2.0 см. в документе Заметки о выпуске AnyConnect 2.0.

Примечание: Сервисы терминалов MS не поддерживаются в сочетании с клиентом AnyConnect. Невозможно подключиться по протоколу удаленного рабочего стола (RDP) к компьютеру, а затем запустить сеанс AnyConnect. К клиенту, подключенному с помощью AnyConnect, невозможно подключиться с помощью RDP.

Примечание: Для первой установки AnyConnect требуется, чтобы пользователь имел права администратора (независимо от того, используете ли вы автономный msi-пакет AnyConnect или получаете файл pkg от ASA). Если у пользователя нет прав администратора, появляется диалоговое окно с соответствующим требованием. Последующие обновления не потребуют наличия прав администратора у пользователя, ранее установившего AnyConnect.

Настройка

Чтобы ASA настроить для доступа через VPN с помощью любого клиента AnyConnect, выполните следующие действия:

1. Настройка самостоятельно выпущенного сертификата.

2. Загрузка на сервер и идентификация образа клиента VPN SSL.

3. Включение доступа к Anyconnect.

4. Создание новой групповой политики.

5. Настройка обхода списка доступа для подключений VPN.

6. Создание профиля подключения и туннельной группы для подключений клиента AnyConnect.

7. Настройка исключения NAT для клиентов AnyConnect.

8. Добавление пользователей в локальную базу данных.

Шаг1. Настройка самостоятельно выпускаемого сертификата

По умолчанию устройство обеспечения безопасности обладает самостоятельно подписанным сертификатом, который создается заново каждый раз, когда устройство перезагружается. Приобрести свой собственный сертификат можно у поставщиков (например, у Verisign или EnTrust), либо настроить ASA так, чтобы идентификационный сертификат выпускался самим устройством. Этот сертификат остается одинаковым даже в случае перезагрузки устройства. Завершите этот шаг, чтобы создать самостоятельно выпускаемый сертификат, который сохраняется при перезагрузке.

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Разверните Управление сертификатами раздел и выберите сертификаты идентификации.

3. Щелкните Добавьте, а затем щелкните переключатель Добавляют новый сертификат идентификации.

4. Щелкните Новый.

5. В Пара Добавления ключа окне щелкните переключатель Вводит новое имя пары ключей.

6. Введите название, которое идентифицирует пару ключей.

   В этом примере используется название sslvpnkeypair.

7. Нажмите кнопку генерируют теперь.

8. Убедитесь, что в окне добавляют сертификат идентификации выбрана только что созданная пара ключей.

9. В DN предмета сертификата поле введите полное доменное имя (FQDN), которое будет использоваться для подключения к конечному интерфейсу VPN.

   CN=sslvpn.cisco.com

10. Щелкните Усовершенствованный и введите FQDN, использованный для поля DN предмета сертификата.

    Например, FQDN: sslvpn.cisco.com

11. Нажмите кнопку ОК.

12. Установите флажок генерируют сам, подписанный сертификат и щелкните добавляет сертификат.

13. Нажмите кнопку ОК.

14. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

15. Раскройте Усовершенствованный раздел, а затем раскройте раздел параметры настройки SSL.

16. В Сертификаты области выберите интерфейс, который будет использоваться в качестве конечного для VPN SSL (внешний), а затем нажмите редактируют.

17. В раскрывающемся списке сертификат выберите самостоятельно подписанный сертификат, который был ранее сгенерирован.

18. Нажмите ХОРОШО кнопку, а затем нажмите применяются.

Пример командной строки

ciscoasa(config)#crypto key generate rsa label sslvpnkeypair
INFO: The name for the keys will be: sslvpnkeypair
Keypair generation process begin. Please wait...

!--- Generate an RSA key for the certificate. (The name should be unique. !--- For example, sslvpnkeypair.)

ciscoasa(config)#crypto ca trustpoint localtrust

!--- Create a trustpoint for the self-issued certificate.

ciscoasa(config-ca-trustpoint)#enrollment self
ciscoasa(config-ca-trustpoint)#fqdn sslvpn.cisco.com
ciscoasa(config-ca-trustpoint)#subject-name CN=sslvpn.cisco.com

!--- The fully qualified domain name is used for both fqdn and CN. !--- The name should resolve to the ASA outside interface IP address.

ciscoasa(config-ca-trustpoint)#keypair sslvpnkeypair

!--- The RSA key is assigned to the trustpoint for certificate creation. 

ciscoasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm
% The fully-qualified domain name in the certificate will be: sslvpn.cisco.com
ciscoasa(config)# ssl trust-point localtrust outside

!--- Assign the trustpoint to be used for SSL connections on the outside interface.

Шаг2. Загрузка на сервер и идентификация образа клиента VPN SSL

В этом документе используется клиент AnyConnect SSL 2.0. Этот клиент можно загрузить с сайта загрузки программного обеспечения Cisco. Для каждой операционной системы, которую планируют применять удаленные пользователи, требуется отдельный образ Anyconnect. Дополнительные сведения см. в документе Заметки о выпуске Cisco AnyConnect 2.0.

Загрузив AnyConnect клиент, выполните следующие действия:

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Разверните Сетевой доступ (клиент) раздел, а затем разверните раздел усовершенствованный.

3. Разверните VPN SSL раздел и выберите клиентские параметры настройки.

4. В VPN-клиент SSL (SVC) области отображает щелкните, добавляют, а затем — загрузка.

5. Перейдите к папке, в которую был загружен клиент AnyConnect.

6. Выберите файл и щелкните файл загрузки.

   После загрузки клиента появляется сообщение о том, что файл успешно загружен во флэш-память.

7. Нажмите кнопку ОК.

   Появится окно, подтверждающее намерение использовать только что загруженный образ в качестве текущего образа клиента VPN SSL.

8. Нажмите кнопку ОК.

9. Нажмите ХОРОШО кнопку, а затем нажмите применяются.

10. Повторите действия из этого раздела для каждого пакета Anyconnect для операционной системы, который требуется использовать.

Пример командной строки

ciscoasa(config)#copy tftp://192.168.50.5/anyconnect-win-2.0.0343-k9.pkg flash

Address or name of remote host [192.168.50.5]?

Source filename [anyconnect-win-2.0.0343-k9.pkg]?

Destination filename [anyconnect-win-2.0.0343-k9.pkg]?

Accessing tftp://192.168.50.5/anyconnect-win-2.0.0343-k9.pkg...!!!!!!!!!!!!!
Writing file disk0:/anyconnect-win-2.0.0343-k9.pkg...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2635734 bytes copied in 4.480 secs (658933 bytes/sec)

!--- AnyConnect image is downloaded to ASA via TFTP.

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1

!--- Specify the AnyConnect image to be downloaded by users. The image that is !--- downloaded the most should have the lowest number. This image uses 1 for the !--- AnyConnect Windows image.

Шаг3. Включение доступа к Anyconnect

Чтобы разрешить клиенту AnyConnect подключаться к ASA, необходимо включить доступ в оконечном интерфейсе подключений VPN SSL. В этом примере в качестве оконечного интерфейса для подключений Anyconnect используется внешний интерфейс.

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Разверните Сетевой доступ (клиент) раздел, а затем выберите профили VPN-подключения на базе SSL.

3. Установите флажок включают Cisco AnyConnect VPN Client.

4. Установите флажок предоставляют доступ для внешнего интерфейса и щелкните, применяются.

Пример командной строки

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enable outside
ciscoasa(config-webvpn)#svc enable

!--- Enable AnyConnect to be downloaded to remote computers.

Шаг4. Создание новой групповой политики

Групповая политика служит для указания параметров конфигурации, которые должны применяться к клиентам при подключении. В этом примере создается групповая политика, которая называется SSLClientPolicy.

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Разверните Сетевой доступ (клиент) раздел, а затем разверните раздел групповые политики.

3. Нажмите Добавить.

4. Выберите Общий, а затем введите SSLClientPolicy в поле название.

5. В Пулы адресов разделе снимите флажок наследовались.

6. Щелкните Выберите, а затем выберите добавляют.

   Появится окно добавляют пул IP.

7. Настройте пул адресов из диапазона IP-адресов, который в данный момент не используется в вашей сети.

   В этом примере используются следующие значения:

   • Name: SSLClientPool

   • Starting IP Address: 192.168.25.1

   • Ending IP Address: 192.168.25.50

   • Маска подсети: 255.255.255.0

8. Нажмите кнопку ОК.

9. Выберите только что созданный пул и щелкните назначают.

10. Нажмите ХОРОШО кнопку, а затем щелкните больше опций.

11. В Протоколы туннелирования разделе снимите флажок наследовались.

12. Установите VPN-клиент SSL (SVC) флажок.

13. На левой панели выберите серверы.

14. В DNS Серверы разделе снимите флажок наследовали и введите IP-адрес внутреннего сервера DNS, который будет использоваться клиентами AnyConnect.

    В этом примере используется адрес 192.168.50.5.

15. Щелкните Больше опций.

16. В Домен по умолчанию разделе снимите флажок наследовался.

17. Введите домен, используемый вашей внутренней сетью. Например, tsweb. лОКАЛЬНЫЙ.

18. Нажмите ХОРОШО кнопку, а затем нажмите применяются.

Пример командной строки

ciscoasa(config)#ip local pool SSLClientPool 192.168.25.1-192.168.25.50 mask 255.255.255.0

!--- Define the IP pool. The IP pool should be a range of IP addresses !--- not already in use on the internal network. 

ciscoasa(config)#group-policy SSLCLientPolicy internal
ciscoasa(config)#group-policy SSLCLientPolicy attributes
ciscoasa(config-group-policy)#dns-server value 192.168.50.5

!--- Specify the internal DNS server to be used.

ciscoasa(config-group-policy)#vpn-tunnel-protocol svc

!--- Specify VPN tunnel protocol to be used by the Group Policy.
 
ciscoasa(config-group-policy)#default-domain value tsweb.local

!--- Define the default domain assigned to VPN users.

ciscoasa(config-group-policy)#address-pools value SSLClientPool

!--- Assign the IP pool created to the SSLClientPolicy group policy.

Настройка обхода списка доступа для подключений VPN

При включении этого параметра клиентам SSL/IPsec разрешается обходить список доступа интерфейса.

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Разверните Сетевой доступ (клиент) раздел, а затем разверните раздел усовершенствованный.

3. Разверните VPN SSL раздел и выберите обходной список доступа к интерфейсам.

4. Убедитесь в том, что установлен флажок Включают входящую VPN SSL, и Сеансы IPSec для обхода списков доступа к интерфейсам и нажмите Применяются.

Пример командной строки

ciscoasa(config)#sysopt connection permit-vpn

!--- Enable interface access-list bypass for VPN connections. !--- This example uses the vpn-filter command for access control.

ciscoasa(config-group-policy)#

Шаг6. Создание профиля подключения и туннельной группы для подключений клиента AnyConnect

Когда VPN клиенты подключаются к ASA, они подключаются к профилю подключения или туннельной группе. Туннельная группа используется для определения параметров подключения для определенных типов подключений VPN (таких как L2L IPsec, удаленный доступ с помощью IPsec, SSL без клиентов и SSL с клиентами).

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Разверните Сетевой доступ (клиент) раздел, а затем разверните раздел VPN SSL.

3. Выберите Профили подключения и щелкните добавляют.

4. Выберите Основной и введите следующие значения:

   • Name: SSLClientProfile

   • Authentication: ЛОКАЛЬНЫЙ

   • Default Group Policy: SSLClientPolicy

5. Убедитесь в том, что установлен флажок протокол VPN-клиента SSL (SVC).

6. Разверните на левой панели раздел усовершенствованный и выберите VPN SSL.

7. В Псевдонимы соединения разделе щелкните добавляют и введите имя, которое пользователи могут связать со своими подключениями VPN. Например, SSLVPNClient.

8. Нажмите кнопку ХОРОШО, а затем нажмите кнопку ХОРОШО еще раз.

9. В нижней части окна ASDM установите флажок Позволяют, что Применяется пользователь для выбора соединения, определенного псевдонимом в таблице выше в странице входа и щелкните.

Пример командной строки

ciscoasa(config)#tunnel-group SSLClientProfile type remote-access

!--- Define tunnel group to be used for VPN remote access connections.

ciscoasa(config)#tunnel-group SSLClientProfile general-attributes
ciscoasa(config-tunnel-general)#default-group-policy SSLCLientPolicy
ciscoasa(config-tunnel-general)#tunnel-group SSLClientProfile webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias SSLVPNClient enable

!--- Assign alias for tunnel group.

ciscoasa(config-tunnel-webvpn)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

!--- Enable alias/tunnel group selection for SSL VPN connections.

Шаг7. Настройка исключения NAT для клиентов AnyConnect

Исключение NAT должно настраиваться для любых IP-адресов или диапазонов IP-адресов, к которым требуется разрешить доступ клиентов VPN SSL. В данном примере клиентам VPN SSL нужен доступ только к внутреннему IP-адресу 192.168.50.5.

Примечание: Если управление NAT не включено, это действие не требуется. Воспользуйтесь для проверки командой nat-control покажите выполненного. Чтобы выполнить проверку с помощью ASDM, щелкните Конфигурация, затем — Межсетевой экран, а затем выберите туземные Правила. Если установлен флажок Включают трафик через межсетевой экран без переадресации это действие можно пропустить.

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите межсетевой экран.

2. Выберите Nat представляет и щелкните, добавляют.

3. Выберите Добавьте NAT освобожденное правило и введите следующие значения:

   • Действие: Свободно

   • Interface: внутри

   • Источник: 192.168.50.5

   • Destination: 192.168.25.0/24

   • NAT Exempt Direction: Исходящий трафик исключения NAT, поступающий из интерфейса "внутри" в менее безопасные интерфейсы (по умолчанию)

4. Нажмите ХОРОШО кнопку, а затем нажмите применяются.

Пример командной строки

ciscoasa(config)#access-list no_nat extended permit 
                  ip host 192.168.50.5 192.168.25.0 255.255.255.0

!--- Define access list to be used for NAT exemption. 

ciscoasa(config)#nat (inside) 0 access-list no_nat

!--- Allow external connections to untranslated internal !--- addresses defined by access lisy no_nat.

ciscoasa(config)#

Шаг8. Добавление пользователей в локальную базу данных

При использовании локальной аутентификации (по умолчанию) необходимо определить имена пользователей и пароли в локальной базе данных для аутентификации пользователей.

Порядок действий в диспетчере ASDM

1. Щелкните Конфигурация, а затем выберите VPN для удаленного доступа.

2. Раскройте AAA Настройка раздел, а затем раскройте раздел локальные пользователи.

3. Выберите Добавьте и введите следующие значения:

   • Username: matthewp

   • Password: p@ssw0rd

   • Confirm Password: p@ssw0rd

4. Выберите переключатель никакой ASDM, SSH, Telnet или консольный доступ.

5. Нажмите ХОРОШО кнопку, а затем нажмите применяются.

6. Повторите это действие для других пользователей, а затем щелкните сохраняют.

Пример командной строки

ciscoasa(config)#username matthewp password p@ssw0rd
ciscoasa(config)#username matthewp attributes
ciscoasa(config-username)#service-type remote-access

!--- Assign user remote access only. No SSH, Telnet, ASDM access allowed.

ciscoasa(config-username)#write memory

!--- Save the configuration.

Проверка

С помощью сведений в этом разделе можно убедиться в успешности конфигурации VPN SSL

Подключитесь ASA к с помощью клиента AnyConnect

Установите клиент прямо на компьютер и подключите внешний интерфейс ASA. Кроме того, можно ввести https и полное доменное имя (или IP-адрес) ASA в браузере. При использовании браузера клиент устанавливается после успешного входа в систему.

Проверка подключений клиента VPN SSL

Воспользуйтесь Покажите обращение к операционной системе vpn-sessiondb командой, чтобы проверить подключенные клиенты VPN SSL.

ciscoasa(config-group-policy)#show vpn-sessiondb svc

Session Type: SVC

Username     : matthewp               Index        : 6
Assigned IP  : 192.168.25.1           Public IP    : 172.18.12.111
Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
Encryption   : RC4 AES128             Hashing      : SHA1
Bytes Tx     : 35466                  Bytes Rx     : 27543
Group Policy : SSLClientPolicy        Tunnel Group : SSLClientProfile
Login Time   : 20:06:59 UTC Tue Oct 16 2007
Duration     : 0h:00m:12s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

ciscoasa(config-group-policy)#

Команда vpn-sessiondb выходит из системы имя пользователя названия дает пользователям возможность выполнять вход по имени пользователя. После отключения пользователю отправляется сообщение Сброс Администратора.

ciscoasa(config)#vpn-sessiondb logoff name matthewp
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "matthewp" logged off : 1

ciscoasa(config)#

Дополнительные сведения о клиенте AnyConnect 2.0 см. в документе Руководство администратора VPN AnyConnect Cisco.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды устранения неисправностей (необязательные)

Средство Интерпретатор выходных данных (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды показывает. Посредством OIT можно анализировать выходные данные команд показывает.

Примечание: Прежде чем выполнять какие-либо команды отладки, ознакомьтесь с документом "Важные сведения о командах отладки".

• обращение к операционной системе debug webvpn 255 — отображение сообщений отладки о подключениях к клиентам SSL VPN с помощью WebVPN.

  Успешный вход в AnyConnect

  ciscoasa(config)#debug webvpn svc 255
  INFO: debug webvpn svc enabled at level 255.
  ciscoasa(config)#ATTR_FILTER_ID: Name: 
   SSLVPNClientAccess 
  , Id: 1, refcnt: 1
  webvpn_rx_data_tunnel_connect
  CSTP state = HEADER_PROCESSING
  http_parse_cstp_method()
  ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'Host: 10.10.1.5' - 
  !--- Outside IP of ASA
  
  Processing CSTP header line: 'Host: 10.10.1.5'
  webvpn_cstp_parse_request_field()
  ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343' - 
  !--- AnyConnect Version
  
  Processing CSTP header line: 'User-Agent: Cisco AnyConnect 
                                            VPN Client 2, 0, 0343'
  Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
  webvpn_cstp_parse_request_field()
  ...input: 'Cookie: webvpn=3338474156@28672@1192565782@EFB9042D72C
                     63CE02164F790435897AC72EE70AE'
  Processing CSTP header line: 'Cookie: webvpn=3338474156@28672@119
                     2565782@EFB9042D72C63CE02164F790435897AC72EE70AE'
  Found WebVPN cookie: 'webvpn=3338474156@28672@1192565782@EFB9042D72C
                     63CE02164F790435897AC72EE70AE'
  WebVPN Cookie: 'webvpn=3338474156@28672@1192565782@EFB9042D72C63CE02
                     164F790435897AC72EE70AE'
  IPADDR: '3338474156', INDEX: '28672', LOGIN: '1192565782'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Version: 1'
  Processing CSTP header line: 'X-CSTP-Version: 1'
  Setting version to '1'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Hostname: wkstation1' - 
  !--- Client desktop hostname
  
  Processing CSTP header line: 'X-CSTP-Hostname: wkstation1'
  Setting hostname to: 'wkstation1'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-MTU: 1206'
  Processing CSTP header line: 'X-CSTP-MTU: 1206'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Address-Type: IPv4'
  Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
  webvpn_cstp_parse_request_field()
  ...input: 'X-DTLS-Master-Secret: 72B8AD72F327059AE22CBB451CB0948AFBE98296FD849
                            49EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51'
  Processing CSTP header line: 'X-DTLS-Master-Secret: 72B8AD72F327059AE22CBB451C
         B0948AFBE98296FD84949EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51'
  webvpn_cstp_parse_request_field()
  ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
  Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:
                                DES-CBC3-SHA:DES-CBC-SHA'
  Validating address: 0.0.0.0
  CSTP state = WAIT_FOR_ADDRESS
  webvpn_cstp_accept_address: 192.168.25.1/255.255.255.0 - 
  !--- IP assigned from IP Pool
  
  CSTP state = HAVE_ADDRESS
  SVC: NP setup
  np_svc_create_session(0x7000, 0xD41612C8, TRUE)
  webvpn_svc_np_setup
  SVC ACL Name: NULL
  SVC ACL ID: -1
  SVC ACL ID: -1
  vpn_put_uauth success!
  SVC IPv6 ACL Name: NULL
  SVC IPv6 ACL ID: -1
  SVC: adding to sessmgmt
  SVC: Sending response
  Unable to initiate NAC, NAC might not be enabled or invalid policy
  CSTP state = CONNECTED
  webvpn_rx_data_cstp
  webvpn_rx_data_cstp: got internal message
  Unable to initiate NAC, NAC might not be enabled or invalid policy

  Неудачный вход в AnyConnect (неправильный пароль)

  webvpn_portal.c:ewaFormSubmit_webvpn_login[1808]
  ewaFormSubmit_webvpn_login: tgCookie = 0
  ewaFormSubmit_webvpn_login: cookie = d53d2990
  ewaFormSubmit_webvpn_login: tgCookieSet = 0
  ewaFormSubmit_webvpn_login: tgroup = NULL
  webvpn_portal.c:http_webvpn_kill_cookie[627]
  webvpn_auth.c:http_webvpn_pre_authentication[1905]
  WebVPN: calling AAA with ewsContext (-717386088) and nh (-717388536)!
  WebVPN: started user authentication...
  webvpn_auth.c:webvpn_aaa_callback[4380]
  WebVPN: AAA status = (REJECT)
  webvpn_portal.c:ewaFormSubmit_webvpn_login[1808]
  ewaFormSubmit_webvpn_login: tgCookie = 0
  ewaFormSubmit_webvpn_login: cookie = d53d2990
  ewaFormSubmit_webvpn_login: tgCookieSet = 0
  ewaFormSubmit_webvpn_login: tgroup = NULL
  webvpn_auth.c:http_webvpn_post_authentication[1180]
  WebVPN: user: (matthewp) rejected.
  http_remove_auth_handle(): handle 9 not found!
  webvpn_portal.c:ewaFormServe_webvpn_login[1749]
  webvpn_portal.c:http_webvpn_kill_cookie[627]

Дополнительные сведения

• Руководства Cisco AnyConnect VPN Client администратора, версия 2.0
• Комментарии к выпуску для клиент клиент клиент клиент клиент клиент клиент AnyConnect VPN Client (выпуск 2.0)
• Cisco Systems – техническая поддержка и документация