novregen
Goto Top

Cisco Annyconnect Secure Mobility Client - Windows2003 Server unable to connect

Von einem Windows 2003 Server soll eine Verbindung über Cisco Anyconnect Mobility Client zu einer Gegenstelle aufgebaut werden.
Die Gegenstelle hat jetzt wohl die Hardware geändert, seit dem funktioniert die Einwahl von dem Windows2003Server nicht mehr.
Von einem anderen Rechner Windows7 funktioniert alles.

Beim Windows 2003 Server sieht es so aus, als wenn er mit dem Cisco Client gar keine Internet Verbindung bekommt.
Beim Windwos 2003 Server war Update deaktiviert, daran lag es nicht. Danach habe ich nochmal einmal probiert mit alle Updates einspielen, aber auch das hat nichts gebracht.
Cisco Client deinstalliert und neu installiert auch ohne Erfolg. Er bringt immer die Meldung "Connection attempt has timed out. Please verify Internet connectivity"

Da eine Verbindung von einem anderen Rechner ohne Probleme funktioniert, kann ich nicht die Schuld bei der Gegenstelle suchen. Aber es kann doch nicht angehen, das nur weil
w2003 eingestellt ist, das es auf einmal nicht funktioniert. Auch weil ich ein Update ausschließen kann. Die VPN Adresse kann ich vom Windows 2003 server anpingen. Im IE Browser aber
auch nicht anzeigen lassen (Seite nicht gefunden). Mozilla funktioniert.

Kann mir jemand helfen, was ich hier noch probieren kann. Es ist auch schwierig, weil die Logs im Cisco Client ja auch nicht sehr aussagekräftig sind.
Für Hilfe wäre ich dankbar.

Content-ID: 393084

Url: https://administrator.de/forum/cisco-annyconnect-secure-mobility-client-windows2003-server-unable-to-connect-393084.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

tikayevent
tikayevent 17.11.2018 um 12:33:15 Uhr
Goto Top
Wurde die Gegenseite (ASA bzw. ISR) eventuell aktualisiert oder umkonfiguriert, so dass jetzt Verschlüsselungs- oder Hashalgorithmen verwendet werden, die Server 2003 nicht beherrscht?

Anyconnect unterstützt offiziell auch keine Serverversion von Windows.
aqui
aqui 17.11.2018 aktualisiert um 12:59:32 Uhr
Goto Top
Es ist auch schwierig, weil die Logs im Cisco Client ja auch nicht sehr aussagekräftig sind.
Ohne die kommen wir aber nicht weiter ! face-sad
Mit der recht oberflächlichen Beschreibung ist es ohne Log Auszug unmöglich eine zielführende Hilfe zu geben. Das gilt für BEIDE Logs.
Einmal brauchen wir die vom Client und einmal brauchen wir die vom VPN Server was vermutlich ein Cisco Router oder eine Firewall ist. Ansonsten können wir nur mit Hilfe der Kristallkugel frei raten. Leuchtet dir sicher auch ein.
Mal abgesehen davon das Anyconnect, wie oben schon gesagt, offiziell nicht supportet ist auf Server OS von MS.
Suchen solltest du auch im Firewall Log des servers. Der virtuelle VPN Adapter hat möglicherweise ein öffentliches Firewall profil im Server so das alle Daten geblockt werden.
Sehr hilfreich wäre auch mal den IPsec Debugger am VPN Server (Cisco ASA oder ISR) laufen zu lassen um die eingehende Session vom MS Server mitzuschneiden. Auch das würde hier erheblich weiterhelfen !
Nur mal so als Ansatz wo man suchen kann und sollte...
novregen
novregen 17.11.2018 um 13:00:15 Uhr
Goto Top
Bislang hieß es das keine Änderungen gemacht wurden. Ich frag es Montag nochmal nach, wenn ich bis dahin keine Lösung gefunden habe. Gibt es für den anyconnect eigentlich so eine Art Test Gegenstelle so das man mal gucken kann ob es zu einem anderen Ziel funktioniert ? Gibt es dort noch ein besseres log wo man mehr sehen kann ? Wie gesagt kommt mir ein bisschen so vor als wenn er gar nicht erst raus kommt. Also keine Internetverbindung auf der cisco Netzwerkkarte.
aqui
aqui 17.11.2018 um 13:02:26 Uhr
Goto Top
so eine Art Test Gegenstelle so das man mal gucken kann ob es zu einem anderen Ziel funktioniert ?
Ja, natürlich !
Wenn du irgendwo einen Cisco Router im Schrank liegen hast, dann dort mal einen einfachen IPsec Dialin konfigurieren und ins lokale Netz hängen und damit testen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
novregen
novregen 17.11.2018 um 13:05:00 Uhr
Goto Top
Cisco Router leider nein. =face-sad
aqui
aqui 17.11.2018 aktualisiert um 13:16:25 Uhr
Goto Top
Pjordorf
Pjordorf 17.11.2018 um 19:02:15 Uhr
Goto Top
Hallo,

Zitat von @novregen:
Wie gesagt kommt mir ein bisschen so vor als wenn er gar nicht erst raus kommt. Also keine Internetverbindung auf der cisco Netzwerkkarte.
Dann nutze deine Kraft um dein Wireshark anzuwerfenface-smile

Gruß,
Peter
tikayevent
tikayevent 17.11.2018 aktualisiert um 22:38:08 Uhr
Goto Top
Im IE Browser aber auch nicht anzeigen lassen (Seite nicht gefunden). Mozilla funktioniert.
Ist ein klares Zeichen dafür, dass irgendwas an den Zertifikaten oder der Verschlüsselung geändert wurde. Während der IE wie der AnyConnect das Kryptosubsystem von Windows nutzt, hat der Firefox sein eigenes, welches um einiges länger unterstützt wurde (nur so am Rande: Server 2003 ist bereits seit 2015 ohne Support).

Pack den AnyConnect testweise auf ein anderes und aktuelleres System (Windows 7 oder Windows 10) und du wirst sehen, dass es geht.
novregen
novregen 18.11.2018 um 20:54:14 Uhr
Goto Top
Hi ja du hast recht auf einen neueren System funktioniert es. Ich weiss auch das 2003 schon länger ohne Support ist, jedoch läuft da eine Software die bislang nicht auf neueres System geupdatet werden konnte.
Gibt es Möglichkeiten es auch mit dem Windows 2003 Server hinzubekommen ?
tikayevent
tikayevent 18.11.2018 um 21:06:06 Uhr
Goto Top
Die Gegenseite muss Zertifikate einspielen und Verschlüsselungen einstellen, die seit Jahren als unsicher gelten und von den heutigen Systemen aktiv abgelehnt werden.
novregen
novregen 18.11.2018 um 21:17:25 Uhr
Goto Top
ok und für den windows 2003 server ist kein update in der Hinsicht möglich oder ? Gibt es dafür vielleicht ein gezieltes Update ?
aqui
aqui 19.11.2018 um 11:17:14 Uhr
Goto Top
Warum siehst du nicht im Update Portal von Cisco mal selber nach ?! Da steht doch alles !
https://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobilit ...
novregen
novregen 20.11.2018 um 12:21:27 Uhr
Goto Top
Die dort erwähnte Version 3.x habe ich installiert, jedoch kein Erfolg.

Kann mir vielleicht jemand sagen, ob man den Cisco Mobility Client auch irgendwie anders abbilden kann,
als eine Art virtuellen Router vor der eigentlichen Maschine ?
aqui
aqui 20.11.2018 aktualisiert um 13:06:41 Uhr
Goto Top
Wie bitte kommst du auf die Version 3.x ???
Die Version die dort aufgeführt sind, sind allesamt 4er Versionen !!
Die aktuellste ist die 4.6.03049 vom 20.Sept. 2018 also relativ aktuell ! Die 3er Version ist uralt und gar nicht mehr supportet !!
https://software.cisco.com/download/home/286281283/type/282364313/releas ...

Das ist ein simpler VPN Client wie Shrew, Greenbow usw. und hat nix mit Routern usw. zu tun.
Was genau meinst du also mit "eine Art virtuellen Router vor der eigentlichen Maschine" ??
novregen
novregen 20.11.2018 um 13:15:27 Uhr
Goto Top
Version 3.x wurde dort im Blog empfohlen für xp, vista etc..
4.6. funktioniert auch nicht.

Was genau meinst du also mit "eine Art virtuellen Router vor der eigentlichen Maschine" ??
Ob man einen Cisco VPN Client in VMware auch irgendwie anders darstellen kann, vor der Maschine,
oder eine vm auf dem der VPN Läuft und das ganze dann auch dem Windows 2003 Server bereitstellen.
aqui
aqui 20.11.2018 aktualisiert um 13:27:07 Uhr
Goto Top
uch irgendwie anders darstellen kann, vor der Maschine,
Ja klar...einfach einen anderen VPN Client nehmen der Xauth kann wie z.B. den freien Shrew.
https://www.shrew.net/support/Howto_Cisco_Asa
https://www.shrew.net/support/Howto_Cisco_Pix
Oder die VPN Bordmittel des OS.
novregen
novregen 20.11.2018 um 15:01:35 Uhr
Goto Top
aqui vielen dank.

Ich meine ob es vielleicht auch etwas im Bereich VM Ware gibt, was ich dann der Maschine zuweisen kann.
Oder kann man den VPN von einem windows 7 rechner herstellen lassen und dann in vm ware "weitergeben" ?
aqui
aqui 20.11.2018 um 15:48:59 Uhr
Goto Top
Auf dem nackten VmWare Hypervisor oder was meinst du ??
Eher wohl nicht, denn darauf rennt ja niemals irgendwelche ausführbare Software die zwingend ein Betriebssystem benötigt. Wie sollte sowas gehen...unmöglich und weisst du ja sicher auch selber wenn du mal in dich gehst !
Oder kann man den VPN von einem windows 7 rechner herstellen lassen
Ja, so ein Weg wäre denkbar.
Dafür sowas Gruseliges (und auch gefährliches) wie Winblows zu nehmen wäre völlig unnötig um es mal gelinge zu sagen. Kann man machen, muss man aber nicht.
Hier kannst du besser ein schlankes Linux ohne GUI nehmen mit Strongswan oder IKE, was völlig ausreicht.
Noch sinniger wäre eine VM mit einer kleinen, kostenfreien Firewall wie z.B. der pfSense:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bei letzterem hast du alles fix und fertig mit KlickiBunti GUI sofern du Angst für der Linux CLI hast ?!
novregen
novregen 18.12.2018 um 09:52:34 Uhr
Goto Top
Hallo aqui,

ok pfsense als kleine freebds64 auf vm ware anlegen hat geklappt, wobei ich bislang nur eine Netzwerkkarte des Produktivnetzes eingerichtet haben.
Da ich beim bisherigen cisco anyconnect secure mobility client nur die ip adresse + username und pw habe, weiß ich nicht genau, wie ich weiter vorgehen muss. Einen OpenVPN Client anlegen ?

Es soll ja ein VPN aufgebaut werden und dann einer anderen VM Maschine zur Verfügung gestellt werden.
aqui
aqui 18.12.2018 um 12:15:15 Uhr
Goto Top
Wie willst du denn die VM Maschine koppeln ? Direkt, also quasi das sie aktiv das VPN zu pfSense aufbaut ?
Wenn ja hast du ja mehrere Möglichkeiten.
  • Mit IPsec als VPN Protokoll, das geht dann mit Bordmitteln der VM wenn diese Linux oder Winblows ist
  • Mit OpenVPN, dann musst du auf der VM die sich verbinden soll aber noch einen OVPN Client installieren.
Beides geht und führt zum Ziel. DU musst dich nur für ein VPN Protokoll deiner Wahl entscheiden face-wink
Es soll ja ein VPN aufgebaut werden und dann einer anderen VM Maschine zur Verfügung gestellt werden.
Was meinst du damit genau ? Eine LAN zu LAN Kopplung, oder ??
Also das 2 IP Netzwerke miteinander gekoppelt werden.
Wie bereits gesagt...geht mit IPsec oder auch OVPN problemlos.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
novregen
novregen 18.12.2018 um 13:24:59 Uhr
Goto Top
Ich habe pfsense direkt als FreeBSD als VM installiert. Ich hatte gedacht von dort wird die VPN Verbindung aufgebaut als LAN to LAN und dann an die VM Maschine weitergegeben die es benötigt. Der Vorteil soll ja der sein das auf der Maschine kein Client mehr drauf sein muss und auch mal schnell einer anderen Maschine diesen VPN Tunnel geben könnte. Aber da kenne ich mich nicht aus.

Ich habe allerdings schon Probleme überhaupt eine VPN Verbindung mit pfsense hinzubekommen. Da ich wie gesagt, bei der Cisco Anyconnect nur die Server IP user und pw habe, keine weiteren Angaben über Verschlüsselung und Authentification.

Ich habe auch schon mehrere Einträge im Netz gefunden, das Cisco AnyConnect Client Verbindung nicht zu ersetzen ist.
Hier gab es noch ein Link das es mit AnyConnect geht, aber bei mir findet er anyconnect im Zuge des Install Befehles nicht.

https://blog.dhampir.no/content/pfsense-as-a-cisco-anyconnect-vpn-client ...
aqui
aqui 18.12.2018 aktualisiert um 13:33:20 Uhr
Goto Top
Der Vorteil soll ja der sein das auf der Maschine kein Client mehr drauf sein muss
Ja, das ist natürlich auch so bei einer VPN LAN to LAN Kopplung !
Ich habe allerdings schon Probleme überhaupt eine VPN Verbindung mit pfsense hinzubekommen.
Ooops...wie kommt das ?? Ist doch eigentlich ganz einfach....
Woran scheitert es denn genau ??
Was sagt das VPN Log der pfSense ??
nur die Server IP user und pw habe
Mehr benötigt man für ein VPN auch nicht wenn man mit preshared Keys arbeitet. Den Rest handeln beide Seiten automatisch und dynmaisch aus unter sich. face-wink
das Cisco AnyConnect Client Verbindung nicht zu ersetzen ist.
Das stimmt ! Das ist Cisco proprietär und funktioniert nur mit Cisco HW. Ein Schelm wer Böses dabei denkt... face-wink
Der normale Cisco VPN Client ist aber ein stinknormaler Standard IPsec Client der mit jeder IPsec VPN Hardware zusammenspielt. Ist ja z.B. auch per default in jedem iPhone, iPad und Apple Mac drin face-wink

Ist denn dein Cisco AnyConnect Client gesetzt und in Stein gemeisselt ?? Dann hast du natürlich schlechte Karten.
Wenn du aber selber eigene Komponenten für eine LAN zu LAN VPN Kopplung benutzt, dann brauchst du das ja nicht mehr.
Was soll bzw. kannst du denn benutzen auf beiden Tunnelseiten bzw. was ist vorgegeben ?
novregen
novregen 18.12.2018 um 13:59:39 Uhr
Goto Top
Auf meiner Seite (also Client) habe ich bislang Cisco Anyconect benutzt auf der Gegenseite wird es ein Cisco Router sein. Die Gegenseite kann ich nicht beeinflussen, naja und wenn dieser Cisco Router auch nur Cisco AnyConnect akzeptiert, dann wohl halt beide Seiten nicht...

Beim pfsense habe ich über openvpn und ipsec probiert aber beides ohne Erfolg.

Bei IPSec kommt folgende Meldung im pfsense
Dec 18 13:54:58 charon 12[CFG] vici client 7 connected
Dec 18 13:54:58 charon 10[CFG] vici client 7 registered for: list-sa
Dec 18 13:54:58 charon 10[CFG] vici client 7 requests: list-sas
Dec 18 13:54:58 charon 13[CFG] vici client 7 disconnected
aqui
aqui 18.12.2018 aktualisiert um 14:10:18 Uhr
Goto Top
Beim pfsense habe ich über openvpn
Und da hast du dich genau an DIESES_Tutorial gehalten ??
Damit kann man eigentlich auch als Laie nicht mehr viel falsch machen !!
OpenVPN ist da ein Selbstgänger.

Gut, die IPsec Fehlermeldung verrät das etwas in der Phase 2 mit den SA Credentials nicht stimmt. Hier hast du einen IP Adress Mismatch des remoten und lokalen Netzes und/oder einen Fehler im Identifier oder PSK Key.
Dazu müsste man aber mal deine IPsec Konfig kennen..
  • a. auf der pfSense Seite und...
  • b. wie und mit was du auf die pfSense zugreifst und dessen Konfig
Ansonsten können wir natürlich auch nur im freien Fall raten...

Vielleicht bleibst du doch bei OVPN, das ist etwas einfacher zu troubleshooten.
Aber auch da brauchen wir die Konfig der beiden Seiten und den Log Auszug sofern es Probleme damit gibt.
Eins ist dir aber vermutlich klar (hoffentlich ?!):
Du kannst das VPN entweder nur mit IPsec oder nur mit OVPN aufbauen. Du kannst natürlich niemals mit OVPN auf einem IPsec VPN zugreifen und umgekehrt.
Das wäre so als wenn man versucht eine zöllige Schraube in eine metrische Mutter zu schrauben... oder einen Diesel mit Brennspiritus zu betreiben.
novregen
novregen 18.12.2018 um 14:19:02 Uhr
Goto Top
Ja, du hast recht, ich brauche erstmal mehr infos von der Gegenseite (die ich nicht beeinflussen kann)
aqui
aqui 18.12.2018 um 15:28:35 Uhr
Goto Top
Ja, das ist essentiell wichtig. Wie immer bei einem VPN.
Du musst genau wissen welche VPN Parameter die Gegenstelle erwartet und mit welchem Protokoll sie arbeitet.
Ohne das gehts natürlich nicht !