请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 517|回复: 10

anyconnect vpn配置后,无法连接。debug信息没有任何输出

[复制链接]
发表于 2020-3-24 15:02:31 | 显示全部楼层 |阅读模式
36可用金钱
问题现象:今天配置一台ASA9.x的anyconnect vpn,基本是直接拷贝的另外一台ASA的配置,但是这台anyconnect完全无法连接。客户端直接提示连接失败。

自己尝试排查:
1、反复检查配置,没有发现有啥不对的。
2、尝试ping ASA的outside地址,是通的。再尝试telnet X.X.X.226:9876也是可以的(X.X.X.226是outside公网地址,webvpn的port设置为9876),说明应该是ip和端口应该是通的。
3、debug webvpn anyconnect 255 没有任何信息打印

4、直接在火狐浏览器输入网址:https://X.X.X.226:9876  (其中X.X.X.226是outside公网地址,webvpn的port设置为9876),也无法访问。提示如下



自此就没有排查思路了,头都大了。请大神帮忙指导一下,下一步如何排查呢?

--------------------------------如下是配置,基本是完全按照论坛@arvinjing的配置来做的----------------------------------------------------------------------
1.     配置自签名证书
ciscoasa(config)#crypto key generate rsa label anyconnect_keypair modulus 1024
ciscoasa(config)#crypto ca trustpoint self_certificate
ciscoasa(config-ca-trustpoint)#enrollment self
ciscoasa(config-ca-trustpoint)#keypair anyconnect_keypair
ciscoasa(config-ca-trustpoint)#fqdn anyconnect.cisco.com
ciscoasa(config-ca-trustpoint)#subject-name CN=anyconnect.cisco.com
ciscoasa(config-ca-trustpoint)#crypto ca enroll self_certificate noconfirm
ciscoasa(config)#ssl trust-point self_certificate outside

2.     加载anyconnect vpn 镜像,端口改为9876
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)# anyconnect image flash:/anyconnect-win-4.0.00061-k9.pkg 1
ciscoasa(config-webvpn)#port 9876
ciscoasa(config-webvpn)#anyconnect enable
ciscoasa(config-webvpn)#enable outside

3.     配置地址池
ciscoasa(config)#ip local pool anyconnect_clients 10.10.13.1-10.10.13.254 mask 255.255.255.0

4 .配置隧道分割列表及访问控制列表旁路
ciscoasa(config)#access-list tunnel_split extended permit ip 192.168.13.0 255.255.255.0 any    // (192.168.13.x为内网ip地址)
   ciscoasa(config)#sysopt connection permit-vpn

5.  NAT豁免
object network inside ##内网网段
subnet 192.168.13.0 255.255.255.0
object network anyconnect  ##VPN地址池网段
subnet 10.10.13.0 255.255.255.0
access-list tunnel_split extended permit ip object inside any
nat (inside,outside) source static any any destination static anyconnect anyconnect no-proxy-arp route-lookup       //NAT豁免
nat (inside,outside) source static anyconnect anyconnect destination static inside inside no-proxy-arp route-lookup
nat (inside,outside) after-auto source dynamic inside interface

6.  配置Group-policy调用地址池和隧道分割列表
ciscoasa(config)#group-policy anyconnect_policy internal
ciscoasa(config)#group-policy anyconnect_policy attributes
ciscoasa(config-group-policy)#address-pools value anyconnect_clients
ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)#split-tunnel-network-list value tunnel_split


7. 配置Tunnel-group
ciscoasa(config)#tunnel-group anyconnect-profile type remote-access
ciscoasa(config)#tunnel-group anyconnect-profile general-attributes
ciscoasa(config-tunnel-general)#default-group-policy anyconnect_policy
ciscoasa(config-tunnel-general)#exit
ciscoasa(config)#tunnel-group anyconnect-profile webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias anyconnect
ciscoasa(config-tunnel-webvpn)#exit

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

8. 使用本地用户名及密码并调用Group-policy

ciscoasa(config)# username cisco pass cisco
ciscoasa(config)#username cisco attributes
ciscoasa(config-username)#vpn-group-policy anyconnect_policy
ciscoasa(config-username)#service-type remote-access





  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-3-24 16:32:07 | 显示全部楼层
你好!anyconnect-win-pkg 文件可以分享一下给我吗 谢谢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 16:37:31 | 显示全部楼层
huangqingbing 发表于 2020-3-24 16:32
你好!anyconnect-win-pkg 文件可以分享一下给我吗 谢谢

发你的邮箱了。win和macos的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-3-24 18:31:01 | 显示全部楼层
ciscoasa(config)#group-policy anyconnect_policy internal
ciscoasa(config)#group-policy anyconnect_policy attributes
ciscoasa(config-group-policy)#address-pools value anyconnect_clients
ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client  这里加一个ssl-clientless 然后先测试web能不能登
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-3-25 09:02:50 | 显示全部楼层
看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-access
tunnel-group ABC general-attributes
address-pool SSLVPN-Pool

6.  配置Group-policy中不需要调用地址池
------------------------------------------------
其它补充命令可以尝试一下:
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1

webvpn下尝试开启 tunnel-group-list

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-25 16:47:57 | 显示全部楼层
terence 发表于 2020-3-24 18:31
ciscoasa(config)#group-policy anyconnect_policy internal
ciscoasa(config)#group-policy anyconnect_p ...

已按您的方式修改,web仍然不能登录。提示还是和主贴里面一样
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-25 16:52:17 | 显示全部楼层
本帖最后由 tylerhu28682 于 2020-3-25 16:53 编辑
YilinChen 发表于 2020-3-25 09:02
看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-acc ...

看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-access
tunnel-group ABC general-attributes
address-pool SSLVPN-Pool
-----已修改
6.  配置Group-policy中不需要调用地址池
-----已修改
------------------------------------------------
其它补充命令可以尝试一下:
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1
-----这台ASA没有3des license,不支持这个命令
webvpn下尝试开启 tunnel-group-list

-----前的配置已经开启

按照您的方式已经修改,故障现象还是一样。


我这台ASA没有license,已经开启了ipsec,但是只有1条ipsec,应该不影响ssl vpn吧?另外1台ASA有license,anyconnect vpn就是正常的。


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-3-26 09:06:52 | 显示全部楼层
tylerhu28682 发表于 2020-3-25 16:52
看了一下配置,在 7. 配置Tunnel-group 里没有指定 地址池
参考配置:
tunnel-group ABC type remote-a ...

不支持3DES可以在官网上免费申请
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 7 天前 | 显示全部楼层
私信给你个设备配置,参考下
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 7 天前 | 显示全部楼层
webvpn
port 50000
enable Internet tls-only
no anyconnect-essentials
hostscan image disk0:/hostscan_4.3.05033-k9.pkg
hostscan enable
anyconnect image disk0:/anyconnect-win-4.5.00058-webdeploy-k9.pkg 1
anyconnect image disk0:/anyconnect-macos-4.5.00058-webdeploy-k9.pkg 2
anyconnect enable
cache
  disable
error-recovery disable
group-policy DfltGrpPolicy attributes
vpn-session-timeout 7200
vpn-tunnel-protocol l2tp-ipsec  
group-policy GroupPolicy2 internal
group-policy GroupPolicy2 attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec  
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-tunnel-protocol ikev1 ikev2  
webvpn
  filter none
group-policy SHZT-GP internal
group-policy SHZT-GP attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec  
group-policy LCZQ-ZB internal
group-policy LCZQ-ZB attributes
vpn-filter value vpn-filter
vpn-tunnel-protocol ssl-client ssl-clientless
group-lock value LCZQ-ZB
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
group-policy OUT internal
group-policy OUT attributes
vpn-filter value vpn-filter
vpn-tunnel-protocol ssl-client ssl-clientless
group-lock value OUT
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
webvpn
  anyconnect mtu 1300
  anyconnect profiles none
  anyconnect ssl df-bit-ignore enable
group-policy LCZQ-FZJG internal
group-policy LCZQ-FZJG attributes
vpn-filter value vpn-filter
vpn-tunnel-protocol ssl-client ssl-clientless
group-lock value LCZQ-FZJG
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-4-7 16:11 , Processed in 0.123417 second(s), 53 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表