Cisco Annyconnect Secure Mobility Client - Windows2003 Server unable to connect
Von einem Windows 2003 Server soll eine Verbindung über Cisco Anyconnect Mobility Client zu einer Gegenstelle aufgebaut werden.
Die Gegenstelle hat jetzt wohl die Hardware geändert, seit dem funktioniert die Einwahl von dem Windows2003Server nicht mehr.
Von einem anderen Rechner Windows7 funktioniert alles.
Beim Windows 2003 Server sieht es so aus, als wenn er mit dem Cisco Client gar keine Internet Verbindung bekommt.
Beim Windwos 2003 Server war Update deaktiviert, daran lag es nicht. Danach habe ich nochmal einmal probiert mit alle Updates einspielen, aber auch das hat nichts gebracht.
Cisco Client deinstalliert und neu installiert auch ohne Erfolg. Er bringt immer die Meldung "Connection attempt has timed out. Please verify Internet connectivity"
Da eine Verbindung von einem anderen Rechner ohne Probleme funktioniert, kann ich nicht die Schuld bei der Gegenstelle suchen. Aber es kann doch nicht angehen, das nur weil
w2003 eingestellt ist, das es auf einmal nicht funktioniert. Auch weil ich ein Update ausschließen kann. Die VPN Adresse kann ich vom Windows 2003 server anpingen. Im IE Browser aber
auch nicht anzeigen lassen (Seite nicht gefunden). Mozilla funktioniert.
Kann mir jemand helfen, was ich hier noch probieren kann. Es ist auch schwierig, weil die Logs im Cisco Client ja auch nicht sehr aussagekräftig sind.
Für Hilfe wäre ich dankbar.
Die Gegenstelle hat jetzt wohl die Hardware geändert, seit dem funktioniert die Einwahl von dem Windows2003Server nicht mehr.
Von einem anderen Rechner Windows7 funktioniert alles.
Beim Windows 2003 Server sieht es so aus, als wenn er mit dem Cisco Client gar keine Internet Verbindung bekommt.
Beim Windwos 2003 Server war Update deaktiviert, daran lag es nicht. Danach habe ich nochmal einmal probiert mit alle Updates einspielen, aber auch das hat nichts gebracht.
Cisco Client deinstalliert und neu installiert auch ohne Erfolg. Er bringt immer die Meldung "Connection attempt has timed out. Please verify Internet connectivity"
Da eine Verbindung von einem anderen Rechner ohne Probleme funktioniert, kann ich nicht die Schuld bei der Gegenstelle suchen. Aber es kann doch nicht angehen, das nur weil
w2003 eingestellt ist, das es auf einmal nicht funktioniert. Auch weil ich ein Update ausschließen kann. Die VPN Adresse kann ich vom Windows 2003 server anpingen. Im IE Browser aber
auch nicht anzeigen lassen (Seite nicht gefunden). Mozilla funktioniert.
Kann mir jemand helfen, was ich hier noch probieren kann. Es ist auch schwierig, weil die Logs im Cisco Client ja auch nicht sehr aussagekräftig sind.
Für Hilfe wäre ich dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393084
Url: https://administrator.de/forum/cisco-annyconnect-secure-mobility-client-windows2003-server-unable-to-connect-393084.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
26 Kommentare
Neuester Kommentar
Es ist auch schwierig, weil die Logs im Cisco Client ja auch nicht sehr aussagekräftig sind.
Ohne die kommen wir aber nicht weiter ! Mit der recht oberflächlichen Beschreibung ist es ohne Log Auszug unmöglich eine zielführende Hilfe zu geben. Das gilt für BEIDE Logs.
Einmal brauchen wir die vom Client und einmal brauchen wir die vom VPN Server was vermutlich ein Cisco Router oder eine Firewall ist. Ansonsten können wir nur mit Hilfe der Kristallkugel frei raten. Leuchtet dir sicher auch ein.
Mal abgesehen davon das Anyconnect, wie oben schon gesagt, offiziell nicht supportet ist auf Server OS von MS.
Suchen solltest du auch im Firewall Log des servers. Der virtuelle VPN Adapter hat möglicherweise ein öffentliches Firewall profil im Server so das alle Daten geblockt werden.
Sehr hilfreich wäre auch mal den IPsec Debugger am VPN Server (Cisco ASA oder ISR) laufen zu lassen um die eingehende Session vom MS Server mitzuschneiden. Auch das würde hier erheblich weiterhelfen !
Nur mal so als Ansatz wo man suchen kann und sollte...
so eine Art Test Gegenstelle so das man mal gucken kann ob es zu einem anderen Ziel funktioniert ?
Ja, natürlich !Wenn du irgendwo einen Cisco Router im Schrank liegen hast, dann dort mal einen einfachen IPsec Dialin konfigurieren und ins lokale Netz hängen und damit testen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Bei eBay einen Gebrauchten billig ersteigern mit dem es geht....
https://www.ebay.de/itm/Cisco-Systems-831-ROUTER-10-100MBPS-4-PORTS-ROUT ...
oder
https://www.ebay.de/itm/Cisco-886-VA-Router-USED/352497651000?hash=item5 ...
Zu letzterem siehe auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
https://www.ebay.de/itm/Cisco-Systems-831-ROUTER-10-100MBPS-4-PORTS-ROUT ...
oder
https://www.ebay.de/itm/Cisco-886-VA-Router-USED/352497651000?hash=item5 ...
Zu letzterem siehe auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Hallo,
Gruß,
Peter
Zitat von @novregen:
Wie gesagt kommt mir ein bisschen so vor als wenn er gar nicht erst raus kommt. Also keine Internetverbindung auf der cisco Netzwerkkarte.
Dann nutze deine Kraft um dein Wireshark anzuwerfenWie gesagt kommt mir ein bisschen so vor als wenn er gar nicht erst raus kommt. Also keine Internetverbindung auf der cisco Netzwerkkarte.
Gruß,
Peter
Im IE Browser aber auch nicht anzeigen lassen (Seite nicht gefunden). Mozilla funktioniert.
Ist ein klares Zeichen dafür, dass irgendwas an den Zertifikaten oder der Verschlüsselung geändert wurde. Während der IE wie der AnyConnect das Kryptosubsystem von Windows nutzt, hat der Firefox sein eigenes, welches um einiges länger unterstützt wurde (nur so am Rande: Server 2003 ist bereits seit 2015 ohne Support).Pack den AnyConnect testweise auf ein anderes und aktuelleres System (Windows 7 oder Windows 10) und du wirst sehen, dass es geht.
Warum siehst du nicht im Update Portal von Cisco mal selber nach ?! Da steht doch alles !
https://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobilit ...
https://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobilit ...
Wie bitte kommst du auf die Version 3.x ???
Die Version die dort aufgeführt sind, sind allesamt 4er Versionen !!
Die aktuellste ist die 4.6.03049 vom 20.Sept. 2018 also relativ aktuell ! Die 3er Version ist uralt und gar nicht mehr supportet !!
https://software.cisco.com/download/home/286281283/type/282364313/releas ...
Das ist ein simpler VPN Client wie Shrew, Greenbow usw. und hat nix mit Routern usw. zu tun.
Was genau meinst du also mit "eine Art virtuellen Router vor der eigentlichen Maschine" ??
Die Version die dort aufgeführt sind, sind allesamt 4er Versionen !!
Die aktuellste ist die 4.6.03049 vom 20.Sept. 2018 also relativ aktuell ! Die 3er Version ist uralt und gar nicht mehr supportet !!
https://software.cisco.com/download/home/286281283/type/282364313/releas ...
Das ist ein simpler VPN Client wie Shrew, Greenbow usw. und hat nix mit Routern usw. zu tun.
Was genau meinst du also mit "eine Art virtuellen Router vor der eigentlichen Maschine" ??
uch irgendwie anders darstellen kann, vor der Maschine,
Ja klar...einfach einen anderen VPN Client nehmen der Xauth kann wie z.B. den freien Shrew.https://www.shrew.net/support/Howto_Cisco_Asa
https://www.shrew.net/support/Howto_Cisco_Pix
Oder die VPN Bordmittel des OS.
Auf dem nackten VmWare Hypervisor oder was meinst du ??
Eher wohl nicht, denn darauf rennt ja niemals irgendwelche ausführbare Software die zwingend ein Betriebssystem benötigt. Wie sollte sowas gehen...unmöglich und weisst du ja sicher auch selber wenn du mal in dich gehst !
Dafür sowas Gruseliges (und auch gefährliches) wie Winblows zu nehmen wäre völlig unnötig um es mal gelinge zu sagen. Kann man machen, muss man aber nicht.
Hier kannst du besser ein schlankes Linux ohne GUI nehmen mit Strongswan oder IKE, was völlig ausreicht.
Noch sinniger wäre eine VM mit einer kleinen, kostenfreien Firewall wie z.B. der pfSense:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bei letzterem hast du alles fix und fertig mit KlickiBunti GUI sofern du Angst für der Linux CLI hast ?!
Eher wohl nicht, denn darauf rennt ja niemals irgendwelche ausführbare Software die zwingend ein Betriebssystem benötigt. Wie sollte sowas gehen...unmöglich und weisst du ja sicher auch selber wenn du mal in dich gehst !
Oder kann man den VPN von einem windows 7 rechner herstellen lassen
Ja, so ein Weg wäre denkbar.Dafür sowas Gruseliges (und auch gefährliches) wie Winblows zu nehmen wäre völlig unnötig um es mal gelinge zu sagen. Kann man machen, muss man aber nicht.
Hier kannst du besser ein schlankes Linux ohne GUI nehmen mit Strongswan oder IKE, was völlig ausreicht.
Noch sinniger wäre eine VM mit einer kleinen, kostenfreien Firewall wie z.B. der pfSense:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bei letzterem hast du alles fix und fertig mit KlickiBunti GUI sofern du Angst für der Linux CLI hast ?!
Wie willst du denn die VM Maschine koppeln ? Direkt, also quasi das sie aktiv das VPN zu pfSense aufbaut ?
Wenn ja hast du ja mehrere Möglichkeiten.
Also das 2 IP Netzwerke miteinander gekoppelt werden.
Wie bereits gesagt...geht mit IPsec oder auch OVPN problemlos.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn ja hast du ja mehrere Möglichkeiten.
- Mit IPsec als VPN Protokoll, das geht dann mit Bordmitteln der VM wenn diese Linux oder Winblows ist
- Mit OpenVPN, dann musst du auf der VM die sich verbinden soll aber noch einen OVPN Client installieren.
Es soll ja ein VPN aufgebaut werden und dann einer anderen VM Maschine zur Verfügung gestellt werden.
Was meinst du damit genau ? Eine LAN zu LAN Kopplung, oder ??Also das 2 IP Netzwerke miteinander gekoppelt werden.
Wie bereits gesagt...geht mit IPsec oder auch OVPN problemlos.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Der Vorteil soll ja der sein das auf der Maschine kein Client mehr drauf sein muss
Ja, das ist natürlich auch so bei einer VPN LAN to LAN Kopplung !Ich habe allerdings schon Probleme überhaupt eine VPN Verbindung mit pfsense hinzubekommen.
Ooops...wie kommt das ?? Ist doch eigentlich ganz einfach....Woran scheitert es denn genau ??
Was sagt das VPN Log der pfSense ??
nur die Server IP user und pw habe
Mehr benötigt man für ein VPN auch nicht wenn man mit preshared Keys arbeitet. Den Rest handeln beide Seiten automatisch und dynmaisch aus unter sich. das Cisco AnyConnect Client Verbindung nicht zu ersetzen ist.
Das stimmt ! Das ist Cisco proprietär und funktioniert nur mit Cisco HW. Ein Schelm wer Böses dabei denkt... Der normale Cisco VPN Client ist aber ein stinknormaler Standard IPsec Client der mit jeder IPsec VPN Hardware zusammenspielt. Ist ja z.B. auch per default in jedem iPhone, iPad und Apple Mac drin
Ist denn dein Cisco AnyConnect Client gesetzt und in Stein gemeisselt ?? Dann hast du natürlich schlechte Karten.
Wenn du aber selber eigene Komponenten für eine LAN zu LAN VPN Kopplung benutzt, dann brauchst du das ja nicht mehr.
Was soll bzw. kannst du denn benutzen auf beiden Tunnelseiten bzw. was ist vorgegeben ?
Beim pfsense habe ich über openvpn
Und da hast du dich genau an DIESES_Tutorial gehalten ??Damit kann man eigentlich auch als Laie nicht mehr viel falsch machen !!
OpenVPN ist da ein Selbstgänger.
Gut, die IPsec Fehlermeldung verrät das etwas in der Phase 2 mit den SA Credentials nicht stimmt. Hier hast du einen IP Adress Mismatch des remoten und lokalen Netzes und/oder einen Fehler im Identifier oder PSK Key.
Dazu müsste man aber mal deine IPsec Konfig kennen..
- a. auf der pfSense Seite und...
- b. wie und mit was du auf die pfSense zugreifst und dessen Konfig
Vielleicht bleibst du doch bei OVPN, das ist etwas einfacher zu troubleshooten.
Aber auch da brauchen wir die Konfig der beiden Seiten und den Log Auszug sofern es Probleme damit gibt.
Eins ist dir aber vermutlich klar (hoffentlich ?!):
Du kannst das VPN entweder nur mit IPsec oder nur mit OVPN aufbauen. Du kannst natürlich niemals mit OVPN auf einem IPsec VPN zugreifen und umgekehrt.
Das wäre so als wenn man versucht eine zöllige Schraube in eine metrische Mutter zu schrauben... oder einen Diesel mit Brennspiritus zu betreiben.