Guía de solución de problemas de AnyConnect VPN Client: problemas comunes

Introducción

En este documento, se describe una situación de solución de problemas que corresponde a las aplicaciones que no funcionan mediante Cisco AnyConnect VPN Client.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento tiene como base un dispositivo Cisco Adaptive Security Appliance (ASA) que ejecuta la versión 8.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Proceso de Troubleshooting

Este escenario de troubleshooting típico corresponde a las aplicaciones que no funcionan con Cisco AnyConnect VPN Client para los usuarios finales con equipos compatibles con Microsoft Windows. Estas secciones abordan y brindan las soluciones a los problemas:

• Problemas de la Instalación y del Adaptador Virtual
• Desconexión o Imposibilidad de Establecer la Conexión Inicial
• Problemas con el Paso del Tráfico
• Problemas por Crash de AnyConnect
• Problemas con la Fragmentación o el Paso del Tráfico

Problemas de la Instalación y del Adaptador Virtual

Complete estos pasos:

1. Obtenga el archivo del log del dispositivo:
   
   
   • Windows XP/Windows 2000:
     
     

     \Windows\setupapi.log

     
     
     
   • Windows Vista:
     
     

     Nota: las carpetas ocultas deben estar visibles para poder ver estos archivos.

     
     
     

     \Windows\Inf\setupapi.app.log
     
         \Windows\Inf\setupapi.dev.log
     

     
     
     
   
   
   Si ve errores en el archivo de registro setupapi, puede aumentar el nivel de detalle a 0x2000FFFF.
   
   
2. Obtenga el archivo del log del Instalador MSI:
   
   Si se trata de una instalación de implementación web inicial, este log está ubicado en el directorio temporal por usuario.
   
   
   • Windows XP/Windows 2000:
     
     

     \Documents and Settings\<username>\Local Settings\Temp\
     

     
     
     
   • Windows Vista:
     
     

     \Users\<username>\AppData\Local\Temp\
     

     
     
     
   
   
   Si se trata de una actualización automática, este log se encuentra en el directorio temporal del sistema:
   
   

   \Windows\Temp
   

   
   
   El nombre de archivo tiene este formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyy.log. Obtenga el archivo más reciente para la versión del cliente que desee instalar. Los cambios x.xxxx basados en la versión, como 2.0.0343, y yyyyyyyyyyyyyy incluyen la fecha y hora de la instalación.
   
   
3. Obtenga el archivo de información del sistema de la PC:
   
   
   1. Desde el Indicador del Comando/cuadro DOS, escriba lo siguiente:
      
      
      • Windows XP/Windows 2000:
        
        

        winmsd /nfo c:\msinfo.nfo
        

        
        
        
      • Windows Vista:
        
        

        msinfo32 /nfo c:\msinfo.nfo
        

        
        
        

      Nota: Después de escribir en este mensaje, espere. El archivo puede tardar entre dos y cinco minutos en completarse.

      
      
      
   2. Obtenga un vaciado del archivo systeminfo de un Indicador de Comando:
      
      Windows XP y Windows Vista:
      
      

      systeminfo c:\sysinfo.txt
      

Consulte AnyConnect: Problema de Base de Datos del Controlador Dañado para depurar el problema del controlador.

Desconexión o Imposibilidad de Establecer la Conexión Inicial

Si experimenta problemas de conexión con el cliente AnyConnect, como desconexiones o la incapacidad para establecer una conexión inicial, obtenga estos archivos:

• El archivo de configuración de ASA para determinar si hay algo en la configuración que provoque la falla de conexión:
  
  Desde la consola de la ASA, escriba write net x.x.x.x:ASA-Config.txt donde x.x.x.x es la dirección IP de un servidor TFTP en la red.
  
  O
  
  Desde la consola de ASA, escriba show running-config. Deje que la configuración se complete en la pantalla; luego, corte y pegue el texto en un editor de texto para guardarlo.
  
  
• Los logs de eventos ASA:
  
  
  1. Para habilitar el registro en ASA para eventos de autenticación, WebVPN, Secure Sockets Layer (SSL) y cliente SSL VPN (SVC), emita estos comandos de CLI:
     
     

     config terminal
     logging enable
     logging timestamp
     logging class auth console debugging
     logging class webvpn console debugging
     logging class ssl console debugging
     logging class svc console debugging

     
     
     
  2. Origine una sesión de AnyConnect y asegúrese de poder reproducir el error. Capture la salida del registro de la consola en un editor de texto y guárdelo.
     
     
  3. Para inhabilitar el registro, ejecute no logging enable.
     
     
  
  
  
• El log de Cisco AnyConnect VPN Client de Windows Event Viewer en el equipo cliente:
  
  
  1. Elija Start > Run.
     
     
  2. Escriba:
     
     

     eventvwr.msc /s

     
     
     
  3. Haga clic derecho en el registro de Cisco AnyConnect VPN Client y seleccione Save Log File as AnyConnect.evt (Guardar archivo de registro como AnyConnect.evt).
     
     

     Nota: guárdelo siempre con el formato de archivo .evt.

Si el usuario no puede conectarse con AnyConnect VPN Client, es posible que el problema se relacione con una sesión de protocolo de escritorio remoto (RDP) ya establecida o con el cambio rápido de usuario habilitado en la computadora cliente. El usuario puede ver que las configuraciones del perfil de AnyConnect requieren un solo usuario local, pero varios usuarios locales actualmente tienen una sesión iniciada en su equipo. No se establecerá la conexión VPN; aparece un mensaje de error en el equipo cliente. Para resolver este problema, desconecte cualquier sesión establecida de RDP y deshabilite el cambio rápido de usuario. Este comportamiento está controlado por el atributo Aplicación de inicio de sesión de Windows en el perfil del cliente; sin embargo, actualmente no hay ninguna configuración que realmente permita a un usuario establecer una conexión VPN mientras varios usuarios inician sesión simultáneamente en la misma máquina. La solicitud de mejora CSCx15061 se archivó para abordar esta característica.

Nota: Asegúrese de que el puerto 443 no esté bloqueado para que el cliente AnyConnect pueda conectarse al ASA.

Cuando un usuario no puede conectar AnyConnect VPN Client con ASA, el problema puede deberse a una incompatibilidad entre la versión del cliente AnyConnect y la versión de la imagen de software de ASA. En este caso, el usuario recibe este mensaje de error: El instalador no pudo iniciar el cliente Cisco VPN, el acceso sin cliente no está disponible.

Para resolver este problema, actualice la versión del cliente AnyConnect para que sea compatible con la imagen de software de ASA.

Cuando inicia sesión por primera vez en AnyConnect, el script de inicio de sesión no funciona. Si se desconecta y vuelve a iniciar sesión, el script de inicio de sesión se ejecuta correctamente. Ésta es la conducta esperada.

Cuando conecta AnyConnect VPN Client al ASA, es posible que reciba este error: Usuario no autorizado para el acceso de AnyConnect Client, comuníquese con su administrador.

Este error aparece cuando la imagen de AnyConnect no está en ASA. Una vez que se carga la imagen en ASA, AnyConnect puede conectarse sin problemas a ASA.

Este error se puede resolver deshabilitando la seguridad de la capa de transporte de datagramas (DTLS). Vaya a Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (Configuración > Acceso remoto a la VPN > Acceso a la red [cliente] > Perfiles de conexión de AnyConnect) y desmarque la casilla de verificación Enable DTLS (Permitir DTLS). Esto deshabilita la DTLS.

Los archivos dartbundle muestran este mensaje de error cuando el usuario se desconecta: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: El gateway seguro no pudo responder a los paquetes de detección de par muerto. Este error significa que el canal de DTLS se vio afectado debido al error de detección de par muerto (DPD). Este error se resuelve si ajusta los keepalive de DPD y emite estos comandos:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

A partir de la versión 8.4(1) de ASA, los comandos svc keepalive y svc dpd-interval se sustituyen por los comandos anyconnect keepalive y anyconnect dpd-interval (respectivamente), como se muestra a continuación:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemas con el Paso del Tráfico

Cuando se detectan problemas con el paso del tráfico a la red privada en una sesión de AnyConnect mediante ASA, complete estos pasos para recopilar datos:

1. Obtenga la salida del comando de ASA show vpn-sessiondb detail svc filter name <username> desde la consola. Si la salida muestra Filter Name: XXXXX, recopile la salida para show access-list XXXXX. Verifique que la lista de acceso XXXXX no bloquee el flujo de tráfico deseado.
   
   
2. Exporte las estadísticas de AnyConnect desde AnyConnect VPN Client > Statistics > Details > Export (AnyConnect VPN Client > Estadísticas > Detalles > Exportar) (AnyConnect-ExportedStats.txt).
   
   
3. Verifique el archivo de configuración ASA para las sentencias NAT. Si la traducción de direcciones de red (NAT) está habilitada, estas deben exceptuar los datos que regresan al cliente como resultado de la NAT. Por ejemplo, para que NAT exceptúe (nat 0) las direcciones IP desde el grupo de AnyConnect, use esto en la CLI:
   
   

   access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
   ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
   nat (inside) 0 access-list in_nat0_out

   
   
   
4. Determine si el gateway predeterminado tunelado debe habilitarse para la configuración. El gateway predeterminado tradicional es el gateway de último recurso para el tráfico no descifrado.
   
   Ejemplo:
   
   

   
   !--- Route outside 0 0 is an incorrect statement.
   
   route outside 0 0 10.145.50.1
   route inside 0 0 10.0.4.2 tunneled

   
   
   Por ejemplo, si el cliente VPN debe tener acceso a un recurso que no está en la tabla de routing del gateway VPN, el routing del paquete se realiza a través del gateway predeterminado estándar. El gateway de VPN no necesita la tabla de ruteo interno completa para resolver este problema. Se puede usar la palabra clave tunneled en este caso.
   
   
5. Compruebe si la política de inspección de ASA descarta el tráfico de AnyConnect. Puede exceptuar la aplicación específica que el cliente AnyConnect utiliza si implementa el marco de trabajo de política modular de Cisco ASA. Por ejemplo, podría hacer que se exceptúe el protocolo skinny con estos comandos.
   
   

   ASA(config)# policy-map global_policy
   ASA(config-pmap)#  class inspection_default
   ASA(config-pmap-c)# no inspect skinny

Problemas por Crash de AnyConnect

Complete estos pasos para recopilar datos:

1. Asegúrese de que esté habilitada la Utilidad de Microsoft Dr. Watson. Para hacerlo, seleccione Start> Run, y ejecute Drwtsn32.exe. Configure esto y haga clic en OK:
   
   

   Number of Instructions      : 25
   Number of Errors To Save    : 25
   Crash Dump Type             :  Mini
   Dump Symbol Table           : Checked
   Dump All Thread Contexts    : Checked
   Append To Existing Log File : Checked
   Visual Notification         : Checked
   Create Crash Dump File      : Checked

   
   
   Cuando se produzca el crash, recopile los archivos .log y .dmp de C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson. Si estos archivos se están usando, utilice ntbackup.exe.
   
   
2. Obtenga el log del Cisco AnyConnect VPN Client del Visor de Eventos de Windows en el equipo cliente:
   
   
   1. Elija Start > Run.
      
      
   2. Escriba:
      
      

      eventvwr.msc /s

      
      
      
   3. Haga clic derecho en el registro de Cisco AnyConnect VPN Client y seleccione Save Log File as AnyConnect.evt (Guardar archivo de registro como AnyConnect.evt).
      
      

      Nota: guárdelo siempre con el formato de archivo .evt.

Problemas con la Fragmentación o el Paso del Tráfico

Algunas aplicaciones, como Microsoft Outlook, no funcionan. Sin embargo, el túnel deja pasar otro tráfico, como pequeños pings.

Esto puede proporcionar pistas en cuanto a un problema de fragmentación en la red. El rendimiento de los routers del consumidor es particularmente deficiente en cuanto a la fragmentación de paquetes y el re ensamblado.

Pruebe con un conjunto de pings de tamaño creciente para determinar si el error ocurre con un determinado tamaño. Por ejemplo, ping -l 500, ping -l 1000, ping -l 1500, ping -l 2000.

Se recomienda que configure un grupo especial para los usuarios que experimentan fragmentación y que defina la unidad máxima de transmisión (MTU) de SVC para este grupo en 1200. Esto le permite brindar una solución a los usuarios que experimentan este problema sin afectar la base de usuarios más amplia.

Problema

Las conexiones TCP dejan de responder después de conectarse con AnyConnect.

Solución

Para comprobar si el usuario tiene un problema de fragmentación, ajuste la MTU para clientes AnyConnect en ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Desinstalación Automática

Problema

AnyConnect VPN Client se desinstala una vez que termina la conexión. Los logs del cliente muestran que la opción mantener instalado está inhabilitada.

Solución

AnyConnect se desinstala a pesar de que está seleccionada la opción keep installed (mantener instalado) en Adaptive Security Device Manager (ASDM). Para resolver este problema, configure el comando svc keep-installer installed debajo de la política de grupo.

Problema para completar el FQDN del clúster

Problema: el cliente AnyConnect se rellena automáticamente con el nombre de host en lugar del nombre de dominio completo (FQDN) del clúster.

Si tiene un clúster de equilibrio de carga configurado para SSL VPN y el cliente intenta conectarse al clúster, la solicitud se redirige a ASA en el nodo y el cliente inicia sesión correctamente. Después de algún tiempo, cuando el cliente intenta conectarse de nuevo al clúster, el FQDN del clúster no aparece en las entradas de Connect to (Conectar a). En cambio, se ve la entrada de ASA en el nodo a la que se redirigió al cliente.

Solución

Esto ocurre porque el cliente de AnyConnect conserva el nombre del host al que se conectó por última vez. Se ha observado este comportamiento y se ha registrado el error. Para obtener información completa sobre el error, consulte la identificación de error de Cisco CSCsz39019. La solución sugerida es actualizar Cisco AnyConnect a la versión 2.5.

Configuración de la lista de servidores de respaldo

Es necesario configurar una lista de servidores de respaldo en caso de que no sea posible tener acceso al servidor principal seleccionado por el usuario. Esto se define en el panel Backup Server (Servidor de respaldo) en el perfil de AnyConnect. Complete estos pasos:

1. Descargue el editor de perfiles de AnyConnect (solo para clientes registrados). El nombre del archivo es AnyConnectProfileEditor2_4_1.jar.
   
   
2. Cree un archivo XML con el editor de perfiles de AnyConnect.
   
   
   1. Vaya a la ficha de la lista de servidores.
      
      
   2. Haga clic en Add (Agregar).
      
      
   3. Escriba el servidor principal en el campo Hostname (Nombre del host).
      
      
   4. Agregue el servidor de respaldo debajo de la lista de servidores de respaldo, en el campo Host address (Dirección del host). Luego, haga clic en Add (Agregar).
   
   
   
3. Una vez que tenga el archivo XML, deberá asignarlo a la conexión que usa en ASA.
   
   
   1. En ASDM, seleccione Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles (Configuración > Acceso remoto a la VPN > Acceso a la red [cliente] > Perfiles de conexión de AnyConnect).
      
      
   2. Seleccione su perfil y haga clic en Edit (Editar).
      
      
   3. Haga clic en Manage (Administrar) en la sección Default Group Policy (Política de grupo predeterminada).
      
      
   4. Seleccione su política de grupo y haga clic en Edit (Editar).
      
      
   5. Seleccione Advanced (Avanzado)y haga clic en SSL VPN Client (Cliente SSL VPN).
      
      
   6. Haga clic en New. Luego, deberá escribir un nombre para el perfil y asignar el archivo XML.
   
   
   
4. Conecte el cliente a la sesión para descargar el archivo XML.

AnyConnect: Problema de base de datos de controladores dañados

Esta entrada en el archivo SetupAPI.log sugiere que el sistema de catálogo está dañado:

Falta la lista de clase de firma del driver W239 “C:\WINDOWS\INF\certclas.inf” o no es válida. Error 0xfffffde5: Error desconocido., suponiendo que todas las clases de dispositivos están sujetas a la directiva de firmas de controladores.

También puede recibir este mensaje de error: Error (3/17): No se puede iniciar el dispositivo virtual, configurar la cola compartida o el dispositivo virtual ha abandonado la cola compartida.

Puede recibir este registro en el cliente: "El controlador del cliente VPN ha encontrado un error".

Reparación

Este problema se debe a la identificación de error de Cisco CSCsm54689. Para resolver este problema, asegúrese de que el Routing and Remote Access Service esté inhabilitado antes de iniciar AnyConnect. Si esto no resuelve el problema, siga estos pasos:

1. Abra un indicador de comando como Administrador en el equipo (indicador elevado en Vista).
   
   
2. Ejecute net stop CryptSvc.
   
   
3. Ejecute:
   
   

   esentutl /p%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   
4. Cuando se le pida, seleccione OK (Aceptar) para intentar la reparación.
5. Salga del indicador de comando.
   
   
6. Reiniciar.

Error en la reparación

Si la reparación falla, siga estos pasos:

1. Abra un indicador de comando como Administrador en el equipo (indicador elevado en Vista).
   
   
2. Ejecute net stop CryptSvc.
   
   
3. Cambie el nombre del directorio %WINDIR%\system32\catroot2 to catroot2_old.
   
   
4. Salga del indicador de comando.
   
   
5. Reiniciar.

Analizar la Base de Datos

Puede analizar la base de datos en cualquier momento para determinar si es válida.

1. Abra un indicador de comando como Administrador en el equipo.
   
   
2. Ejecute:
   
   

   esentutl /g%systemroot%\System32\catroot2\
   {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

   
   
   Consulte Integridad de la Base de Datos del Catálogo del Sistema para obtener más información.
   

Mensajes de error

Error: No se puede actualizar la base de datos de administración de sesiones

Mientras SSL VPN está conectado a través de un navegador web, no se puede actualizar la base de datos de administración de sesiones. aparece el mensaje de error y los registros de ASA muestran %ASA-3-211001: Error de asignación de memoria. The adaptive security appliance failed to allocate RAM system memory (Error de asignación de memoria. Adaptive Security Appliance no pudo asignar memoria RAM del sistema).

Solución 1

Este problema se debe a la identificación de error de Cisco CSCsm51093. Para resolver este problema, recargue el ASA o actualice el software ASA a la versión provisoria mencionada en el bug. Consulte el ID de error CSCsm51093 para obtener más información.

Solución 2

Este problema también puede resolverse si deshabilita la detección de amenazas en ASA (en caso de utilizarla).

Error: "Error al registrar el módulo c:\Archivos de programa\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll"

Cuando utiliza el cliente AnyConnect en computadoras portátiles o de escritorio, se produce un error durante la instalación:

"Module C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnapi.dll failed
to register..."

Cuando se detecta este error, el instalador no puede avanzar y el cliente se elimina.

Solución

Estas son las posibles soluciones para este error:

• El cliente más reciente de AnyConnect ya no es oficialmente compatible con Microsoft Windows 2000. Es un problema de registro con la computadora que ejecuta Windows 2000. 
  
  
• Elimine las aplicaciones de VMware. Una vez que se instala AnyConnect, es posible agregar las aplicaciones de VMware nuevamente a la computadora.
  
  
• Agregue ASA a los sitios de confianza. 
  
  
• Copie estos archivos desde la carpeta \ProgramFiles\Cisco\CiscoAnyconnect a una carpeta nueva y ejecuteregsvr32 vpnapi.dll en el símbolo del sistema:
  
  
  • vpnapi.dll
  • vpncommon.dll
  • vpncommoncrypt.dll
  
  
  
• Cree una nueva imagen del sistema operativo en la computadora portátil o de escritorio.

El mensaje del registro relacionado con este error en el cliente de AnyConnect es similar al siguiente:

DEBUG: Error 2911:  Could not remove the folderC:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, ,
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Error: "Se recibió un error del gateway seguro en respuesta a la solicitud de negociación de VPN. Please contact your network administrator" (El gateway seguro arrojó un error como respuesta a la solicitud de negociación de la VPN. Comuníquese con su administrador de redes)

Este error aparece cuando los clientes intentan conectarse a la VPN con Cisco AnyConnect VPN Client.

Este mensaje proviene del gateway seguro:

"Illegal address class" (Clase de dirección ilegal), "Host or network is 0" (El host o la red es 0) u "Other error" (Otro error).

Solución

El problema se produce debido al vaciado del grupo local de direcciones IP de ASA. Como se agota el recurso del grupo de la VPN, debe ampliarse el rango del grupo de direcciones IP.

Se registró la identificación de error de Cisco CSCsl82188 para este problema. Este error suele producirse cuando se agota el grupo local para la asignación de direcciones, o si se usa una máscara de subred de 32 bits para el grupo de direcciones. La solución consiste en ampliar el grupo de direcciones y utilizar una máscara de subred de 24 bits para el grupo.

Error: no se pudo establecer la sesión. Session limit of 2 reached.

Al intentar conectar más de dos clientes con AnyConnect VPN Client, recibe el mensaje de error Login Failed (Error de inicio de sesión) en el cliente y un mensaje de advertencia en los registros de ASA que dice: Session could not be established. Session limit of 2 reached. Tengo la licencia AnyConnect Essential en ASA, que ejecuta la versión 8.0.4.

Solución 1

Este error se produce porque la licencia AnyConnect Essential no es compatible con la versión 8.0.4 de ASA. Necesita actualizar ASA a la versión 8.2.2. Esto resuelve el error.

Nota: independientemente de la licencia utilizada, si se alcanza el límite de sesión, el usuario recibirá el mensaje de error login failed .

Solución 2

Este error también puede producirse si se utiliza el comando vpn-sessiondb max-anyconnect-premium-or-essentials-limit session-limit para definir el límite de sesiones de VPN que se pueden establecer. Si el límite de sesión se define en dos, el usuario no puede establecer más de dos sesiones aun cuando la licencia instalada admita más sesiones. Defina el límite de sesiones con la cantidad necesaria de sesiones de VPN para evitar este mensaje de error.

Error: Anyconnect no está habilitado en el servidor VPN al intentar conectar anyconnect a ASA

Recibe el mensaje de error Anyconnect not enabled on VPN server (Anyconnect no habilitado en el servidor VPN) cuando intenta conectar AnyConnect a ASA.

Solución

Este error se resuelve si habilita AnyConnect en la interfaz externa de ASA con ASDM. Para obtener más información sobre cómo habilitar AnyConnect en la interfaz externa, consulte Cómo configurar Clientless SSL VPN (WebVPN) en ASA.

Error:- %ASA-6-722036: grupo de clientes del grupo de usuarios xxxx IP x.x.x.x que transmite el paquete grande 1220 (umbral 1206)

El mensaje de error %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) aparece en los registros de ASA. ¿Qué significa este registro y cómo se resuelve?

Solución

Estados de este mensaje del registro que un paquete grande fue enviado al cliente. La fuente del paquete no es consciente del MTU del cliente. Esto puede también ser debido a la compresión de los datos incompresibles. La solución consiste en desactivar la compresión de SVC con el comando svc compression none. Esto resuelve el problema.

Error: el gateway seguro ha rechazado la solicitud de conexión o reconexión VPN del agente.

Cuando se conecta al cliente AnyConnect, se recibe este error: "El gateway seguro ha rechazado la solicitud de conexión o reconexión vpn del agente. A new connection requires re-authentication and must be started manually. Please contact your network administrator if this problem persists. Se recibió el siguiente mensaje desde el gateway seguro: "no hay dirección asignada".

Este error también se recibe cuando se conecta al cliente AnyConnect: "El gateway seguro ha rechazado el intento de conexión. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication. El siguiente mensaje proviene del gateway seguro: El host o la red es 0".

Este error también se recibe cuando se conecta al cliente AnyConnect: "El gateway seguro ha rechazado la solicitud de conexión o reconexión vpn del agente. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Se recibió el siguiente mensaje desde el gateway seguro: No License (Sin licencia).

Solución

El router no tenía una configuración de grupo después de volver a cargar. Debe volver a agregar la configuración correspondiente al router.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

El error "The secure gateway has rejected the agent's vpn connect or reconnect request. A new connection requires a re-authentication and must be started manually. Please contact the network administrator if the problem persists. Se recibió el siguiente mensaje desde el gateway seguro: No License (Sin licencia) error que se produce cuando falta la licencia de movilidad de AnyConnect. Una vez instalada la licencia, el problema se resuelve.

Error: "No se puede actualizar la base de datos de administración de sesiones"

Cuando intenta autenticarse en WebPortal, se recibe este mensaje de error: "No se puede actualizar la base de datos de administración de sesiones".

Solución

Este problema está relacionado con la asignación de memoria en ASA y aparece principalmente cuando la versión de ASA es 8.2.1. Originalmente, se necesitan 512 MB de RAM para obtener funcionalidad completa.

Actualice la memoria a 512 MB para solucionar este problema de manera permanente.

Como solución temporal, intente liberar memoria siguiendo estos pasos:

1. Deshabilite la detección de amenazas.
   
   
2. Deshabilite la compresión de SVC.
   
   
3. Vuelva a cargar ASA.
   
   

Error: "El controlador de cliente VPN ha detectado un error"

Este es un mensaje de error de la máquina cliente al intentar conectarse a AnyConnect.

Solución

Para resolver este error, siga este procedimiento para ajustar manualmente el agente AnyConnect VPN a la opción de interacción:

1. Haga clic derecho en My Computer > Manage > Services and Applications > Services (Mi PC > Administrar > Servicios y aplicaciones > Servicios) y seleccione el agente Cisco AnyConnect VPN.
   
   
2. Haga clic derecho en Properties (Propiedades), inicie sesión y seleccione Allow service to interact with the desktop (Permitir que el servicio interactúe con la computadora).
   
   Esto establece el valor del tipo de registro DWORD en 110 (el valor predeterminado es 010) para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vpnagent.
   
   

   Nota: Si se va a utilizar, la preferencia sería utilizar la transformación .MST en esta instancia. Esto se debe a que, si realiza esta configuración manual con estos métodos, será necesario que lo haga después de cada proceso de instalación o actualización. Por este motivo, es necesario identificar la aplicación que causa este problema.

   
   
   Cuando el Servicio de enrutamiento y acceso remoto (RRAS) está habilitado en el equipo con Windows, AnyConnect falla con el mensaje de error El controlador de cliente VPN ha encontrado un error. error. Para resolver este problema, asegúrese de que las opciones de routing y RRAS estén deshabilitadas antes de iniciar AnyConnect. Consulte la identificación de error de Cisco CSCsm54689 para obtener más información.

Error: "No se puede procesar la respuesta de xxx.xxx.xxx.xxx"

Los clientes de AnyConnect no pueden conectarse a Cisco ASA. El error en la ventana de AnyConnect es “Unable to process response from xxx.xxx.xxx.xxx” (No es posible procesar la respuesta desde xxx.xxx.xxx.xxx).

Solución

Para resolver este error, pruebe estas soluciones:

• Elimine la opción WebVPN de ASA y vuelva a activarla.
  
  
• Cambie el número actual de puerto (443) a 444 y vuelva a habilitarlo en 443.

Para obtener más información sobre cómo habilitar WebVPN y cambiar el puerto de WebVPN, consulte esta solución.

Error: "Inicio de sesión denegado , mecanismo de conexión no autorizado , póngase en contacto con el administrador"

Los clientes de AnyConnect no pueden conectarse a Cisco ASA. El error en la ventana de AnyConnect es “Login Denied , unauthorized connection mechanism , contact your administrator” (Se rechazó el inicio de sesión debido a un mecanismo de conexión no autorizado; comuníquese con su administrador).

Solución

Este mensaje de error se produce principalmente debido a problemas de configuración incorrecta o incompleta. Verifique la configuración y asegúrese de que sea la necesaria para resolver el problema.

<

Error: "Paquete Anyconnect no disponible o dañado. Contact your system administrator" (Paquete de Anyconnect no disponible o dañado. Comuníquese con su administrador del sistema)

Este error se produce cuando intenta iniciar el software de AnyConnect desde un cliente Macintosh para conectarse a ASA.

Solución

Para resolverlo, siga estos pasos:

1. Cargue el paquete de AnyConnect para Macintosh a la memoria flash de ASA.
   
   
2. Modifique la configuración de WebVPN para especificar el paquete de AnyConnect que se utiliza.
   
   

   webvpn
    svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
    svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

   
   
   El comando svc image se sustituye por el comando anyconnect image a partir de la versión de ASA 8.4(1), como se detalla a continuación:
   
   

   hostname(config)#webvpn
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-win-3.0.0527-k9.pkg 1
   
   hostname(config-webvpn)#anyconnect image disk0:/
   anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Error: "No se pudo encontrar el paquete de AnyConnect en el gateway seguro"

Este error ocurre en la máquina Linux del usuario cuando intenta conectarse a ASA iniciando AnyConnect. A continuación, el mensaje de error completo:

"The AnyConnect package on the secure gateway could not be located. You may
be experiencing network connectivity issues. Please try connecting again."

Solución

Para resolver este mensaje de error, compruebe que el cliente de AnyConnect sea compatible con el sistema operativo (SO) que se utiliza en la máquina cliente. 

Si es compatible con el SO, compruebe si el paquete de AnyConnect se especifica en la configuración de WebVPN o no. Consulte la sección Paquete de Anyconnect no disponible o dañado de este documento para obtener más información.

Error: "No se admite VPN segura a través del escritorio remoto"

Los usuarios no pueden ejecutar un acceso para escritorio remoto. Aparece el mensaje de error Secure VPN via remote desktop is not supported (No se admite la VPN segura mediante escritorio remoto).

Solución

Este problema se debe a estos ID de bug de Cisco: CSCsu22088 y CSCso42825. Si actualiza AnyConnect VPN Client, puede resolver el problema. Consulte estos errores para obtener más información.

Error: "El certificado de servidor recibido o su cadena no cumple con FIPS. A VPN connection will not be established"

Al intentar realizar una conexión VPN a ASA 5505, aparece el mensaje de error The server certificate received or its chain does not comply with FIPS. A VPN connection will not be established (El certificado de servidor recibido o su cadena no cumplen con los FIPS. No se establecerá una conexión VPN).

Solución

Para resolver este error, debe deshabilitar los Estándares federales de procesamiento de la información de los Estados Unidos (FIPS) en el archivo AnyConnect Local Policy. Este archivo suele encontrarse en C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\AnyConnectLocalPolicy.xml. Si no encuentra el archivo en esta ruta, búsquelo en otro directorio con una ruta similar, por ejemplo C:\Documents and Settings\All Users\Application Data\Cisco AnyConnectVPNClient\AnyConnectLocalPolicy.xml. Una vez que encuentre el archivo xml, realice los cambios que figuran a continuación:

Cambie la frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Luego, reinicie la computadora. Los usuarios deben tener permisos de administrador para modificar este archivo.

Error: "Error de validación de certificado"

Los usuarios no pueden iniciar AnyConnect y reciben el mensaje Certificate Validation Failure (Error al validar el certificado).

Solución

La autenticación de certificados funciona de manera distinta en AnyConnect y en el cliente IPSec. Para que la autenticación de certificados funcione, debe importar el certificado del cliente a su navegador y cambiar el perfil de conexión para que utilice la autenticación de certificados. También es necesario habilitar este comando en ASA para permitir que se utilicen los certificados de cliente SSL en la interfaz externa:

ssl certificate-authentication interface outside port 443

Error: "El servicio de agente VPN ha detectado un problema y debe cerrarse. We are sorry for the inconvenience" (Ocurrió un error en el servicio del agente VPN y debe cerrarse. Lamentamos las molestias ocasionadas)

Cuando se instala la versión 2.4.0202 de AnyConnect en una computadora con Windows XP, el proceso se detiene al actualizar los archivos de localización y aparece un mensaje de error que indica una falla en el archivo vpnagent.exe.

Solución

Este comportamiento está registrado con la identificación de error de Cisco CSCsq49102. La solución sugerida es deshabilitar el cliente Citrix.

Error: "No se pudo abrir este paquete de instalación. Verify that the package exists"

Al descargar AnyConnect, aparece este mensaje de error:

"Contact your system administrator. Error del instalador: no se pudo abrir este paquete de instalación. Verify that the package exists and that you can access it, or contact the application vendor to verify that this is a valid Windows Installer package." (Comuníquese con su administrador del sistema. No se pudo ejecutar el instalador debido al siguiente error: Este paquete de instalación no se pudo abrir. Verifique si el paquete existe y si puede tener acceso a él, o comuníquese con el proveedor de la aplicación para comprobar que se trata de un paquete válido del programa de instalación de Windows).

Solución

Complete estos pasos para solucionar este problema:

1. Elimine cualquier software antivirus.
   
   
2. Deshabilite el firewall de Windows.
   
   
3. Si el paso 1 o el 2 no resuelven el problema, formatee la máquina y realice la instalación.
   
   
4. Si el problema persiste, abra un caso de TAC.

Error: "Error al aplicar las transformaciones. Verify that the specified transform paths are valid." (Error al aplicar transformaciones. Compruebe que las rutas de transformación especificadas son válidas).

Se recibe este mensaje de error durante la descarga automática de AnyConnect desde ASA:

"Contact your system administrator. The installer failed with the following error:
Error applying transforms. Verify that the specified transform paths are valid."

Este es el mensaje de error recibido cuando se conecta a AnyConnect para MacOS:

"The AnyConnect package on the secure gateway could not be located. You may be
experiencing network connectivity issues. Please try connecting again."

Solución

Siga alguna de estas soluciones para resolver el problema:

1. La causa raíz de este error podría deberse a un archivo de traducción de MST dañado (por ejemplo, importado). Siga estos pasos para resolverlo:
   
   
   1. Elimine la tabla de traducción de MST.
      
      
   2. Configure la imagen de AnyConnect para MacOS en ASA.
   
   
   
2. Desde ASDM, siga la ruta Network (Client) Access > AnyConnect Custom > Installs (Acceso a la red [cliente] > Personalizar AnyConnect > Instalaciones) y elimine el archivo del paquete de AnyConnect. Asegúrese de que el paquete permanezca en Network (Client) Access > Advanced > SSL VPN > Client Setting (Acceso a la red [cliente] > Avanzado > VPN con SSL > Configuración de cliente).

Si ninguna de estas soluciones resuelve el problema, comuníquese con el soporte técnico de Cisco.

Error: "El controlador de cliente VPN ha detectado un error"

Se recibe este error:

The VPN client driver has encountered an error when connecting through Cisco
AnyConnect Client.

Solución

Este problema puede resolverse desinstalando el cliente AnyConnect y, luego, eliminando el software antivirus. Después de esto, vuelva a instalar el cliente AnyConnect. Si esta solución no funciona, vuelva a formatear la computadora para arreglar el problema.

Error: "Una reconexión VPN produjo un valor de configuración diferente. The VPN network setting is being re-initialized. Applications utilizing the private network may need to be restored." (Una reconexión a la VPN provocó una configuración diferente. La configuración de la red VPN se está reiniciando. Es posible que deba restaurar las aplicaciones que usan la red privada)

Este error aparece al intentar iniciar AnyConnect:

"A VPN reconnect resulted in different configuration setting. The VPN network
setting is being re-initialized. Applications utilizing the private network may
need to be restarted."

Solución

Para resolver este error, utilice lo siguiente:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

El comando svc mtu se sustituye por el comando anyconnect mtu a partir de la versión de ASA 8.4(1), como se detalla a continuación:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Error al iniciar sesión con AnyConnect

Problema

AnyConnect recibe este error cuando se conecta al cliente:

The VPN connection is not allowed via a local proxy. This can be changed
through AnyConnect profile settings.

Solución

El problema puede resolverse si realiza estos cambios en el perfil de AnyConnect:

Agregue esta línea al perfil de AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><
AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

La configuración del proxy de Internet Explorer no se restaura una vez que AnyConnect se desconecta en Windows 7

Problema

En Windows 7, si se configura el proxy de Internet Explorer para Detectar la configuración automáticamente y AnyConnect impone una nueva configuración de proxy, no se restaura el proxy de Internet Explorer al valor Detectar la configuración automáticamente después de que el usuario termina la sesión de AnyConnect. Esto provoca problemas de la red LAN para usuarios que necesitan que su proxy para esté configurado como Detectar la configuración automáticamente.

Solución

Este comportamiento está registrado con la identificación de error de Cisco CSCtj51376. La solución sugerida es actualizar a AnyConnect 3.0.

Error: AnyConnect Essentials no se puede habilitar hasta que se cierren todas estas sesiones.

Este mensaje de error aparece en Cisco ASDM cuando intenta habilitar la licencia de AnyConnect Essentials:

There are currently 2 clientless SSL VPN sessions in progress. AnyConnect
Essentials can not be enabled until all these sessions are closed.

Solución

Este es el comportamiento normal de ASA. AnyConnect Essentials es un cliente SSL VPN que tiene una licencia independiente. Se configura completamente en ASA y proporciona toda la funcionalidad de AnyConnect, salvo lo siguiente:

• Cisco Secure Desktop no está disponible (CSD) (esto incluye HostScan/Vault/Cache Cleaner)
  
  
• SSL VPN sin cliente no está disponible
  
  
• Compatibilidad opcional con Windows Mobile
  
  

Esta licencia no puede utilizarse al mismo tiempo que la licencia prémium compartida de SSL VPN. Cuando necesite usar una licencia, deberá deshabilitar la otra.

Error: la ficha de conexión de la opción de Internet de Internet Explorer se oculta después de conectarse al cliente AnyConnect.

La ficha de conexión en la opción de Internet de Internet Explorer se oculta después de conectarse al cliente AnyConnect.

Solución

Esto se debe a la función msie-proxy lockdown. Si la habilita, oculta la ficha de conexiones en Microsoft Internet Explorer durante la sesión de AnyConnect VPN. Si la deshabilita, no se modifica la ficha de conexiones en la pantalla.

Error: pocos usuarios reciben el mensaje de error Login Failed cuando otros pueden conectarse correctamente a través de AnyConnect VPN

Algunos usuarios reciben el mensaje de error de inicio de sesión, mientras que otros pueden conectarse correctamente mediante AnyConnect VPN.

Solución

Este problema puede resolverse si se asegura de que la casilla de verificación do not require pre-authentication (no exigir preautenticación) esté marcada para los usuarios.

Error: el certificado que está viendo no coincide con el nombre del sitio que está intentando ver.

Durante la actualización del perfil de AnyConnect, aparece un error que indica que el certificado no es válido. Esto ocurre solo en Windows y en la fase de actualización del perfil. A continuación, se muestra el mensaje de error:

The certificate you are viewing does not match with the name of the site
you are trying to view.

Solución

Esto puede resolverse si se modifica la lista de servidores del perfil de AnyConnect para utilizar el FQDN del certificado.

Este es un ejemplo del perfil XML:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName>

 </HostEntry>

</ServerList>

Nota: Si existe una entrada para la dirección IP pública del servidor como <HostAddress>, elimínela y conserve sólo el FQDN del servidor (por ejemplo, <HostName>, pero no <Host Address>).

No es posible iniciar AnyConnect desde CSD Vault en una máquina con Windows 7

Cuando se inicia AnyConnect desde CSD Vault, no funciona. Esto ocurre en máquinas con Windows 7.

Solución

En la actualidad, esto no es posible porque no es compatible.

El perfil de AnyConnect no se replica en reserva después de la conmutación por falla

El cliente AnyConnect 3.0 VPN con la versión 8.4.1 de ASA funciona bien. Sin embargo, después de la conmutación por falla, no se replica la configuración relacionada con el perfil de AnyConnect.

Solución

Este problema se observó y registró con la identificación de error de Cisco CSCtn71662. La solución temporal consiste en copiar manualmente los archivos a la unidad en reserva.

El cliente de AnyConnect se bloquea si Internet Explorer se desconecta

Cuando esto ocurre, el registro de eventos de AnyConnect contiene entradas similares a estas:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solución

Este comportamiento se observó y registró con la identificación de error de Cisco CSCtx28970. Para resolver esto, salga de la aplicación de AnyConnect y vuelva a iniciarla. Las entradas de conexión reaparecen después del reinicio.

Mensaje de error: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

El cliente de AnyConnect no se conecta y aparece el mensaje de error Unable to establish a connection (No es posible establecer una conexión). En el registro de eventos de AnyConnect, se encuentra el mensaje TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER.

Solución

Esto ocurre cuando la cabecera está configurada para túnel dividido con una lista muy extensa de túneles divididos (aproximadamente de 180 a 200 entradas) y hay uno o más atributos del cliente configurados en la política de grupo, como dnd-server.

Complete estos pasos para resolver el problema:

1. Reduzca la cantidad de entradas en la lista de túneles divididos.
   
   
2. Utilice esta configuración para deshabilitar DTLS:
   
   

   group-policy groupName attributes
     webvpn
       svc dtls none

Para obtener más información, consulte la identificación de error de Cisco CSCtc41770.

Mensaje de error: "Error en el intento de conexión debido a una entrada de host no válida"

Aparece el mensaje de error Connection attempt has failed due to invalid host entry (Error al intentar la conexión debido a una entrada de host no válida) mientras se realiza la autenticación de AnyConnect mediante un certificado.

Solución

Para resolver este problema, pruebe cualquiera de estas soluciones posibles:

• Actualice AnyConnect a la versión 3.0.
• Deshabilite Cisco Secure Desktop en su computadora.

Para obtener más información, consulte la identificación de error de Cisco CSCti73316.

Error: "Asegúrese de que los certificados de servidor pueden pasar al modo estricto si configura la VPN siempre activa"

Al habilitar la función Always-On (Siempre activa) de AnyConnect, aparecerá el mensaje de error Ensure your server certificates can pass strict mode if you configure always-on VPN (Asegúrese de que sus certificados de servidor puedan superar el modo estricto si configura una VPN siempre activa).

Solución

Este mensaje de error implica que, si desea utilizar la función Always-On, necesita un certificado de servidor válido configurado en la cabecera. Sin un certificado de servidor válido, no funcionará. Strict Cert Mode (Modo estricto de certificado) es una opción que se configura en el archivo de política local de AnyConnect para asegurar que las conexiones usen un certificado válido. Si habilita esta opción en el archivo de política y se conecta con un certificado ficticio, ocurre un error de conexión.

Error: "Error interno en los servicios HTTP de Microsoft Windows"

La herramienta Diagnostic AnyConnect Reporting Tool (DART) muestra un intento fallido:

******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1170
Invoked Function: HttpSendRequest
Return Code: 12004 (0x00002EE4)
Description: An internal error occurred in the Microsoft 
Windows HTTP Services 
*****************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::connect
File: .\ConnectIfc.cpp
Line: 472
Invoked Function: ConnectIfc::sendRequest
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
******************************************
Date        : 03/25/2014
Time        : 09:52:21
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 2999
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015443 (0xFE36002D)
Description: CTRANSPORT_ERROR_CONN_UNKNOWN
Connection attempt failed.  Please try again.

******************************************

Consulte también los registros del visor de eventos en la máquina que ejecuta Windows.

Solución

Esto podría deberse a una conexión Winsock dañada. Use el siguiente comando para restablecer la conexión desde el símbolo del sistema y reinicie su máquina que ejecuta Windows:

netsh winsock reset

Para obtener más información, consulte el artículo de la base de conocimientos Cómo determinar si Winsock2 se ha dañado en Windows Server 2003, Windows XP y Windows Vista y la forma de recuperarlo.

Error: "El transporte SSL recibió un error de canal seguro.   Puede ser el resultado de una configuración criptográfica no admitida en la gateway segura".

La herramienta Diagnostic AnyConnect Reporting Tool (DART) muestra un intento fallido:

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::handleRequestError
File: .\CTransportWinHttp.cpp
Line: 854
The SSL transport received a Secure Channel Failure.  May be a result of a unsupported crypto configuration on the Secure Gateway.

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: CTransportWinHttp::SendRequest
File: .\CTransportWinHttp.cpp
Line: 1199
Invoked Function: CTransportWinHttp::handleRequestError
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE

******************************************
Date        : 10/27/2014
Time        : 16:29:09
Type        : Error
Source      : acvpnui

Description : Function: ConnectIfc::TranslateStatusCode
File: .\ConnectIfc.cpp
Line: 3026
Invoked Function: ConnectIfc::TranslateStatusCode
Return Code: -30015418 (0xFE360046)
Description: CTRANSPORT_ERROR_SECURE_CHANNEL_FAILURE
Connection attempt failed.  Please try again.
******************************************

Solución

Windows 8.1 no admite RC4 según la siguiente actualización de KB:

http://support2.microsoft.com/kb/2868725

Configure los cifrados DES/3DES para SSL VPN en ASA con el comando "ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1" O BIEN edite el archivo de registro de Windows en la máquina cliente como se indica a continuación:

https://technet.microsoft.com/en-us/library/dn303404.aspx

Información Relacionada

• Cisco ASA 5500 Series Adaptive Security Appliances
• Preguntas Más Frecuentes sobre AnyConnect VPN Client
• Preguntas Frecuentes sobre Cisco Secure Desktop (CSD)
• Cisco AnyConnect VPN Client
• Soporte Técnico y Documentación - Cisco Systems