em 03-23-2020 08:40 AM - última edição em 03-23-2020 04:46 PM por Hilda Arteaga
Aqui está sua chance de discutir as tecnologias de seguranca remota da Cisco, como AnyConnect, ASA, FTD, Duo e Umbrella. Nesta sessão, os especialistas responderão á perguntas sobre licenças de emergência, design, configuração e solução de problemas. Nossos especialistas abrangem mais de 12 fusos horários. Além disso, traduziremos a sessão em vários idiomas para fornecer a melhor experiência possível.
Este fórum funciona bem como uma introdução para aqueles que não estão familiarizados com essas soluções de segurança e/ou começaram a usá-las recentemente.
Faça suas perguntas a partir de 20 de março até sexta-feira 03 de abril de 2020.
** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas
em 03-25-2020 10:25 AM
O Cisco ASA 5508-X não pode ter mais de 5 sessões a qualquer momento.
Compramos o licenciamento para 100 usuários, anexamos nossas running configs nos arquivos; se alguém puder nos ajudar no caminho certo, agradeceríamos muito.
Aumentamos nossa bandwidth de 300 Mbps para 1 GB, em um esforço para permitir a entrada de mais usuários, mas mesmo assim, só podemos obter 5 a qualquer momento.
Resultado do comando: "show vpn-sessiondb summary"
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 5 Total Cumulative : 1434
Device Total VPN Capacity : 100
Device Load : 5%
---------------------------------------------------------------------------
Resultado do comando: "show vpn-sessiondb detail"
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total ativo e inativo : 5 Total Cumulativo 1434
Capacidade total de VPN do dispositivo: 100
Carga do disposi : 5%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Ativo: Cumulativo: Pico simultâneo
----------------------------------------------
IKEv2 : 2 : 1093 : 2
IPsecOverNatT : 2 : 1094 : 2
Clientless : 0 : 20 : 3
AnyConnect-Parent : 3 : 321 : 7
SSL-Tunnel : 2 : 325 : 6
DTLS-Tunnel : 2 : 309 : 6
---------------------------------------------------------------------------
Total : 11 : 3162
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 10:27 AM
Você pode confirmar usando a output do show vpn-session license-summary se ve 100 como o limite instalado?
Um exemplo da saída no ASA 5506 é como abaixo (veja a linha vermelha):
ASA5506-X(config)# sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 50 : 50 : NONE
AnyConnect Essentials : DISABLED : 50 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 10 : 10 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
Você está vendo algum Syslogs quando a sexta conexão entra? Pode ser necessário aumentar temporariamente o registro para a depuração para esse fim. Revisei sua configuração e não havia nada de errado que se destacasse.
em 03-25-2020 10:34 AM
Confirmando nosso output abaixo.
Nos mostra que 100 é o limite instalado
Resultado do commando: "show vpn-session license-summary"
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------
Result of the command: "show vpn-session license-summary"
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 10:37 AM
Pode, por favor, compartilhar o output do show run vpn-sessiondb e também pode compartilhar os seus share logs quando você vê este problema?
Atenciosamente,
Aditya
em 03-25-2020 10:45 AM
Olá,
Aqui está o output que me pediu:
TBROG-FW-01# show run vpn-sessiondb
vpn-sessiondb max-other-vpn-limit 100
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 100
TBROG-FW-01#
Você pode aconselhar quais logs você deseja ver? Tenho abaixo minha última tentativa bem-sucedida do ip externo 71.195.58.236. quaisquer outras tentativas após nossa sexta conexão, não consigo mais ver nenhum registro gerado.
6|Mar 25 2020|08:10:05|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> UDP SVC connection established without compression
5|Mar 25 2020|08:10:05|722033|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> First UDP SVC connection established for SVC session.
6|Mar 25 2020|08:10:05|725002|71.195.58.236|59949|||Device completed SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLSv0.9 session
6|Mar 25 2020|08:10:05|725003|71.195.58.236|59949|||SSL client Outside:71.195.58.236/59949 to 50.234.2.58/443 request to resume previous session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
4|Mar 25 2020|08:10:01|722051|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> IPv4 Address <192.168.99.150> IPv6 address <::> assigned to session
6|Mar 25 2020|08:10:01|722055|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> Client Type: Cisco AnyConnect VPN Agent for Windows 4.2.03013
6|Mar 25 2020|08:10:01|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> TCP SVC connection established without compression
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 10:47 AM
Oi,
Você pode nos enviar o seguintes dados ao tentar conectar o 6º cliente:
em 03-25-2020 10:54 AM
Eu acredito que esteja fora do meu escopo de habilidades ou não estou familiarizado com como gerar e acessar esses logs.
Existe um guia que eu poderia seguir para obter esse log output?
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Riverbears ITTeam. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 10:55 AM
Oi,
Para os debugs, você precisará fazer login no ASA CLI e habilitar os seguintes comandos antes de tentar fazer a sexta conexao.
ASA5506-X# debug webvpn anyconnect 255
ASA5506-X# debug webvpn 255
DART é essencialmente um módulo de diagnóstico que pode ser usado para agrupar logs do lado do cliente em um local. O link a seguir percorre as etapas para configurá-lo: https://community.cisco.com/t5/security-documents/how-to-collect-the-dart-bundle-for-anyconnect/ta-p/3156025
No entanto, acredito que seja mais fácil para você, abrir um caso de TAC, uma vez que pode ser melhor para que o engenheiro possa iniciar uma sessão remota para troubleshoot.
em 03-25-2020 11:01 AM
Isso é estranho. Você poderia aumentar o nível de log para depurar e testar a sexta conexão?
Além disso, você testou com nomes de usuário diferentes?
Eu pediria outros debugs como debug webvpn anyconnect 255 e testaria, mas não tenho certeza sobre o uso de recursos no Firewall.
Atenciosamente,
em 03-25-2020 11:17 AM
Olá, estou usando o AnyConnect 4.3.05017 (Windows 7) para conectar a uma rede corporativa no momento (COVID-19) e estou sendo afetado por um problema conhecido para o qual aparentemente não há solução:
Enquanto o AnyConnect está ativo, não é possível instalar outros routes na routing table. No entanto, como parte do meu trabalho, preciso acessar uma máquina virtual do VirtualBox acessível por meio de adaptadores de rede virtual. Sempre que eu inicio a máquina virtual, o AnyConnect remove a entrada do routing table. Estas são as entradas de event data:
Uma notificação de alteração da routing table foi recebida. Iniciando a correção automática do routing table.
Routing table - fixed - deleted route
Destination Netmask Gateway IfAddr IfName IfIndex LL Metric
192.168.66.0 255.255.255.0 0.0.0.0 192.168.66.1 VirtualBox Host-Only Network 16 Y 1
A correção automática da tabela de roteamento foi bem-sucedida.
Entendo que manter o controle do routing table é um recurso de segurança, mas, neste caso (e vários outros relatados na Internet), torna-me impossível fazer o trabalho designado. O que pode ser feito? Existe uma opção de configuração no lado do cliente ou do servidor que possa ser utilizada para corrigir esse mau comportamento?
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por HansMartinMosner74305. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 11:20 AM
Você tentou usar o Split-Exclude Tunneling? Com esse método, você está dizendo ao dispositivo para especificar qual tráfego você não enviará pelo tunnel.
Atenciosamente,
Aditya
em 03-25-2020 11:21 AM
Obrigado, parece que isso vai ajudar!
Aparentemente, o acesso à LAN local está desabilitado no ASA, então não posso habilitá-lo no cliente (como sou apenas um desenvolvedor, não um administrador de rede). Mas posso pedir aos administradores que habilitem essa funcionalidade de acordo com as informações em https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls /70847-local-lan-pix-asa.html, isso provavelmente resultará em uma configuração funcional.
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por HansMartinMosner74305. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 11:22 AM
Claro, mantenha-nos informados.
em 03-25-2020 12:52 PM
Olá
Eu tenho uma doação de um Dual telepresence e gostaria de usá-lo, mas não tenho um nome de usuário ou senha.
Pode me ajudar? Eu tenho um endereço IP não registrado.
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em frances por FranckBourasseau50897. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
em 03-25-2020 03:54 PM
Eu tenho suporte de substituição do Cisco HW 24 horas, a Cisco Tech irá até o local para fazer a substituição durante as políticas de "ficar em casa" do COVID-19 que estão surgindo? Estou preocupado se uma unidade falhar, podemos obter uma substituição.
Obrigado!
Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por JeffFrench3318.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: