キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
4765
閲覧回数
0
いいね!
0
コメント
Shinpei Kono
Cisco Employee
Cisco Employee


1. 目的
MAC OS X 版 AnyConnect のトラブルシューティングで収集する情報全般、および採取方法を整理して紹介します。

事象内容に応じたログを調査の初期段階から採取することにより、迅速に調査が進むことが見込まれますので、是非ご活用ください。

なお、本資料は AnyConnect 4.0.00048 および、MAC OS Yosemite (10.10.1) を使用して作成されています。お使いの環境によって表示内容が多少異なる場合がありますが、AnyConnect 3.1 以降、MAC OS 10.8 以降をご利用であれば、手順としてそれほど大きな違いはないとご認識ください。
 

2. 必須となる情報
DART の採取は、ほぼ必須の情報となります。
また、DART の内容を確認するにあたり、問題となる事象が発生した時刻を正確に把握する必要があります。

そこで、お問い合わせに際しては、DART の採取および事象発生時刻をご提示ください。

AnyConnect から特徴的なエラーメッセージが出力されるような事象であれば、その具体的な内容、ないしエラー画面をキャプチャして併せてご提示ください。

エラーメッセージについては、以下の資料があります。事前調査の段階でご一読ください。
Cisco AnyConnect Secure Mobility Client VPN User Messages, Release 3.1

3. 採取手順
以下で、MAC OS X での DART の採取方法(3-1)、および障害の内容に応じてさらに追加で採取すべき情報(3-2以降)を追記します。

3-1 DART (AnyConnect Diagnostics and Reporting Tool)
=======================
トラブルシューティングに役立つデータを一括収集するツールです。
インストールされていない場合は、AnyConnect のインストールパッケージ(anyconnect-macosx-i386-x.x.xxxxx-k9.dmg) から追加でインストールすることが可能です。

インストール - Installation TypeAnyConnect Diagnostics and Reporting Tool をチェックして Continue


インストール後は、以下のように採取することが可能となります。

調査対象となる事象発生後に、AnyConnect のメニューバーから Genarate Diagnostics Report をクリックして DART を起動
Generate DART
# インストールされていないとグレイアウトして起動できません。


実行(Run)するとデスクトップに DART ファイルが生成されます(Encryption Password の入力は任意です)。
Run DART

以下は DART に含まれる情報の概要となります。




3-2 Routing 関連の情報収集
=======================
route-debugging により VPN 接続確立後のルーティング情報の遷移をタイムスタンプ付でログに記録することができます。VPN 接続前に以下を実行することで有効になります。

sudo touch /opt/cisco/anyconnect/debugroutes


debbugroutes ディレクトリは VPN 切断後に削除され、route-debugging 機能も自動的に無効になりますのでご注意ください。出力結果は以下に保存され、DART にも含まれます。

/tmp/debug_routechangesv4.txt 
/tmp/debug_routechangesv6.txt


3-3 DNS 関連の情報収集
=======================
次のコマンドで DNS の設定が確認できます。VPN 接続前後で採取ください。
resolv.conf ではありませんのでご注意ください。

scutil --dns

 

次の手順でDNS キャッシュをログに記録することができます。事前にDNS キャッシュをクリアしてから、事象発生後にログに記録させる手順が望ましいです。

MAC OS 10.9 およびそれ以前

!--- キャッシュクリア
sudokillall -USR1 mDNSResponder
sudokillall -USR2 mDNSResponder
sudokillall -HUP mDNSResponder

!--- 事象再現直後に DNS キャッシュをログ(system.log)に書き込みます
sudokillall -INFO mDNSResponder


MAC OS X 10.10

!--- キャッシュクリア
sudo discoveryutil udnsflushcaches
sudo discoveryutil mdnsflushcache

!--- 事象再現直後に DNS キャッシュをログ(system.log)に書き込みます
!--- label には任意の識別子を指定ください
sudo discoveryutil udnscachestats [label] 
sudo discoveryutil mdnscachestats [label] 

DNS 関連のトラブルでは必要に応じて後述(3-5)のパケットキャプチャも採取ください。


3-4 Proxy 関連の情報収集
=======================
MAC OS X では Private Proxy の使用がサポートされています。
次のコマンドで Proxy の設定が確認できます。VPN 接続前後に採取ください。

scutil --proxy


3-5 パケットキャプチャ
=======================
Wireshark を使用して暗号化前ないし復号後のパケットを捕捉することができます。
インストールには X11 が必要になります。 インストール方法等は提供元サイトをご参照ください。

暗号化前、復号化後のパケットを採取する場合は、utun0 が VPN  用の仮想アダプタとなり、VPN が確立した後に選択可能になります。

# MAC OS X の機能として Tcpdump も利用可能です。


障害内容によっては、他のキャプチャポイントからも同時採取して比較照合を必要とするケースもあるかと思います。VPN ゲートウェイ(ASA、IOSルータ) では以下のようなキャプチャ採取方法が用意されています。

ASA -  ASA でパケットキャプチャを取得する方法
IOS  -  EPC(Embedded Packet Capture)を使ったパケットキャプチャ
 


3-6 Weblaunch (Java)
=======================
Web から AnyConnect を起動、接続の際に  Java の実行で問題が発生する場合には、Java のコンソールログを採取ください。



System Preferences... > Java > Java Control Panel  から Advanced タブを選択。Debugging から Enable tracing Enable logging、および show console にチェックを入れて設定を適用してください。



Weblaunch で Java コンソールが出力されたら、出力を Copy してテキストに保存してください。


<>
 

各種ファイルの格納場所を取りまとめたものとなります。DART に含まれます。

!--- AnyConnect Profile
/opt/cisco/anyconnect/profile

!--- AnyConnect local policy
/opt/cisco/anyconnect/AnyConnectLocalPolicy.xml

!--- AnyConnect preferences
!--- User preferences
/Users/username/.anyconnect
!--- Global preferences
/opt/cisco/anyconnect/.anyconnect_global

!--- Installation log
/private/var/log/install.log

!--- Connection, authentication
/var/log/system.log


4. その他
最後に引用頻度の高い公開資料の URL を紹介いたします。

MAC OS X の動作要件、バージョンの互換性、また重要な制限事項、実装変更はリリースノートを中心に紹介されていますので、必要に応じてご参照ください。

Release Notes for Cisco AnyConnect Secure Mobility Client, Release 4.0
AnyConnect Support for Mac OS X
AnyConnect 4.0 Supported Operating Systems
Firefox Certificate Store on Mac OS X is Not Supported

Release Notes for Cisco AnyConnect Secure Mobility Client, Release 3.1
System Requirements Mac OS X
OS X 10.9 Safari Can Disable Weblaunch
Changes in AnyConnect 3.1.05187
"AnyConnect 3.1.05187 also adds support for Mac OS X 10.10. Support for Mac OS X 10.7 has been dropped."

Supported VPN Platforms, Cisco ASA 5500 Series
AnyConnect Secure Mobility Client 4.0 Computer OSs Supported
AnyConnect Secure Mobility Client 3.1 Computer OSs Supported

Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0
Modify Installation Behavior, Mac OSX
Create a PEM Certificate Store for Mac and Linux

Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1
Public Proxy Connections
Creating a PEM Certificate Store for Mac and Linux

Cisco Support Community など
Mac OS X 向け VPN クライアントに関する FAQ
AnyConnect VPN Client Troubleshoot TechNote for MAC OSX Machines
Java console log 取得手順 for MacOSX (anyconnect VPN client, web deploy)


Apple社サイト
「.local」が末尾に付いたドメイン名を解決できない、またはドメインにバインドできない場合

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします