2014-01-17 12:10 PM
皆様
初めまして、Ikenoyaと申します。
以前、FW装置にてご厄介になったものです。
その節は、ありがとうござました。
また、同装置にVPN接続をしてくるクライアントについてご質問させてください。
現在、旧VPNソフトからCisco AnyConnect Secure Mobility Clientへ切り替えを行っています。
ユーザーに提供しているモジュールを、Windows、Mac、Linuxとそれぞれを配布していますが
その中で、Linuxをつかったモジュールで接続でのエラーが表示されていて、なにから手を付け
ればいいのかという状態です。
皆様のご指南を頂きたくお願いいたします。
【確認状況】
1) クライアント側
OS: ubuntu 12.04でuname -aの出力は以下の通りです:
Linux koenepc10 3.2.0-58-generic-pae #88-Ubuntu SMP Tue Dec 3 18:00:02 UTC 2013 i686 i686 i386 GNU/Linux
プロパイダー:YahooBBのADSL
インストールモジュール:v3.1 0372
2)VPNサーバー(FW装置)
装置: ASA5515-K9
OS:Cisco Adaptive Security Appliance Software Version 8.6(1)10
解決済! 解決策の投稿を見る。
2014-01-23 07:51 PM
こんばんわ!
早速有難うございます! 貰ったログから、AnyConnectが利用する証明書を、
Ubuntu側で正しく処理できてないっぽいです。たぶんこの子が原因です
Jan 23 14:47:13 leaf004 acvpnui[2587]: Server certificate validation failed with the following errors: #011Certificate is from an untrusted source.
英語ですが、以下URLを試してみてください。
https://plus.google.com/+AndreasKotowicz/posts/2afhvvNZpE6
上記でダメでしたら、以下も
あ、あとごめんなさい! DARTは大事な情報が詰まってるので、念のため
この掲示板から"編集"→"DARTBundle_0123_1449.zip"を削除して下さい~
(でも、添付頂いて有難うございます)
無事つながる事を祈ってます!
2014-01-17 09:55 PM
こんばんわ!
エラーから、Linux側で うまく証明書関連の処理ができていないような気がします
LinuxのAnyConnect設定時に参考にしたURLなどを添付頂けると解りやすいかもです
あとはこのあたりが参考になるかもです。試していただくといかがでしょう
http://www.socsci.uci.edu/~jstern/uci_vpn_ubuntu/
LinuxでリモートVPNが使えるのは素晴らしいですね
2014-01-20 03:10 PM
Akira Muranaka様
ご回答ありがとうございます。
Linux側の証明書処理ですね。
やはり、テスト機を作って試してみないとわからないですね。
このLinux機は、他の方の持ち物なので、似たような環境を構築して確認します。
そのときまた、こちらにご厄介になります。
この件は、もう少し継続させていただきます。
ちなみに、
この9月より新VPN(any connect)を平行して稼働させています。
その際に、win,mac,linuxと接続できるようにしたようです。
現在、モジュール管理が非常に厄介なことになっています。
早速出た、非互換は、Windows8に対応していなかったとか・・・・。
また、アップします。
2014-01-20 09:47 PM
こんばんわ! はい、いい結果になるのを祈ってます!
証明書とか、認証あたりを確認頂けると良いかもです。
複数Linux端末で試してみて頂き、端末依存が無いかも確認すると、よりGOODです
>>早速出た、非互換は、Windows8に対応していなかったとか・・・・。
経験的に新OSが出てから少し時間があいてサポートしたAnyConnectバージョンが
リリースされてるので、リモートVPN命!の方には、新OSの利用は少し我慢して
下さい~、とお願いしています・・。
以下の最新のリリースノートを"Windows 8"で検索したところ、
AnyConnect 3.1.04072(2013年10月リリース)からサポート開始のようですね。。。
AnyConnect Support for Windows 8.x
2014-01-21 06:18 PM
こんばんわ!
色々とありがとうございます。
本日、ubuntuをインストールして確認したところ同様の現象が発生いたしました。
syslogを確認したtころエラーが上がっていました。
自分でも確認しているのですが改めてお力をお貸しください。
ネットワーク環境は、iphoneのテザリングを使って接続しています。
インターネットへの接続は問題なくできました。
syslogの抜粋(先ほど全部載せたら、かきこみができなかったの対象の部分を添付します)
Jan 21 14:44:25 leaf004 acvpnui[3327]: Initializing vpnapi version 3.1.03103 ().
Jan 21 14:44:25 leaf004 acvpnui[3327]: Function: setAttribute File: ../../vpn/Api/HostInitSettings.cpp Line: 349 Invoked Function: setAttribute Return Code: -33554423 (0xFE000009) Description: GLOBAL_ERROR_UNEXPECTED Invalid preference ID or not handling attributes for element UseStartBeforeLogon
Jan 21 14:44:25 leaf004 acvpnui[3327]: Function: setAttribute File: ../../vpn/Api/HostInitSettings.cpp Line: 349 Invoked Function: setAttribute Return Code: -33554423 (0xFE000009) Description: GLOBAL_ERROR_UNEXPECTED Invalid preference ID or not handling attributes for element AutomaticCertSelection
Jan 21 14:44:25 leaf004 acvpnui[3327]: Function: loadProfiles File: ../../vpn/Api/ProfileMgr.cpp Line: 141 Loaded profiles: /opt/cisco/anyconnect/profile/TMU-VPN_DC_client_profile.xml
Jan 21 14:44:25 leaf004 acvpnui[3327]: Function: getCurrentState File: ../../vpn/Api/ClientIfcBase.cpp Line: 2058 API service not ready
Jan 21 14:44:25 leaf004 acvpnui[3327]: Current Preference Settings: ServiceDisable: false CertificateStoreOverride: false CertificateStore: All ShowPreConnectMessage: false AutoConnectOnStart: false MinimizeOnConnect: true LocalLanAccess: false AutoReconnect: true AutoUpdate: true ProxySettings: Native AllowLocalProxyConnections: true PPPExclusion: Disable PPPExclusionServerIP: EnableScripting: false TerminateScriptOnNextEvent: false AuthenticationTimeout: 12 IPProtocolSupport: IPv4,IPv6 AllowManualHostInput: true BlockUntrustedServers: true PublicProxyServerAddress:
Jan 21 14:45:16 leaf004 acvpnagent[3093]: Tunnel initiated by GUI Client.
Jan 21 14:45:16 leaf004 acvpnagent[3093]: Loading preferences for root from profile TMU-VPN_DC_client_profile.xml
Jan 21 14:45:16 leaf004 acvpnagent[3093]: Current Preference Settings: ServiceDisable: false CertificateStoreOverride: false CertificateStore: All ShowPreConnectMessage: false AutoConnectOnStart: false MinimizeOnConnect: true LocalLanAccess: false AutoReconnect: true AutoUpdate: false ProxySettings: Native AllowLocalProxyConnections: true PPPExclusion: Disable PPPExclusionServerIP: EnableScripting: false TerminateScriptOnNextEvent: false AuthenticationTimeout: 12 IPProtocolSupport: IPv4,IPv6 AllowManualHostInput: true BlockUntrustedServers: false PublicProxyServerAddress:
Jan 21 14:45:25 acvpnagent[3093]: last message repeated 2 times
Jan 21 14:45:25 leaf004 acvpnagent[3093]: Server certificate validation was successful
Jan 21 14:45:25 leaf004 acvpnagent[3093]: Function: CreatePlugin File: ../../vpn/IPsec/IPsecTunnelMgr.cpp Line: 1087 Created IPsec protocol plugin
Jan 21 14:45:25 leaf004 acvpnagent[3093]: Function: InitNSS File: ../../vpn/CommonCrypt/Certificates/NSSCertUtils.cpp Line: 443 Invoked Function: CNSSCertUtils::getProfilePath Return Code: -31457265 (0xFE20000F) Description: CERTSTORE_ERROR_CERTSTORE_NOT_FOUND
Jan 21 14:45:29 leaf004 acvpnagent[3093]: The IPsec connection to the secure gateway is down.
Jan 21 14:45:29 leaf004 acvpnagent[3093]: Function: terminateTunnel File: ../../vpn/IPsec/IPsecTunnelMgr.cpp Line: 209 Invoked Function: CIPsecTunnelStateMgr::terminateTunnel Return Code: -27459543 (0xFE5D0029) Description: IPSECPROTOCOL_ERROR_UNEXPECTED_STATE_FOR_TERMINATE:The tunnel was in a state not appropriate for a terminate request.
Jan 21 14:45:29 leaf004 avahi-daemon[772]: Withdrawing workstation service for cscotun0.
Jan 21 14:45:29 leaf004 NetworkManager[776]: SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/cscotun0, iface: cscotun0)
Jan 21 14:45:29 leaf004 acvpnui[3327]: Message type error sent to the user: The certificate on the secure gateway is invalid. A VPN connection will not be established.
Jan 21 14:45:29 leaf004 acvpnui[3327]: VPN state: Disconnected Network state: Network Accessible Network control state: Network Access: Available Network type: Undefined
Jan 21 14:46:33 leaf004 acvpnui[3327]: Function: detach File: ../../vpn/Api/ClientIfcBase.cpp Line: 438 Shutting down vpnapi
Jan 21 14:53:42 leaf004 wpa_supplicant[848]: WPA: Group rekeying completed with f2:d1:a9:6d:37:cf [GTK=CCMP]
2014-01-22 10:02 AM
おはようございます!
やはり証明書関連で問題が発生していそうですね・・・・
ログからですと、原因が端末側なのか、AnyConnect側なのかが解らないです・・ごめんなさい
ちなみにLinux用のAnyConnectのバージョンは、おいくつをご利用していますか?
仮に3.1 0372かそれ以前の場合は 1年以上前のバージョンのようなので、
最新のAnyConnectのバージョンを試して頂くと 良いことがあるかもしれません
新OSの機能などの対応は 少し遅れてからAnyConnectも対応する事が多いので、
恐らく最新のUbuntuをご利用頂いてるかと思うので、AnyConnectも可能な限り最新バージョンにして頂くといいと思います。
これだけで解決する問題も多いのでお勧めです!(Ubuntuは利用者が多いので機能拡張も早いと思います!)
AnyConnectの最新バージョンは、購入元のCiscoパートナーさんや Ciscoさんに問い合わせると、提供してくれるはずです。
最新バージョンでWindows8も対応しているはずなので、一度 お試しください ~
2014-01-22 04:43 PM
こんにちは!
返信ありがとうございます。
本日、12月に頂いていた、anyconnect-predeploy-linux-64-3.1.04072-k9.tarを使用して試してみましたが駄目でした。
再度、確認して見ます。
ちなみに
3.1.04072バージョンでは、Windows8が動作したようです。
進展があったら、アップします。
2014-01-23 12:05 AM
こんばんわ!
アップデート有難うございます。 Windows 8 無事 開通ですね、おめでとうございます!
Linuxについては、端末側に問題がないか確認頂きながら、以下の情報も取得してみて頂けますか?
1.以下URLの「Linux デバイスへの DART の手動インストール」を実施
※このファイルも Ciscoパートナーさんなどからもらえると思います
念のため2014年1月にAnyConnectの最新版が出てるかも確認してみてください
2.問題の動作を実施
3.上記URLの「Linux または Mac OS X での DART の実行」を実行し、DARTバンドル(中にエラーの詳細が詰まってます)を取得
4.投稿時に 投稿画面右上の「Use Advanced Editor」をクリックして、画面下の「ファイルを選択」から添付してみてください
あと、上記のDARTの他に、簡単なLinux環境のOSとバージョン、実施したインストール方法も教えて貰えたら、僕の方でも確認してみようと思います
無事繋がる事を祈ってます
2014-01-23 03:19 PM
こんにちは、
色々、ありがとうございます。
DARTを実行しました。
取得した内容は、添付されているものです。
【テスト環境】
OS:ubuntu 12.04
バージョン 3.1.03103、3.1.04072
LAN:無線
ネットワーク:iphoneのテザリング(インターネット接続は問題ないです)
【接続時のエラーメッセージ】
The IPsec VPN connection was terminated due to an authentication failure or timeout. Please contact your network administrator.
よろしくお願いいたします。
2014-01-23 07:51 PM
こんばんわ!
早速有難うございます! 貰ったログから、AnyConnectが利用する証明書を、
Ubuntu側で正しく処理できてないっぽいです。たぶんこの子が原因です
Jan 23 14:47:13 leaf004 acvpnui[2587]: Server certificate validation failed with the following errors: #011Certificate is from an untrusted source.
英語ですが、以下URLを試してみてください。
https://plus.google.com/+AndreasKotowicz/posts/2afhvvNZpE6
上記でダメでしたら、以下も
あ、あとごめんなさい! DARTは大事な情報が詰まってるので、念のため
この掲示板から"編集"→"DARTBundle_0123_1449.zip"を削除して下さい~
(でも、添付頂いて有難うございます)
無事つながる事を祈ってます!
2014-01-24 10:30 AM
おはようございます!
ありがとうございます。
私の方も、以下のようなサイトを見つけました。
https://faq.oit.gatech.edu/content/how-do-i-install-cisco-anyconnect-client-linux
https://www.ucl.ac.uk/isd/staff/network/vpn/help/index/edit/linux_help
この対応を行ってみています。
2014-02-19 08:26 PM
こんばんわ!
接続できました!(一時的 ・・・)
原因・対応:
1)ASAにLinuxの32bit版のVPNのパッケージを登録がされていませんでした。
ASAにanyconnect-linux-3.1.xxxxx-k9.pkgを登録する。
2)クライアント側で、初めてインストールする場合は、以下の作業が必要。
cp -p /etc/ssl/certs/* /opt/.cisco/certificates/ca
3)クライアント側で、アンインストールを行い再インストールする場合は、以下の作業が必要。
find / -name libnss3.so
find / -name libplc4.so
find / -name libnspr4.so
find / -name libsmime3.so
find / -name libsoftokn3.so
cd /usr/local/firefox
※ない場合は、mkdirを行う。
ln -s /usr/xxxx/libnss3.so
ln -s /usr/xxxx/libplc4.so
ln -s /usr/xxxx/libnspr4.so
ln -s /usr/xxxx/libsmime3.so
ln -s /usr/xxxx/libsoftokn3.so
※xxxxをfindされたディレクトリ
現在は以下の状況:
再々インストールを行うと2)、3)の設定をしても接続ができない。
悩みます。
2014-02-19 08:55 PM
追記
再々インストール後の接続については、
security warning untrusted vpn server certificate の画面で、Always connectを選ぶと接続できない。
connect anywayで接続可能となります。
最後に
この原因は、初歩のミスでした。
ASAにlinux 32bit版の登録漏れが一番の原因。
まさか、linuxの32bit版が登録されていなかったなんて・・・・。
(言い訳がましいので心苦しいですが、作業者が別人でそれを引き継いでの作業なので
回答に至ることがなかなかできずお恥ずかしい限りです。)
2014-02-19 08:59 PM
もう一つ
clientで試したリビジョンについて:
3.1-03103
3.1-05152
ASAに登録したpkgのリビジョンについて:
3.1-05152
どちらの動作を確認しました。<(_ _)>
2014-02-19 09:26 PM
こんばんわ!
おお、おめでとうございます! ホッとしました。
繋がってしまえば、もう安心ですね。本当におめでとうございます!
また詳しい調査結果有難うございます。
私も同様のエラーが出た場合は、参考にさせて頂きたいと思います
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします