Anyconnect — внутренняя ошибка сервера
-
Здравствуйте, кто-нибудь может подсказать, как лучше всего решить эту проблему? Я настроил Anyconnect, и он нормально работает для ряда пользователей, однако в последнее время все новые клиенты, подключающиеся к сети, получают ошибку «Внутренняя ошибка VPN-сервера». Пользователи могут без проблем пройти аутентификацию на веб-странице и загрузить клиент, но после установки
и аутентификации появляется ошибка, и они не могут подключиться.
Извините, это неверно, клиент возвращает ошибку VPN-сервера, как только вы нажимаете «Подключиться». В настоящее время он настроен на аутентификацию через SAML, но при переходе на локальный или TACACs я получаю точно такую же ошибку при тестировании. У нас очень мало пользователей (6), а на устройстве есть 8 лицензий (5508-x в режиме отказоустойчивости HA и 4 лицензии на каждое устройство, итого 8 доступных). Однако даже после тестирования, когда никто другой не был подключен, возникает та же ошибка, поэтому я не думаю, что это проблема с лицензией. Я попробовал несколько разных версий AnyConnect, от 4.7.04056 4.8.03036 и 4.9.00086 Все они дают ту же ошибку. -
Привет, Ричард, Судя по технической информации, которую ты прислал в личном сообщении, в твоем ASA отсутствовал поставщик идентификации SAML, что и вызывало ошибку при подключении. Оцените, помогло ли это. С уважением, Хосуэ Бренес TAC — инженер по VPN.
-
Обновление: если я возьму все файлы из ProgramData и appdata и скопирую их на новый компьютер перед установкой клиента AnyConnect, то смогу подключиться. Так что это проблема конфигурации клиента где-то?
-
Привет, Ричард, Можешь ли ты включить «debug webvpn AnyConnect 255», попробовать подключиться и поделиться результатом? Кроме того, используется ли для подключения профиль xml? Если да, можете ли вы сравнить профиль на работающем и неработающем компьютере и найти возможные различия между ними? Наконец, было бы полезно получить DART с неудачного подключения. Оцените, если это поможет. С уважением, Хосуэ Бренес TAC — инженер по VPN.
-
Здравствуйте, Когда я включаю отладку anyconnect, я не получаю абсолютно никаких результатов на терминале и в системных журналах. (У меня включен монитор терминала). Все, что я вижу в системных журналах, — это начальное соединение и его завершение без видимой причины.
![AnyConnect.png] Я начал играться с XML-профилями, но подумал, что это может быть причиной, поэтому удалил их все и все ссылки в конфигурации. Что такое DART и как его получить?
-
Нашел пакет DART! Прилагаю С уважением
-
Ричард, В данном конкретном случае DART не отображает никакой релевантной информации о сбое соединения, кроме ошибки: Следующее сообщение об ошибке было получено от безопасного шлюза:
Внутренняя ошибка VPN-сервера. Не могли бы вы поделиться конфигурацией ASA здесь? По крайней мере, вывод команд: sh run webvpn sh run ssl sh version sh run tunnel-group <имя_группы_туннелей> sh run group-policy <имя_групповой_политики> Оцените, если это помогло. С уважением, Хосуэ Бренес TAC — инженер по VPN. -
Спасибо, Хосуэ, очень ценю помощь. Результаты: Показать Webvpn webvpn
enable OUTSIDE
hsts
enable
max-age 31536000
include-sub-domains
no preload
anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg 2
anyconnect enable
saml idp
https://sts.windows.net/4fb68470-0753-42ef-98d9-b1d034772ace/
url sign-in
https://login.microsoftonline.com/4fb68470-0753-42ef-98d9-b1d034772ace/saml2
url sign-out
https://login.microsoftonline.com/common/wsfederationwa=wsignout1.0
base-url
https://xxxxxxxx.xxxxxx.xx
trustpoint idp AzureAD-AC-SAML
trustpoint sp ASDM_TrustPoint0
no signature
no force re-authentication
tunnel-group-list enable
cache
disable
error-recovery disable Sho run SSL ssl trust-point ASDM_TrustPoint0 OUTSIDE
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 NOC-LAN-V950
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 NOC-LAN-V950 vpnlb-ip Sho ver Программное обеспечение Cisco Adaptive Security Appliance версии 9.8(4)22 Расширяемая
операционная система Firepower версии 2.2(2.124)
Диспетчер устройств версии 7.13(1) Скомпилировано в пятницу, 29 мая 2020 г., в 00:37 по тихоокеанскому времени разработчиками Файл
образа системы: «disk0:/asa984-22-lfbff-k8.SPA»
Файл конфигурации при загрузке: «startup-config» AIM-NOC-FW01 работает 1 день 19 часов
отказоустойчивый кластер работает 160 дней 22 часа Оборудование: ASA5508, 8192 МБ ОЗУ, процессор Atom C2000 серии 2000 МГц, 1 процессор (8 ядер)
Внутренний ATA Compact Flash, 8000 МБ
BIOS Flash M25P64 @ 0xfed01000, 16384 КБ Аппаратное устройство шифрования: встроенный ускоритель Cisco ASA Crypto (ревизия 0x1)
Количество ускорителей: 1 1: Ext: GigabitEthernet1/1 : адрес ecbd.1d0b.788b, irq 255
2: Ext: GigabitEthernet1/2 : адрес ecbd.1d0b.788c, irq 255
3: Ext: GigabitEthernet1/3 : адрес ecbd.1d0b.788d, irq 255
4: Ext: GigabitEthernet1/4 : адрес ecbd.1d0b.788e, irq 255
5: Ext: GigabitEthernet1/5 : адрес ecbd.1d0b.788f, irq 255
6: Ext: GigabitEthernet1/6 : адрес ecbd.1d0b.7890, irq 255
7: Ext: GigabitEthernet1/7 : адрес ecbd.1d0b.7891, irq 255
8: Ext: GigabitEthernet1/8 : адрес ecbd.1d0b.7892, irq 255
9: Int: Internal-Data1/1 : адрес ecbd.1d0b.788a, irq 255
10: Int: Internal-Data1/2 : адрес 0000.0001.0002, irq 0
11: Int: Internal-Control1/1 : адрес 0000.0001.0001, irq 0
12: Int: Internal-Data1/3 : адрес 0000.0001.0003, irq 0
13: Ext: Управление1/1 : адрес ecbd.1d0b.788a, irq 0
14: Int: Внутренние данные1/4 : адрес 0000.0100.0001, irq 0 Лицензионные функции для этой платформы:
Максимальное количество физических интерфейсов: Неограниченное бессрочное
Максимальное количество VLAN: 50 бессрочное
Внутренние хосты: Неограниченное бессрочное
Переключение при сбое: Активное/активное бессрочное
Шифрование DES: Включено бессрочное
Шифрование 3DES-AES: Включено бессрочное
Контексты безопасности: 2 бессрочное
Оператор: Отключено бессрочное
AnyConnect Premium Peers: 4 бессрочное
AnyConnect Essentials: Отключено бессрочно
Другие VPN-пиры: 100 бессрочно
Общее количество VPN-пиров: 100 бессрочно
AnyConnect для мобильных устройств: Отключено бессрочно
AnyConnect для Cisco VPN Phone: Отключено бессрочно
Расширенная оценка конечных точек: Отключено бессрочно
Общая лицензия: Отключено бессрочно
Общее количество сеансов TLS-прокси: 320 бессрочно Фильтр
трафика ботнетов: Отключено бессрочно
Кластер: Отключено бессрочно Балансировка
нагрузки VPN: Включено бессрочно Функции с лицензией для отказоустойчивого кластера для этой платформы:
Максимальное количество физических интерфейсов: Неограниченное бессрочное
Максимальное количество VLAN: 50 бессрочное
Внутренние хосты: Неограниченное бессрочное
Отказоустойчивость: Активное/активное бессрочное
Шифрование DES: Включено бессрочное
Шифрование 3DES-AES: Включено бессрочное
Контексты безопасности: 4 бессрочное
Оператор: Отключено бессрочное
AnyConnect Premium Peers: 8 бессрочное
AnyConnect Essentials: Отключено бессрочно
Другие VPN-пиры: 100 бессрочно
Всего VPN-пиров: 100 бессрочно
AnyConnect для мобильных устройств: Отключено бессрочно
AnyConnect для Cisco VPN Phone: Отключено бессрочно
Расширенная оценка конечных точек: Отключено бессрочно
Общая лицензия: Отключено бессрочно
Всего сеансов TLS-прокси: 320 бессрочно Фильтр
трафика ботнетов: Отключено бессрочно
Кластер: Отключено бессрочно Распределение
нагрузки VPN: Включено бессрочно Функция «Работающий ключ активации»: 640 сеансов TLS-прокси превышают лимит на платформе, сокращен до 320 сеансов TLS-прокси. Серийный номер: JAD193301UQ
Работающий постоянный ключ активации: 0x3d1af26d 0xf8c33571 0xccb2b11c 0xa428208c 0xc12b1ab5
Регистр конфигурации: 0x1
Тип образа: Версия ключа
выпуска: A
Конфигурация в последний раз изменена администратором в 20:27:07.498 GMT/BDT в субботу, 4 июля 2020 г. sho run tunnel-group tunnel-group NOC-SSL-VPN-GroupPolicy type remote-access
tunnel-group NOC-SSL-VPN-GroupPolicy general-attributes
authentication-server-group TACACS+
default-group-policy NOC-SSL-VPN-GroupPolicy
tunnel-group NOC-SSL-VPN-GroupPolicy webvpn-attributes
authentication saml
group-alias NOC-SSL-VPN enable
saml identity-provider
https://sts.windows.net/4fb68470-0753-42ef-98d9-b1d034772ace/ Sho run group-policy group-policy NOC-SSL-VPN-GroupPolicy internal
group-policy NOC-SSL-VPN-GroupPolicy attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
ipv6-split-tunnel-policy tunnelspecified
split-tunnel-network-list value NOC-Network-Split-Tunnel
default-domain value aimes.net
address-pools value NOC-SSL-VPN-POOL
ipv6-address-pools value NOC-SSL-VPN-POOL-IPV6
webvpn
anyconnect keep-installer none Команда sho run SSL была интересной, почему там указаны две точки доверия и что делает команда «vpnlb-ip»? -
Да, большое спасибо Josue, он заметил, что у меня было несколько групп туннелей, одна из которых полностью использовала SAML для аутентификации, а другая была настроена только частично, что и вызывало эту ошибку Anyconnect. Я не знал, что можно добавлять к URL, например, /test, что было очень полезно узнать!
-
Привет, у меня такая же проблема. Можете ли вы мне помочь? Я подключаюсь через Freie Universität, но сейчас нахожусь не в Германии. Может ли это быть причиной, хотя это и звучит маловероятно? Заранее большое спасибо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти