Erro de conexão do AnyConnect Secure Mobility: "O cliente VPN não conseguiu configurar a filtragem de IP"

Opções de download

  • PDF     (468.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (305.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (258.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de julho de 2013
ID do documento:116347

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve o que fazer quando você encontrar esta mensagem de usuário do Cisco AnyConnect Secure Mobility Client VPN:

The VPN client was unable to setup IP filtering.
A VPN connection will not be established.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas somente nos sistemas operacionais Windows Vista e Windows 7.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O serviço Mecanismo de filtragem básica (BFE)

O BFE é um serviço que gerencia políticas de firewall e segurança de protocolo de Internet (IPsec) e implementa a filtragem do modo usuário. A segurança do sistema é significativamente reduzida se você parar ou desativar o serviço BFE. Isso também resulta em um comportamento imprevisível no gerenciamento de IPsec e em aplicativos de firewall.

Estes componentes do sistema dependem do serviço BFE:

  • Módulos de Chaveamento IKE e AuthIP
  • Compartilhamento de conexão com a Internet (ICS)
  • Agente de Diretiva IPsec
  • Roteamento e acesso remoto
  • Firewall do Windows

O AnyConnect Secure Mobility Client faz alterações de roteamento e de acesso remoto na máquina host. O IKEv2 também depende dos módulos IKE. Isso significa que, se o serviço BFE for interrompido, o AnyConnect Secure Mobility Client não poderá ser instalado ou usado para estabelecer uma conexão SSL (Secure Sockets Layer).

Há ameaças na circulação ativa que desabilitam e removem o serviço BFE como primeira etapa no processo de infecção.

Cavalo de troia Win32/Sirefef (ZeroAccess)

O cavalo de troia Win32/Sirefef (ZeroAccess) é uma família de malware de vários componentes que usa subterfúgios para ocultar sua presença no computador. Essa ameaça oferece aos invasores acesso total ao seu sistema. Devido à sua natureza, a carga útil pode variar muito de uma infecção para outra, embora o comportamento comum inclua:

  • Download e execução de arquivos arbitrários.
  • Contato de hosts remotos.
  • Desativação dos recursos de segurança.

Não há sintomas comuns associados a essa ameaça. As notificações de alerta do software antivírus instalado podem ser os únicos sintomas.

O cavalo de troia Win32/Sirefef (ZeroAccess) tenta parar e excluir estes serviços relacionados à segurança:

  • Serviço Windows Defender (windefense)
  • Serviço Auxiliar de IP (iphlpsvc)
  • Serviço da Central de Segurança do Windows (wscsvc)
  • Serviço de Firewall do Windows (mpssvc)
  • Serviço Mecanismo de Filtragem Básica (BFE)

Cuidado: o cavalo de troia Win32/Sirefef (ZeroAccess) é uma ameaça perigosa que usa técnicas furtivas avançadas para impedir sua detecção e remoção. Como consequência da infecção por essa ameaça, talvez seja necessário reparar e reconfigurar alguns recursos de segurança do Windows.

Problema

Os cenários são:

  • O usuário não pode instalar o AnyConnect Secure Mobility Client e recebe a mensagem de erro, "O cliente VPN não conseguiu configurar a filtragem de IP. Não será estabelecida uma conexão VPN."

  • O AnyConnect Secure Mobility Client funcionou bem inicialmente. No entanto, o usuário final não pode mais estabelecer uma conexão e recebe a mensagem de erro, "Anyconnect não conseguiu estabelecer uma conexão com o gateway seguro especificado. Tente se conectar novamente."

Solução

Quando essas mensagens de erro forem vistas, é importante confirmar se o BFE está realmente desativado/ausente ou se o cliente não pode reconhecê-lo. Para solucionar problemas, siga estes passos:

  1. Acesse o Gerenciador de controle de serviços (SCM) no menu do Windows:

  2. Procure o serviço BFE para confirmar sua presença ou ausência.

Se o serviço funcionar, o status será exibido como Iniciado. Se houver algo mais nessa coluna, há um problema com o serviço. No entanto, se o status for exibido como iniciado, o cliente claramente não poderá se comunicar com o serviço e é possível que haja um bug.

Se o serviço estiver desativado ou não for iniciado, alguns motivos possíveis são:

  • O malware, como explicado anteriormente, desabilita esse serviço como uma primeira etapa.
  • Registro corrompido no computador.

Procedimento de reparo

A primeira etapa é verificar e desinfetar o sistema com um software antivírus. Você não deve restaurar o serviço BFE se ele for excluído novamente pelo cavalo de troia Win32/Sirefef (ZeroAccess). Baixe a ferramenta ESET SirefefCleaner desta página web e salve-a em sua área de trabalho.

Este vídeo explica o procedimento para remover o cavalo de troia Win32/Sirefef (ZeroAccess):.

Como faço para remover o cavalo de troia Win32/Sirefef (ZeroAccess)?

Depois de remover o cavalo de troia Win32/Sirefef (ZeroAccess), verifique se o serviço BFE pode ser iniciado e mantido ativo por meios normais. Para fazer isso:

  1. Inicie o SCM e escolha a guia Extended em vez da Standard.
  2. Escolha o serviço BFE.
  3. Escolha a opção Start à esquerda.

Cuidado: é recomendável fazer backup dos arquivos antes de tentar este procedimento. Todas as informações neste artigo são fornecidas como estão, sem qualquer garantia, expressa ou implícita, de sua precisão, integridade ou adequação a uma finalidade específica.

Se esse procedimento não funcionar, conclua estas etapas:

  1. Baixe o utilitário ESET ServicesRepair desta página da Web e salve-o em seu desktop.
  2. Execute o utilitário ESET ServicesRepair.

  3. Siga os avisos para reparar o serviço BFE.

  4. Quando o utilitário terminar, reinicie o computador.

  5. Quando o computador for reiniciado, instale ou execute o AnyConnect Secure Mobility Client novamente.

Observação: testes mostraram que essa ferramenta ajuda na maioria dos casos em que os arquivos de registro estão corrompidos ou os serviços estão danificados. Portanto, se você encontrar essas mensagens de erro, essa ferramenta se mostrará útil também:
- O agente de cliente VPN não conseguiu criar o depósito de comunicação entre processos.
- O serviço do agente VPN não está respondendo. Reinicie este aplicativo após um minuto.
- O serviço Cisco Anyconnect Secure Mobility Agent no Computador Local foi iniciado e interrompido. Alguns serviços são interrompidos automaticamente se não estiverem em uso por outros serviços ou programas.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
26-Jun-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos