Error de conexión de AnyConnect Secure Mobility: "El cliente VPN no pudo configurar el filtrado de IP"

Opciones de descarga

  • PDF     (467.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (304.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (257.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:29 de julio de 2013
ID del documento:116347

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe qué hacer cuando encuentre este mensaje de usuario VPN de Cisco AnyConnect Secure Mobility Client:

The VPN client was unable to setup IP filtering.
A VPN connection will not be established.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa únicamente en los sistemas operativos Windows Vista y Windows 7.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

El servicio Motor de filtrado de base (BFE)

BFE es un servicio que administra el firewall y las directivas de seguridad del protocolo de Internet (IPsec) e implementa el filtrado en modo de usuario. La seguridad del sistema se reduce significativamente si se detiene o deshabilita el servicio BFE. También da como resultado un comportamiento impredecible en la gestión de IPSec y las aplicaciones de firewall.

Estos componentes del sistema dependen del servicio BFE:

  • Módulos de intercambio de claves de Internet (IKE) y protocolo de Internet autenticado (AuthIP) IPsec
  • Conexión compartida a Internet (ICS)
  • Agente de directivas IPsec
  • Enrutamiento y acceso remoto
  • Firewall de Windows

AnyConnect Secure Mobility Client realiza cambios en el routing y el acceso remoto en el equipo host. IKEv2 también depende de los módulos IKE. Esto significa que, si se detiene el servicio BFE, AnyConnect Secure Mobility Client no se puede instalar ni utilizar para establecer una conexión de capa de conexión segura (SSL).

Hay amenazas en circulación activa que desactivan y eliminan el servicio BFE como primer paso en el proceso de infección.

Troyano Win32/Sirefef (ZeroAccess)

El troyano Win32/Sirefef (ZeroAccess) es una familia multicomponente de malware que utiliza sigilo para ocultar su presencia en el ordenador. Esta amenaza proporciona a los atacantes acceso completo a su sistema. Debido a su naturaleza, la carga útil puede variar mucho de una infección a otra, aunque el comportamiento común incluye:

  • Descarga y ejecución de archivos arbitrarios.
  • Contacto de hosts remotos.
  • Inhabilitación de las funciones de seguridad.

No hay síntomas comunes asociados con esta amenaza. Las notificaciones de alerta del software antivirus instalado pueden ser los únicos síntomas.

El troyano Win32/Sirefef (ZeroAccess) intenta detener y eliminar estos servicios relacionados con la seguridad:

  • Servicio Windows Defender (windefense)
  • IP Helper Service (iphlpsvc)
  • Servicio Centro de seguridad de Windows (wscsvc)
  • Servicio Firewall de Windows (mpssvc)
  • Servicio de motor de filtrado básico (BFE)

Precaución: el troyano Win32/Sirefef (ZeroAccess) es una amenaza peligrosa que utiliza técnicas sigilosas avanzadas para dificultar su detección y eliminación. Como consecuencia de la infección con esta amenaza, es posible que deba reparar y volver a configurar algunas características de seguridad de Windows.

Problema

Los escenarios son:

  • El usuario no puede instalar AnyConnect Secure Mobility Client y recibe el mensaje de error "El cliente VPN no pudo configurar el filtrado de IP. No se establecerá una conexión VPN".

  • Al principio, AnyConnect Secure Mobility Client funcionaba bien. Sin embargo, el usuario final ya no puede establecer una conexión y recibe el mensaje de error "Anyconnect was not able to establish a connection to the specified secure gateway. Intente conectarse de nuevo."

Solución

Cuando se ven estos mensajes de error, es importante confirmar si el BFE está realmente inhabilitado/ausente o si el cliente no puede reconocerlo. Para resolver problemas, complete estos pasos:

  1. Acceda al Administrador de control de servicios (SCM) desde el menú Windows:

  2. Busque el servicio BFE para confirmar su presencia o ausencia.

Si el servicio funciona, el estado se muestra como Iniciado. Si hay algo más en esa columna, hay un problema con el servicio. Sin embargo, si el estado se muestra como iniciado, es evidente que el cliente no puede comunicarse con el servicio y es posible que haya un error de funcionamiento.

Si el servicio está deshabilitado o no se ha iniciado, algunos motivos posibles son:

  • Como se ha explicado anteriormente, el malware desactiva este servicio como primer paso.
  • Daños en el registro de la máquina.

Procedimiento de reparación

El primer paso es analizar y desinfectar el sistema con un software antivirus. No debe restaurar el servicio BFE si el troyano Win32/Sirefef (ZeroAccess) lo eliminará de nuevo. Descargue la herramienta ESET SirefefCleaner desde esta página web y guárdela en su escritorio.

Este vídeo explica el procedimiento para eliminar el troyano Win32/Sirefef (ZeroAccess):.

¿Cómo elimino el troyano Win32/Sirefef (ZeroAccess)?

Una vez que haya eliminado el troyano Win32/Sirefef (ZeroAccess), compruebe que el servicio BFE se puede iniciar y mantener activo por medios normales. A tal efecto:

  1. Inicie SCM y elija la ficha Extended en lugar de Standard.
  2. Elija el servicio BFE.
  3. Elija la opción Start a la izquierda.

Precaución: se recomienda realizar una copia de seguridad de los archivos antes de realizar este procedimiento. Toda la información en este artículo se proporciona tal cual, sin ninguna garantía, ya sea expresa o implícita, de su exactitud, integridad o idoneidad para un propósito particular.

Si este procedimiento no funciona, siga estos pasos:

  1. Descargue la utilidad ESET Services Repair de esta página web y guárdela en su escritorio.
  2. Ejecute la utilidad ESET ServicesRepair.

  3. Siga las indicaciones para reparar el servicio BFE.

  4. Una vez finalizada la utilidad, reinicie el ordenador.

  5. Una vez reiniciado el equipo, instale o ejecute AnyConnect Secure Mobility Client de nuevo.

Nota: Las pruebas han demostrado que esta herramienta ayuda en la mayoría de los casos en los que los archivos de registro están dañados o los servicios están dañados. Por lo tanto, si encuentra estos mensajes de error, esta herramienta resulta útil también:
- El agente de cliente VPN no pudo crear el depósito de comunicaciones entre procesos.
- El servicio de agente VPN no responde. Reinicie esta aplicación transcurridos unos minutos.
- El servicio Cisco Anyconnect Secure Mobility Agent del equipo local se inició y se detuvo. Algunos servicios se detienen automáticamente si no los utilizan otros servicios o programas.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
26-Jun-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos