annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
11172
Visites
5
Compliment
77
Réponses

Demandez-moi N'importe Quoi - Sécurité : Travailleurs à distance sécurisés

 
Banner_fr_lp_900x150_AMA_Security_20mar_03apr_2020.png

 

Nos experts
divyanai.jpgDivya Nair est Ingénieur Technique Marketing au Security Business Group à Raleigh, en Caroline du Nord. Elle possède plus de 10 ans d'expérience dans les technologies de sécurité réseau Cisco, notamment les pare-feu (firewall), IPS, VPN et AAA; et se concentre actuellement sur les platesformes de gestion de VPN et de pare-feu. Divya est titulaire d'un Bachelier en Sciences Informatiques et de l'Ingénierie.

adganjoo.jpgAditya Ganjoo est Ingénieur Technique Marketing à Bangalore, en Inde. Il travaille avec Cisco depuis sept ans dans des domaines de sécurité tels que le pare-feu, le VPN et l'AAA. Aditya a dispensé des formations sur les technologies ASA et VPN. Il détient un baccalauréat en Technologie de l'Information. De plus, il est CCIE en Sécurité (CCIE # 58938). Il a été un contributeur constant dans la Communauté Cisco et a conduit plusieurs sessions au Cisco Live.

jonnoble.jpgJonny Noble dirige l'équipe Technique Marketing pour Cloud Security chez Cisco, avec une expertise dans Cisco Umbrella et les technologies environnantes. Depuis plus de 20 ans, Jonny a acquis une expérience dans les disciplines orientées aux clients pour diverses organisations mondiales hi-tech. Il possède également une riche expérience dans la présentation de sessions et de laboratoires de surveillance lors d'événements Cisco Live, ainsi que dans nombreux événements, salons et expositions pour les clients et partenaires. Jonny détient des diplômes en Électronique, Sociologie, un MBA en Affaires et est certifié CISSP.

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : VPN, ASA, Firepower, FTD, AnyConnect, Duo, Umbrella, WFO, licenses et meilleures pratiques.

Posez vos questions du 20 mars au 3 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

77 RÉPONSES 77

bonjour 

J'ai eu don d'un telepresence Dual et je souhaiterai l'utiliser mais je n'ai pas de nom d'utilisateur ni mot de passe .

Pouvez vous m'aider?

j'ai une adresse IP non enregistrer

Salut,

Cela ressemble à une question pour l'équipe de collaboration 

Cet événement "Demandez-moi" (Ask Me Anything AMA) est dédié à l'accès à distance VPN (Remote Access), mais la communauté devrait pouvoir aider dans les liens ci-dessus.

Cisco ASA 5508-X ne peut pas avoir plus de 5 sessions à un moment donné.

Nous avons acheté des licences pour 100 utilisateurs, j'ai joint nos configurations en cours d'exécution dans les fichiers, si quelqu'un est en mesure de nous aider pour nous orienter dans la bonne direction, nous l'apprécierions grandement.
Nous avons augmenté notre bande passante allouée de 300 Mbps à 1 Go dans le but de permettre un plus grand nombre d'utilisateurs, mais nous ne pouvons toujours pas en obtenir que 5 à un moment donné.

Résultat de la commande : "show vpn-sessiondb summary"
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 5 Total Cumulative : 1434
Device Total VPN Capacity : 100
Device Load : 5%
---------------------------------------------------------------------------
Résultat de la commande : "show vpn-sessiondb detail"
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 5 Total Cumulative : 1434
Device Total VPN Capacity : 100
Device Load : 5%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concurrent
----------------------------------------------
IKEv2 : 2 : 1093 : 2
IPsecOverNatT : 2 : 1094 : 2
Clientless : 0 : 20 : 3
AnyConnect-Parent : 3 : 321 : 7
SSL-Tunnel : 2 : 325 : 6
DTLS-Tunnel : 2 : 309 : 6
---------------------------------------------------------------------------
Totals : 11 : 3162
---------------------------------------------------------------------------

 

* Voici la traduction d'un message créé à l'origine par Riverbears ITTeam en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pouvez-vous confirmer l'utilisation de la sortie de show vpn-session license-summary si vous voyez 100 comme limite installée ?

Un exemple de la sortie sur ASA 5506 est comme ci-dessous (voir ligne rouge) :

ASA5506-X(config)# sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 50 : 50 : NONE
AnyConnect Essentials : DISABLED : 50 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 10 : 10 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

Voyez-vous des Syslog lorsque la 6ème connexion est établie ? Vous devrez peut-être augmenter temporairement la journalisation pour le débogage à cette fin. J'ai passé en revue votre configuration et il n'y avait rien de mauvais qui ressortissait.

Confirmant notre sortie ci-dessous.

Nous montrons que 100 est la limite installée
Résultat de la commande : "show vpn-session license-summary"

---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------

Résultat de la commande : "show vpn-session license-summary"

---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------

 * Voici la traduction d'un message créé à l'origine par Riverbears ITTeam en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Veuillez nous partager la sortie de show run vpn-sessiondb. Pourriez-vous également partager les logs lorsque vous voyez ce problème?

Cordialement,
Aditya

Bonjour,

Voici le output que vous avez demandé :

TBROG-FW-01# show run vpn-sessiondb
vpn-sessiondb max-other-vpn-limit 100
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 100
TBROG-FW-01#

Pouvez-vous indiquer les logs que vous souhaitez voir? J'ai ci-dessous ma dernière tentative réussie de l'IP externe 71.195.58.236. toute autre tentative après notre 6ème connexion, je ne vois plus aucun logs généré.

6|Mar 25 2020|08:10:05|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> UDP SVC connection established without compression
5|Mar 25 2020|08:10:05|722033|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> First UDP SVC connection established for SVC session.
6|Mar 25 2020|08:10:05|725002|71.195.58.236|59949|||Device completed SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLSv0.9 session
6|Mar 25 2020|08:10:05|725003|71.195.58.236|59949|||SSL client Outside:71.195.58.236/59949 to 50.234.2.58/443 request to resume previous session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
4|Mar 25 2020|08:10:01|722051|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> IPv4 Address <192.168.99.150> IPv6 address <::> assigned to session
6|Mar 25 2020|08:10:01|722055|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> Client Type: Cisco AnyConnect VPN Agent for Windows 4.2.03013
6|Mar 25 2020|08:10:01|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> TCP SVC connection established without compression

 * Voici la traduction d'un message créé à l'origine par Riverbears ITTeam en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pouvez-vous nous envoyer les informations suivantes lorsque vous essayez de connecter le 6e client :

debug webvpn 255
debug webvpn anyconnect 255
DART bundle after the failed 6th connection

Je crois que cela dépasse mes compétences ou je ne sais pas comment générer et accéder à ces logs.

Existe-t-il un guide que je pourrais suivre pour obtenir ces log output ?

* Voici la traduction d'un message créé à l'origine par Riverbears ITTeam en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut,

Pour les débogages, vous devrez vous connecter à l'ASA CLI et activer les commandes suivantes juste avant de tenter la 6e connexion:

ASA5506-X# debug webvpn anyconnect 255
ASA5506-X# debug webvpn 255

DART est essentiellement un module de diagnostic qui peut être utilisé pour rassembler les "logs into" côté client dans un seul emplacement. Le lien suivant parcourt chacune des étapes pour le configurer

Cependant, si cela est plus facile pour vous, il serait peut-être préférable d'ouvrir un dossier TAC afin que l'ingénieur puisse lancer une session à distance pour vous dépanner.

C'est étrange.

Pourriez-vous augmenter le niveau de logging pour déboguer, puis tester la 6ème connexion?

Avez-vous également testé différents noms d'utilisateur?

J'aurais demandé d'autres débogages comme debug webvpn anyconnect 255, puis le tester, mais je ne suis pas sûr de l'utilisation des ressources sur le pare-feu.

Cordialement,
Aditya

Bonjour,

J'utilise AnyConnect 4.3.05017 (Windows 7) pour me connecter à un réseau d'entreprise en ce moment (COVID-19 ...) et je suis affecté par un problème connu pour lequel il n'y a apparemment pas de solution:

Pendant qu'AnyConnect est actif, il n'est pas possible d'installer d'autres routes dans la table de routage. Cependant, dans le cadre de mon travail, j'ai besoin d'accéder à une machine virtuelle VirtualBox accessible via des adaptateurs de réseau virtuels. Chaque fois que je démarre la machine virtuelle, AnyConnect supprime l'entrée de la table de routage. Ce sont les entrées de données d'événement:

A routing table change notification has been received. Starting automatic correction of the routing table.
(Une notification de modification de table de routage a été reçue. Démarrage de la correction automatique de la table de routage)

Routing table - fixed - deleted route
Destination Netmask Gateway IfAddr IfName IfIndex LL Metric
192.168.66.0 255.255.255.0 0.0.0.0 192.168.66.1 VirtualBox Host-Only Network 16 Y 1

Automatic correction of the routing table has been successful.
(La correction automatique de la table de routage a réussi)

Je comprends que garder le contrôle de la table de routage est une fonction de sécurité, mais dans ce cas (et plusieurs autres signalés sur Internet), il est impossible pour moi de faire mon travail assigné.

Alors, que peut-on faire ? Existe-t-il une option de configuration côté client ou serveur qui puisse être utilisée pour résoudre ce problème ?

* Voici la traduction d'un message créé à l'origine par HansMartinMosner74305 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Avez-vous essayé d'utiliser le tunnel d'exclusion divisé? (Split-Exclude Tunneling) Avec cette méthode, vous dites à l'appareil de spécifier le trafic que vous n'allez pas envoyer à travers le tunnel.

Cordialement,
Aditya

Merci, cela sera probablement utile!

Apparemment, l'accès au LAN local est désactivé dans l'ASA, donc je ne peux pas l'activer dans le client (car je suis juste un développeur, pas un administrateur réseau). Mais je peux demander aux administrateurs d'activer cette fonctionnalité selon les informations sur :

cela se traduira très probablement par une configuration fonctionnelle.

 

* Voici la traduction d'un message créé à l'origine par HansMartinMosner74305 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bien sûr, tenez-nous au courant.