购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
14238
查看次数
0
有帮助
10
回复

anyconnect vpn配置后,无法连接。debug信息没有任何输出

tylerhu28682
Level 1
Level 1

发布时间 ‎03-24-2020 12:02 AM

问题现象:今天配置一台ASA9.x的anyconnect vpn,基本是直接拷贝的另外一台ASA的配置,但是这台anyconnect完全无法连接。客户端直接提示连接失败。

自己尝试排查:
1、反复检查配置,没有发现有啥不对的。
2、尝试ping ASA的outside地址,是通的。再尝试telnet X.X.X.226:9876也是可以的(X.X.X.226是outside公网地址,webvpn的port设置为9876),说明应该是ip和端口应该是通的。
3、debug webvpn anyconnect 255 没有任何信息打印

4、直接在火狐浏览器输入网址:https://X.X.X.226:9876 (其中X.X.X.226是outside公网地址,webvpn的port设置为9876),也无法访问。提示如下

自此就没有排查思路了,头都大了。请大神帮忙指导一下,下一步如何排查呢?
--------------------------------如下是配置,基本是完全按照论坛@arvinjing的配置来做的----------------------------------------------------------------------
1. 配置自签名证书
ciscoasa(config)#crypto key generate rsa label anyconnect_keypair modulus 1024
ciscoasa(config)#crypto ca trustpoint self_certificate
ciscoasa(config-ca-trustpoint)#enrollment self
ciscoasa(config-ca-trustpoint)#keypair anyconnect_keypair
ciscoasa(config-ca-trustpoint)#fqdn anyconnect.cisco.com
ciscoasa(config-ca-trustpoint)#subject-name CN=anyconnect.cisco.com
ciscoasa(config-ca-trustpoint)#crypto ca enroll self_certificate noconfirm
ciscoasa(config)#ssl trust-point self_certificate outside
2. 加载anyconnect vpn 镜像,端口改为9876
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)# anyconnect image flash:/anyconnect-win-4.0.00061-k9.pkg 1
ciscoasa(config-webvpn)#port 9876
ciscoasa(config-webvpn)#anyconnect enable
ciscoasa(config-webvpn)#enable outside
3. 配置地址池
ciscoasa(config)#ip local pool anyconnect_clients 10.10.13.1-10.10.13.254 mask 255.255.255.0
4 .配置隧道分割列表及访问控制列表旁路
ciscoasa(config)#access-list tunnel_split extended permit ip 192.168.13.0 255.255.255.0 any // (192.168.13.x为内网ip地址)
ciscoasa(config)#sysopt connection permit-vpn
5. NAT豁免
object network inside ##内网网段
subnet 192.168.13.0 255.255.255.0
object network anyconnect ##VPN地址池网段
subnet 10.10.13.0 255.255.255.0
access-list tunnel_split extended permit ip object inside any
nat (inside,outside) source static any any destination static anyconnect anyconnect no-proxy-arp route-lookup //NAT豁免
nat (inside,outside) source static anyconnect anyconnect destination static inside inside no-proxy-arp route-lookup
nat (inside,outside) after-auto source dynamic inside interface
6. 配置Group-policy调用地址池和隧道分割列表
ciscoasa(config)#group-policy anyconnect_policy internal
ciscoasa(config)#group-policy anyconnect_policy attributes
ciscoasa(config-group-policy)#address-pools value anyconnect_clients
ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)#split-tunnel-network-list value tunnel_split
7. 配置Tunnel-group
ciscoasa(config)#tunnel-group anyconnect-profile type remote-access
ciscoasa(config)#tunnel-group anyconnect-profile general-attributes
ciscoasa(config-tunnel-general)#default-group-policy anyconnect_policy
ciscoasa(config-tunnel-general)#exit
ciscoasa(config)#tunnel-group anyconnect-profile webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias anyconnect
ciscoasa(config-tunnel-webvpn)#exit
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable
8. 使用本地用户名及密码并调用Group-policy
ciscoasa(config)# username cisco pass cisco
ciscoasa(config)#username cisco attributes
ciscoasa(config-username)#vpn-group-policy anyconnect_policy
ciscoasa(config-username)#service-type remote-access
1 个人有这个问题。
标签:
0 有帮助
10 条回复10

huangqingbing
Level 1
Level 1

发布时间 ‎03-24-2020 01:32 AM

你好!anyconnect-win-pkg 文件可以分享一下给我吗 谢谢
0 有帮助

tylerhu28682
Level 1
Level 1

发布时间 ‎03-24-2020 01:37 AM

huangqingbing 发表于 2020-3-24 16:32
你好!anyconnect-win-pkg 文件可以分享一下给我吗 谢谢

发你的邮箱了。win和macos的
0 有帮助

Terence.Jh
Spotlight
Spotlight

发布时间 ‎03-24-2020 03:31 AM

ciscoasa(config)#group-policy anyconnect_policy internal
ciscoasa(config)#group-policy anyconnect_policy attributes
ciscoasa(config-group-policy)#address-pools value anyconnect_clients
ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client 这里加一个ssl-clientless 然后先测试web能不能登
0 有帮助

YilinChen
Spotlight
Spotlight

发布时间 ‎03-24-2020 06:02 PM

看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-access
tunnel-group ABC general-attributes
address-pool SSLVPN-Pool
6. 配置Group-policy中不需要调用地址池
------------------------------------------------
其它补充命令可以尝试一下:
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1
webvpn下尝试开启 tunnel-group-list
0 有帮助

tylerhu28682
Level 1
Level 1

发布时间 ‎03-25-2020 01:47 AM

terence 发表于 2020-3-24 18:31
ciscoasa(config)#group-policy anyconnect_policy internal
ciscoasa(config)#group-policy anyconnect_p ...

已按您的方式修改,web仍然不能登录。提示还是和主贴里面一样
0 有帮助

tylerhu28682
Level 1
Level 1

发布时间 ‎03-25-2020 01:52 AM

本帖最后由 tylerhu28682 于 2020-3-25 16:53 编辑
YilinChen 发表于 2020-3-25 09:02
看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-acc ...

看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-access
tunnel-group ABC general-attributes
address-pool SSLVPN-Pool
-----已修改
6. 配置Group-policy中不需要调用地址池
-----已修改
------------------------------------------------
其它补充命令可以尝试一下:
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1
-----这台ASA没有3des license,不支持这个命令
webvpn下尝试开启 tunnel-group-list
-----前的配置已经开启
按照您的方式已经修改,故障现象还是一样。
我这台ASA没有license,已经开启了ipsec,但是只有1条ipsec,应该不影响ssl vpn吧?另外1台ASA有license,anyconnect vpn就是正常的。

0 有帮助

YilinChen
Spotlight
Spotlight

发布时间 ‎03-25-2020 06:06 PM

tylerhu28682 发表于 2020-3-25 16:52
看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-a ...

不支持3DES可以在官网上免费申请
0 有帮助

eric888888
Spotlight
Spotlight

发布时间 ‎03-30-2020 09:55 PM

私信给你个设备配置,参考下
0 有帮助

eric888888
Spotlight
Spotlight

发布时间 ‎03-30-2020 09:56 PM

webvpn
port 50000
enable Internet tls-only
no anyconnect-essentials
hostscan image disk0:/hostscan_4.3.05033-k9.pkg
hostscan enable
anyconnect image disk0:/anyconnect-win-4.5.00058-webdeploy-k9.pkg 1
anyconnect image disk0:/anyconnect-macos-4.5.00058-webdeploy-k9.pkg 2
anyconnect enable
cache
disable
error-recovery disable
group-policy DfltGrpPolicy attributes
vpn-session-timeout 7200
vpn-tunnel-protocol l2tp-ipsec
group-policy GroupPolicy2 internal
group-policy GroupPolicy2 attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-tunnel-protocol ikev1 ikev2
webvpn
filter none
group-policy SHZT-GP internal
group-policy SHZT-GP attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec
group-policy LCZQ-ZB internal
group-policy LCZQ-ZB attributes
vpn-filter value vpn-filter
vpn-tunnel-protocol ssl-client ssl-clientless
group-lock value LCZQ-ZB
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
group-policy OUT internal
group-policy OUT attributes
vpn-filter value vpn-filter
vpn-tunnel-protocol ssl-client ssl-clientless
group-lock value OUT
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
webvpn
anyconnect mtu 1300
anyconnect profiles none
anyconnect ssl df-bit-ignore enable
group-policy LCZQ-FZJG internal
group-policy LCZQ-FZJG attributes
vpn-filter value vpn-filter
vpn-tunnel-protocol ssl-client ssl-clientless
group-lock value LCZQ-FZJG
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
0 有帮助

18653465190
Spotlight
Spotlight

发布时间 ‎03-31-2020 08:36 PM

重新安装一下。
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents