はじめに

このドキュメントでは AnyConnect 4.9.x へアップグレードした際に、AnyConnect IKEv2 が接続できなくなった事例について紹介いたします。
本ドキュメントは以下のバージョンを用いて確認、作成しております。

ASA 9.12(3)12
AnyConnect 4.9.00518 for Apple iOS
AnyConnect 4.9.00086 for Windows

事象

AnyConnect 4.9.x へアップグレードした際に、以下のエラーが発生し、AnyConnect IKEv2 が接続できなくなりました。

The cryptographic algorithms required by the secure gateway do not match those supported by AnyConnect.Please contact your network administrator.

また、日本語表記でのエラーメッセージは以下となります。

セキュアゲートウェイから要求されている暗号化アルゴリズムが AnyConnect でサポートされているアルゴリズムと一致しません。システム管理者にお問合せください。

発生原因

AnyConnect 4.9.x 以降は、以下のアルゴリズムがサポートしなくなりました。

For IKEv2/IPsec, AnyConnect no longer supports the following algorithms:
　Encryption algorithms: DES and 3DES
　Pseudo Random Function (PRF) algorithm: MD5
　Integrity algorithm: MD5
　Diffie-Hellman (DH) groups: 2, 5, 14, 24

crypto ikev2 policy の配下にてサポートしていない Diffie-Hellman (DH) group が設定されていることにより、本事象が発生した事例は数件確認されています。

設定例：

crypto ikev2 policy 1
encryption aes-256
integrity sha
group 2 -->AnyConnect 4.9.x 以降ではサポートしません。
prf sha
lifetime seconds 86400

解決策

AnyConnect 4.9.x 以降のバージョンを利用する場合、上に記載しておりますサポートしていないアルゴリズム以外へ変更します。

備考

本ドキュメントでは主に AnyConnect IKEv2 について説明していますが、AnyConnect SSL VPN の場合、AnyConnect 4.9.x 以降は以下の cipher suites がサポートしなくなりましたので、併せて紹介いたします。

For SSL VPN, AnyConnect no longer supports the following cipher suites from both TLS and DTLS: DHE-RSA-AES256-SHA and DES-CBC3-SHA

参考情報

・AnyConnect 4.9.00086 New Features
・New Features in AnyConnect 4.9.00518 for Apple iOS Mobile Devices