Nota técnica de solução de problemas de VPN SSL sem cliente ASA (WebVPN)

Opções de download

  • PDF     (220.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (269.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (818.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de abril de 2008
ID do documento:104298

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento lista as técnicas de Troubleshooting de VPN SSL Sem Cliente (WebVPN) adotadas para as versões 7.1, 7.2 e 8.0 do ASA. Há avanços significativos entre essas versões que exigem a adoção de técnicas variadas de solução de problemas.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco 5500 Series ASA que executa a versão de software 7.1 ou superior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Troubleshooting

O pré-requisito para a solução de problemas de conexões VPN SSL sem cliente (WebVPN) no ASA é obter visibilidade da experiência do cliente por meio de capturas de tela e ferramentas de captura HTML e, em seguida, compará-las com as mesmas informações quando conectadas diretamente ao URL/aplicativo que está sendo acessado.

ASA versão 7.1/7.2 sem cliente

Esta seção descreve as técnicas de solução de problemas para as versões 7.1/7.2 do ASA e todos os interesses até, mas não incluindo, a versão 8.0.

Nesta versão, se funções complexas Java/Javascript tiverem dificuldade, outras opções (como encaminhamento de porta de acesso de aplicativo ou o uso de desvio de proxy) poderão ser consideradas. Consulte Configurando o Acesso a Aplicativos e Usando o Desvio de Proxy para obter mais informações sobre essas alternativas.

Na maioria dos cenários, se o URL acessado através da VPN SSL sem cliente falhar para o Internet Explorer, ele também falhará para outro navegador.

Para garantir que isso não dependa do PC cliente ou do sistema operacional, use outro cliente de um local diferente. O uso de um cliente VPN IPsec ou SSL também pode ser testado.

Certifique-se de que o ASA esteja incluído na Zona Confiável do navegador conforme descrito em Ativação de Cookies em Navegadores para WebVPN e de que os cookies estejam ativados conforme descrito em Ativar Cookies.

Se o processo ainda falhar, conclua estas etapas para coletar as informações necessárias e, em seguida, abra um caso no TAC.

  1. Limpe o cache do navegador conforme descrito em Limpar o cache do navegador.

  2. Limpe o cache Java conforme descrito em Limpar o cache Java.

  3. Desabilite o cache WebVPN no ASA conforme descrito em Configuração de Cache.

  4. Se um miniaplicativo Java estiver presente, use o nível de depuração 5 na janela do miniaplicativo, conforme descrito em Ativar opções de depuração do miniaplicativo Java.

  5. Faça login no ASA via VPN SSL sem cliente.

  6. Na URL imediatamente antes do URL problemático, ative uma ferramenta de captura HTML no navegador conforme descrito em Ativar as Ferramentas de Captura HTML.

  7. Capture a sequência desse ponto para o URL problemático.

  8. Pressione Ctrl+Print Screen no teclado para capturar uma captura de tela.

  9. Pare a ferramenta de captura HTML.

  10. Execute as mesmas etapas de 1 a 9 quando você se conecta diretamente ao URL através de uma sessão de VPN IPsec ou SSL através do ASA ou se conecta diretamente ao mesmo segmento de LAN (se possível) e envia os dados ao TAC para análise.

ASA versão 8.0 sem cliente

Esta seção descreve as técnicas de solução de problemas usadas para o ASA versão 8.0 e todos os interesses.

Nesta versão, se URLs ou aplicativos complexos tiverem dificuldade por meio de VPN SSL sem cliente, outras opções (como o uso de túneis inteligentes) são uma alternativa poderosa. Consulte Configuração do Acesso ao Túnel Inteligente para obter mais informações sobre túneis inteligentes.

Você também pode considerar o encaminhamento de portas de acesso de aplicativos ou o uso de proxy-bypass. Consulte Configurando o Acesso a Aplicativos e Usando o Desvio de Proxy para obter mais informações sobre essas alternativas.

Na maioria dos cenários, se o URL acessado através da VPN SSL sem cliente falhar para o Internet Explorer, ele também falhará para outro navegador.

Para garantir que isso não dependa do PC cliente ou do sistema operacional, use outro cliente de um local diferente. O uso de um cliente VPN IPsec ou SSL também pode ser testado.

Certifique-se de que o ASA esteja incluído na Zona Confiável do navegador conforme descrito em Ativação de Cookies em Navegadores para WebVPN e de que os cookies estejam ativados conforme descrito em Ativar Cookies.

Se um aplicativo experimentar um problema com o CTE (Customer Content Transformation Engine, mecanismo de transformação de conteúdo sem cliente), você poderá modificar o indicador desse aplicativo para habilitar a opção Smart Tunnel, como mostrado nesta imagem:

ssl_clientless_trouble_20.gif

Ativar essa opção para um marcador não requer configuração adicional. Semelhante ao encaminhamento de portas, esta é outra opção conveniente para clicar em um marcador a fim de abrir uma nova janela que usa o túnel inteligente para passar o tráfego do aplicativo e evitar problemas de regravação.

Quando você usa esse recurso para aplicativos TCP Winsock 32 (como RDP), o administrador precisa identificar os processos a serem utilizados por meio de túneis inteligentes. Por exemplo, o RDP usa o processo mstsc.exe; uma entrada simples de túnel inteligente pode ser criada para esse processo.

Aplicativos mais complicados podem gerar vários processos. Na página do portal WebVPN, escolha o painel Acesso a aplicativos. Assim que ele é carregado, a lista de aplicativos permitidos pode se conectar ao lado privado da rede.

Se o processo ainda falhar, conclua estas etapas para coletar as informações necessárias e, em seguida, abra um caso no TAC.

  1. Limpe o cache do navegador conforme descrito em Limpar o cache do navegador.

  2. Limpe o cache Java conforme descrito em Limpar o cache Java.

  3. Desabilite o cache WebVPN no ASA conforme descrito em Configuração de Cache.

  4. Se um miniaplicativo Java estiver presente, use o nível de depuração 5 na janela do miniaplicativo, conforme descrito em Ativar opções de depuração do miniaplicativo Java.

  5. Faça login no ASA via VPN SSL sem cliente.

  6. Na URL imediatamente antes do URL problemático, ative uma ferramenta de captura HTML no navegador conforme descrito em Ativar as Ferramentas de Captura HTML.

  7. Capture a sequência desse ponto para o URL problemático.

  8. Pressione Ctrl+Print Screen no teclado para capturar uma captura de tela.

  9. Pare a ferramenta de captura HTML.

  10. Execute as etapas de 1 a 9 quando você se conectar diretamente ao URL por meio de uma sessão IPsec ou Any Connect SSL por meio do ASA ou se conectar diretamente ao mesmo segmento de LAN (se possível), conclua essas etapas e envie os dados ao TAC para análise

Procedimentos

Adicione o ASA como um site confiável

Ao acessar o ASA no Internet Explorer, você receberá um erro de certificado se o site não estiver incluído como um site confiável.

ssl_clientless_trouble_05.gif

Conclua estes passos para adicionar o ASA como um site confiável:

  1. No Internet Explorer, escolha Ferramentas > Opções da Internet.

  2. Clique na guia Segurança e escolha Sites confiáveis.

    ssl_clientless_trouble_06.gif

  3. Clique em Sites.

  4. Adicione o endereço https:// do ASA e clique em Adicionar.

    ssl_clientless_trouble_07.gif

  5. Quando o site for adicionado, o ícone Sites confiáveis será exibido na barra de status do Internet Explorer.

    ssl_clientless_trouble_08.gif

Observação: consulte Como trabalhar com as configurações leavingcisco.com de segurança do Internet Explorer 6 para obter informações detalhadas sobre este procedimento.

Ativar cookies

Conclua estes passos para ativar cookies:

  1. No Internet Explorer, escolha Ferramentas > Opções da Internet.

  2. Clique na guia Privacidade e clique em Avançado.

    ssl_clientless_trouble_01.gif

  3. Na caixa de diálogo Definições de privacidade avançadas, marque a caixa de seleção Substituir manipulação automática de cookies, clique no botão de opção Aceitar e clique em OK.

    ssl_clientless_trouble_02.gif

Limpe o cache do navegador

Conclua estes passos para limpar o cache do Internet Explorer:

  1. No Internet Explorer, escolha Ferramentas > Opções da Internet.

    ssl_clientless_trouble_09.gif

  2. Na guia Geral, clique em Excluir na seção Histórico de navegação.

    ssl_clientless_trouble_10.gif

  3. Clique em Excluir tudo.

    ssl_clientless_trouble_11.gif

  4. Marque a caixa de seleção Também excluir arquivos e configurações armazenados por complementos e clique em Sim.

  5. Quando o cache for limpo, desligue todas as instâncias do navegador e reinicie o navegador.

Observação: para limpar o cache de outros navegadores, consulte Como limpar o cache do meu navegador (para melhorar o desempenho)? leavingcisco.com

Limpe o cache Java

Conclua estes passos para limpar o cache Java:

  1. Escolha Painel de controle no menu Iniciar do Windows.

  2. Clique duas vezes em Java.

    ssl_clientless_trouble_12.gif

  3. Clique em Configurações.

  4. Clique em Excluir arquivos.

    ssl_clientless_trouble_13.gif

Observação: consulte Como limpar meu cache Java? leavingcisco.com para obter mais informações sobre este procedimento.

Ativar opções de depuração de miniaplicativos Java

Conclua estes passos para habilitar a opção de depuração do miniaplicativo Java:

  1. Verifique se o Java 1.4 ou superior está ativado:

    1. Escolha Painel de controle no menu Iniciar do Windows.

    2. Clique duas vezes em Java.

    3. Clique em Sobre e verifique o número da versão.

    ssl_clientless_trouble_14.gif

    ssl_clientless_trouble_15.gif

    Observação: você pode fazer download de atualizações do Java em http://java.com/en/ leavingcisco.com.

  2. Certifique-se de que o Java esteja configurado para ativar o rastreamento, mostrar o console e definir o Microsoft Internet Explorer como o navegador padrão, como mostrado nesta imagem:

    ssl_clientless_trouble_16.gif

  3. Certifique-se de que o cache Java esteja limpo conforme descrito em Limpar o cache Java.

  4. No Internet Explorer, escolha Ferramentas > Console Java para abrir a janela de depuração do Java.

    ssl_clientless_trouble_19.gif

  5. Quando a janela de depuração do console Java estiver aberta, pressione 5 para definir o nível de rastreamento

    Quando um URL é acessado que contém um miniaplicativo Java, a atividade é capturada nessa janela.

  6. Clique em Copiar para copiar as informações.

Habilitar as Ferramentas de Captura HTML

Várias ferramentas de captura HTML diferentes estão disponíveis para coletar dados, algumas das quais foram listadas aqui. Instale uma destas ferramentas de captura HTML no PC cliente para o qual é usado o exercício de coleta de dados:

Observação: este procedimento usa o aplicativo HTTPWatch.

Depois que o aplicativo estiver instalado, faça o seguinte:

  1. Pressione Shift+P+F+2 ou clique no ícone na janela do navegador para ativar o HTTPWatch.

    ssl_clientless_trouble_03.gif

  2. Quando o aplicativo estiver ativado, uma janela aparecerá incorporada na parte inferior da janela do navegador semelhante a esta imagem:

    ssl_clientless_trouble_04.gif

  3. Clique em Gravar para gravar dados; clique em Stop para interromper a gravação.

Observação: é recomendável usar o HttpWatch 7.x para gravar os dados.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
29-Apr-2008
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos