Erkennung und Problembehebung mit AnyConnect Captive Portal

Download-Optionen

  • PDF     (361.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (198.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (132.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:7. November 2024
Dokument-ID:118086

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Captive Portal Detection-Funktion des Cisco AnyConnect Mobility Client und die Voraussetzungen für eine korrekte Funktion beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie mit dem Cisco AnyConnect Secure Mobility Client vertraut sind.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • AnyConnect Version 4.7
    • Cisco Adaptive Security Appliance (ASA) Version 9.10

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Viele Wireless-Hotspots in Hotels, Restaurants, Flughäfen und anderen öffentlichen Orten nutzen Captive Portale, um den Zugriff auf das Internet zu blockieren. Sie leiten HTTP-Anfragen an ihre eigenen Websites weiter, auf denen die Benutzer ihre Anmeldeinformationen eingeben oder die Bedingungen des Hotspots bestätigen müssen. 

    Überblick

    Viele Einrichtungen, die Wi-Fi- und kabelgebundenen Zugang bieten, wie Flughäfen, Cafés und Hotels, verlangen von den Benutzern, dass sie bezahlen, bevor sie Zugang erhalten, oder eine Richtlinie zur akzeptablen Nutzung oder beides einhalten. Diese Einrichtungen verwenden eine Technik namens Captive Portal, um den Zugriff von Anwendungen zu verhindern, bis Benutzer einen Browser öffnen und die Bedingungen für den Zugriff akzeptieren.

    Captive Portal-Sanierungsanforderungen

    Für die Erkennung und Beseitigung von Captive Portals ist eine der folgenden Lizenzen erforderlich:

    • AnyConnect Premium (Secure Sockets Layer (SSL) VPN Edition)
    • Cisco AnyConnect Secure Mobility

    Sie können eine Cisco AnyConnect Secure Mobility-Lizenz verwenden, um die Erkennung und Beseitigung von Captive Portals in Kombination mit einer AnyConnect Essentials- oder einer AnyConnect Premium-Lizenz zu unterstützen.

    Hinweis: Die Erkennung und Beseitigung von Captive Portal wird auf den Betriebssystemen Microsoft Windows und Macintosh OS X unterstützt, die von der aktuellen Version von AnyConnect unterstützt werden.

    Hinweis: Always-ON-VPN unterstützt keine Verbindung über einen Proxy.

    Erkennung von Captive Portal-Hotspots

    AnyConnect zeigt die Fehlermeldung "Verbindung zum VPN-Server kann nicht hergestellt werden" auf der GUI an, wenn unabhängig von der Ursache keine Verbindung hergestellt werden kann. Der VPN-Server bestimmt das sichere Gateway. Wenn Always-on aktiviert ist und kein Captive Portal vorhanden ist, versucht der Client weiterhin, eine Verbindung zum VPN herzustellen, und aktualisiert die Statusmeldung entsprechend.

    Wenn das stets verfügbare VPN aktiviert ist, die Richtlinie für Verbindungsausfälle geschlossen ist, die Wiederherstellung des Captive Portals deaktiviert ist und AnyConnect das Vorhandensein eines Captive Portals erkennt, zeigt die AnyConnect-GUI diese Meldung einmal pro Verbindung und einmal pro erneuter Verbindung an:

    The service provider in your current location is restricting access to the internet. 
    The AnyConnect protection settings must be lowered for you to log on with the service 
    provider. Your current enterprise security policy does not allow this.

    Wenn AnyConnect das Vorhandensein eines Captive Portals erkennt und sich die AnyConnect-Konfiguration von der zuvor beschriebenen unterscheidet, zeigt die AnyConnect-GUI diese Meldung einmal pro Verbindung und einmal pro erneuter Verbindung an:

    The service provider in your current location is restricting access to the internet. 
    You need to log on with the service provider before you can establish a VPN session. 
    You can try this by visiting any website with your browser.

    Achtung: Die Erkennung des Captive Portals ist standardmäßig aktiviert und kann nicht konfiguriert werden. Während der Captive Portal-Erkennung ändert AnyConnect keine Browserkonfigurationseinstellungen.

    Captive Portal Hotspot-Bereinigung

    Die Wiederherstellung des Captive Portals ist der Prozess, bei dem Sie die Anforderungen eines Captive Portal Hotspots erfüllen, um Netzwerkzugriff zu erhalten.

    AnyConnect behebt das Captive Portal nicht; die Lösung wird vom Endbenutzer bereitgestellt.

    Um die Captive Portal-Sanierung durchzuführen, erfüllt der Endbenutzer die Anforderungen des Hotspot-Anbieters. Diese Anforderungen können die Zahlung einer Gebühr für den Zugriff auf das Netzwerk, eine Signatur für eine Richtlinie zur akzeptablen Nutzung oder eine andere vom Anbieter festgelegte Anforderung umfassen.

    Die Behebung des Captive Portals muss in einem AnyConnect VPN Client-Profil explizit zulässig sein, wenn AnyConnect Always-on aktiviert ist und die Connect-Ausfallrichtlinie auf "Closed" festgelegt ist. Wenn Always-on aktiviert ist und die Connect Failure-Richtlinie auf Open festgelegt ist, müssen Sie die Captive Portal-Wiederherstellung in einem AnyConnect VPN Client-Profil nicht explizit zulassen, da der Benutzer nicht vom Netzwerkzugriff ausgeschlossen ist.

    Erkennung falscher Captive Portals

    AnyConnect kann in folgenden Situationen fälschlicherweise davon ausgehen, dass es sich in einem Captive Portal befindet:

    • Wenn AnyConnect versucht, eine ASA mit einem Zertifikat zu kontaktieren, das einen falschen Servernamen (CN) enthält, behandelt der AnyConnect-Client die ASA als Captive Portal-Umgebung.

      Um dieses Problem zu vermeiden, stellen Sie sicher, dass das ASA-Zertifikat ordnungsgemäß konfiguriert ist. Der CN-Wert im Zertifikat muss mit dem Namen des ASA-Servers im VPN-Clientprofil übereinstimmen.

    • Wenn sich vor der ASA ein anderes Gerät im Netzwerk befindet, das reagiert, wenn der Benutzer versucht, eine ASA durch die Blockierung des HTTPS-Zugriffs auf die ASA zu kontaktieren, behandelt der AnyConnect-Client die ASA als Captive Portal-Umgebung. Diese Situation kann auftreten, wenn sich ein Benutzer in einem internen Netzwerk befindet und sich über eine Firewall mit der ASA verbindet.

      Wenn Sie den Zugriff auf die ASA vom Unternehmen aus einschränken müssen, konfigurieren Sie Ihre Firewall so, dass der HTTP- und HTTPS-Verkehr an die ASA-Adresse keinen HTTP-Status zurückgibt. Der HTTP-/HTTPS-Zugriff auf die ASA wird entweder zugelassen oder vollständig blockiert (auch als Blackholed bezeichnet), um sicherzustellen, dass die an die ASA gesendeten HTTP-/HTTPS-Anfragen keine unerwartete Antwort zurückgeben.

    AnyConnect-Verhalten

    In diesem Abschnitt wird das Verhalten von AnyConnect beschrieben.

    1. AnyConnect versucht, eine HTTPS-Anfrage an den FQDN (Fully Qualified Domain Name) zu senden, der im XML-Profil definiert ist.

    2. Tritt ein Zertifikatfehler auf (nicht vertrauenswürdiger/falscher FQDN), versucht AnyConnect eine HTTP-Anfrage an den im XML-Profil definierten FQDN. Wenn es eine andere Antwort als HTTP 302 gibt, funktioniert es so, als befinde es sich hinter einem Captive Portal.

    Captive Portal falsch erkannt mit IKEv2

    Wenn Sie eine IKEv2-Verbindung (Internet Key Exchange Version 2) mit einer ASA mit deaktivierter SSL-Authentifizierung herstellen, die das ASDM-Portal (Adaptive Security Device Manager) auf Port 443 ausführt, führt die für die Erkennung des Captive Portals durchgeführte HTTPS-Überprüfung zu einer Umleitung zum ASDM-Portal (/admin/public/index.html). Da dies vom Client nicht erwartet wird, wird es als Captive Portal Redirect angezeigt, und der Verbindungsversuch wird verhindert, da es den Anschein hat, dass eine Captive Portal-Sanierung erforderlich ist.

    Problemumgehungen

    Wenn dieses Problem auftritt, gibt es einige mögliche Problemumgehungen:

    • Entfernen Sie die HTTP-Befehle für diese Schnittstelle, damit die ASA die HTTP-Verbindungen an dieser Schnittstelle nicht abhört.

    • Entfernen Sie den SSL-Vertrauenspunkt der Schnittstelle.

    • Aktivieren Sie IKEV2-Client-Services.

    • Aktivieren Sie WebVPN auf der Schnittstelle.

    Vorsicht: Das gleiche Problem tritt auch bei Cisco IOS®-Routern auf. Wenn der IP-HTTP-Server auf Cisco IOS aktiviert ist, was erforderlich ist, wenn dasselbe Gerät wie der PKI-Server verwendet wird, erkennt AnyConnect fälschlicherweise das Captive Portal. Die Problemumgehung besteht darin, die ip http-Zugriffsklasse zu verwenden, um Antworten auf HTTP-AnyConnect-Anforderungen zu stoppen, anstatt eine Authentifizierungsanforderung zu verwenden.

    Deaktivieren der Captive Portal-Funktion

    Es ist möglich, die Captive Portal-Funktion in AnyConnect Client Version 4.2.00096 und höher zu deaktivieren. Der Administrator kann festlegen, ob die Option vom Benutzer konfiguriert oder deaktiviert werden kann. Diese Option steht im Profil-Editor im Abschnitt "Voreinstellungen" (Teil 1) zur Verfügung. Der Administrator kann Captive Portal Detection deaktivieren oder User Controllable auswählen, wie in diesem Profil-Editor-Screenshot gezeigt:

    Disable Captive Portal 2

    Wenn "Benutzergesteuert" aktiviert ist, wird das Kontrollkästchen auf der Registerkarte "Voreinstellungen" der Benutzeroberfläche des AnyConnect Secure Mobility Client wie folgt angezeigt:

    Captive Portal Disable 3

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    07-Nov-2024
    Formatierung aktualisiert.
    2.0
    03-Nov-2023
    Aktualisierte Einführung, Stilanforderungen und Formatierung.
    1.0
    13-Aug-2014
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Gustavo Medina
      Technical Solutions Architect

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.