10
Cisco AnyConnect - Verbindung schlägt fehl
Guten Abend zusammen,
erstmal kurz zur Hardware:
- Cisco ASA 5512 mit ASA 9.3 und ASDM 7.5.2
- Internetverbindung wird mittels PPPoe (telekom) hergestellt
- statische IP ist vorhanden
- mehrere Win10 Clients sowie 2 Mac iOS Clients
folgendes Problem stellt sich seit dem Anbieterwechsel und dem Umzug:
Verbindung mit dem AnyConnect-Client klappt nur mit der Version 4.6.00362 alle frühreren oder späteren Versionen funktinieren einfach nicht mehr. Sofern ich oder unsere Mitarbeiter versuchen sich mittels der AnyConnect App zu verbinden tauch folgender Fehler auf "Die vom sicheren Gateway empfangene VPN-Konfiguration ist ungültig". Diesbezüglich wurde aber rein gar nicht geändert was mich nun doch etwas verwundert.
Versuchen wir eine Verbindung mit einer neueren oder älteren Version ausgenommen der (4.6.00362) herzustellen scheidert diese ebenfalls mit der Fehlermeldung "AnyConnect was not able to establish a connection to the specified secure gateway. Please try connect again." Den Hinweis bzgl. der Gemeinsamen Nutzung der Internetverbindung habe ich geprüft und ist deaktiviert.
Bin momentan ziemlich ratlos, zumal an der Cisco-Firewall nicht wirklich etwas geändert wurde (nur die neuen Zugangsdaten für das Internet wurden eingegeben).
Kann mir jemand einen Tipp geben wo ich ansetzen muss?
Vielen Dank und schönen Abend!
erstmal kurz zur Hardware:
- Cisco ASA 5512 mit ASA 9.3 und ASDM 7.5.2
- Internetverbindung wird mittels PPPoe (telekom) hergestellt
- statische IP ist vorhanden
- mehrere Win10 Clients sowie 2 Mac iOS Clients
folgendes Problem stellt sich seit dem Anbieterwechsel und dem Umzug:
Verbindung mit dem AnyConnect-Client klappt nur mit der Version 4.6.00362 alle frühreren oder späteren Versionen funktinieren einfach nicht mehr. Sofern ich oder unsere Mitarbeiter versuchen sich mittels der AnyConnect App zu verbinden tauch folgender Fehler auf "Die vom sicheren Gateway empfangene VPN-Konfiguration ist ungültig". Diesbezüglich wurde aber rein gar nicht geändert was mich nun doch etwas verwundert.
Versuchen wir eine Verbindung mit einer neueren oder älteren Version ausgenommen der (4.6.00362) herzustellen scheidert diese ebenfalls mit der Fehlermeldung "AnyConnect was not able to establish a connection to the specified secure gateway. Please try connect again." Den Hinweis bzgl. der Gemeinsamen Nutzung der Internetverbindung habe ich geprüft und ist deaktiviert.
Bin momentan ziemlich ratlos, zumal an der Cisco-Firewall nicht wirklich etwas geändert wurde (nur die neuen Zugangsdaten für das Internet wurden eingegeben).
Kann mir jemand einen Tipp geben wo ich ansetzen muss?
Vielen Dank und schönen Abend!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 565578
Url: https://administrator.de/contentid/565578
Printed on: April 20, 2024 at 05:04 o'clock
10 Comments
Latest comment
Hi,
zuerst solltest du die Firmware der ASA auf den aktuellen Stand bringen, 9.3 ist löchrig wie schweizer Käse und schon lange abgekündigt. v9.8.4.20 ist momentaner Stand der Dinge. Dazu auch das ASDM aktualisieren.
Zum eigentlichen Problem:
Auf der ASA (VPN-Gateway) müssen immer alle Anyconnect-Versionen hinterlegt werden, mit welchen man eine Verbindung herstellen soll/kann/darf. Anscheinend ist bei euch auf der ASA nur die 4.6.00362 hinterlegt, was, abgesehen davon, dass die v4.6 auch gefühlt schon fast volljährig ist, auch Best Practise ist.
-> Man hinterlegt grundsätzlich immer nur eine Version am Gateway damit auch clientseitig kein Wildwuchs entsteht, bzw. damit es aus administrativer Sicht auch übersichtlich bleibt.
zuerst solltest du die Firmware der ASA auf den aktuellen Stand bringen, 9.3 ist löchrig wie schweizer Käse und schon lange abgekündigt. v9.8.4.20 ist momentaner Stand der Dinge. Dazu auch das ASDM aktualisieren.
Zum eigentlichen Problem:
Auf der ASA (VPN-Gateway) müssen immer alle Anyconnect-Versionen hinterlegt werden, mit welchen man eine Verbindung herstellen soll/kann/darf. Anscheinend ist bei euch auf der ASA nur die 4.6.00362 hinterlegt, was, abgesehen davon, dass die v4.6 auch gefühlt schon fast volljährig ist, auch Best Practise ist.
-> Man hinterlegt grundsätzlich immer nur eine Version am Gateway damit auch clientseitig kein Wildwuchs entsteht, bzw. damit es aus administrativer Sicht auch übersichtlich bleibt.
zumal an der Cisco-Firewall nicht wirklich etwas geändert wurde
Das "nicht wirklich" ist hier dann wohl ausschlaggebend 
Hey,
danke für die schnelle Antwort doch so spät am Abend noch ;)
Ich werde mir das ganze morgen nochmal anschauen bezüglich der Updates... bist du dir sicher das ich die noch einspielen kann also in der Version? Ich hatte mal was davon gehört das es nur bis zu Version x.x geht. Die ADSM hatte ich nämlich schon einmal versucht zu Updaten auf ne neuere Version und das klappte nicht „wird nicht mehr unterstützt“.
Okay dann würde das schon ein wenig Sinn ergeben warum die verschiedenen Versionen nicht funktionieren.
Jetzt aber mal ganz bescheiden gefragt, wie löse ich das ganze den mir der AnyConnect App weil die kann ich meines Wissens nicht hinterlegen.
Ich will es nicht ausschließen, aber ich bin mir sicher nur die Zugangsdaten geändert zu haben, daher etwas ratlos auch.
danke für die schnelle Antwort doch so spät am Abend noch ;)
Ich werde mir das ganze morgen nochmal anschauen bezüglich der Updates... bist du dir sicher das ich die noch einspielen kann also in der Version? Ich hatte mal was davon gehört das es nur bis zu Version x.x geht. Die ADSM hatte ich nämlich schon einmal versucht zu Updaten auf ne neuere Version und das klappte nicht „wird nicht mehr unterstützt“.
Okay dann würde das schon ein wenig Sinn ergeben warum die verschiedenen Versionen nicht funktionieren.
Jetzt aber mal ganz bescheiden gefragt, wie löse ich das ganze den mir der AnyConnect App weil die kann ich meines Wissens nicht hinterlegen.
Ich will es nicht ausschließen, aber ich bin mir sicher nur die Zugangsdaten geändert zu haben, daher etwas ratlos auch.
Hallo,
Schon immer oder erst seitdem es nicht mehr geht(Anbieterwechsel)?
Gruß,
Peter
Schon immer oder erst seitdem es nicht mehr geht(Anbieterwechsel)?
- statische IP ist vorhanden
WAN oder LAN?folgendes Problem stellt sich seit dem Anbieterwechsel und dem Umzug:
Hat sich nur dein Anbieter und dein Standort verändert?"Die vom sicheren Gateway empfangene VPN-Konfiguration ist ungültig". Diesbezüglich wurde aber rein gar nicht geändert was mich nun doch etwas verwundert.
Ausser deinen Anbieter und dein Standort...Kann mir jemand einen Tipp geben wo ich ansetzen muss?
Kommen denn die Anfragen an deine ASA 5512 an?Gruß,
Peter
Bzgl. hinterlegtem Anyconnect Client kannst du dir im ASDM folgendes anschauen:
1) Direkt im Dashboard oben in der Leiste Tools -> Filemanagement und schauen, welche Anyconnect Images grundsätzlich auf disk0 hinterlegt sind
2) Wichtiger: Configuration -> Remote Access VPN -> Anyconnect Client Software. Was hier hinterlegt ist, darf sich verbinden.
1) Direkt im Dashboard oben in der Leiste Tools -> Filemanagement und schauen, welche Anyconnect Images grundsätzlich auf disk0 hinterlegt sind
2) Wichtiger: Configuration -> Remote Access VPN -> Anyconnect Client Software. Was hier hinterlegt ist, darf sich verbinden.
Zitat von @Dr..Dolittle:
Ich werde mir das ganze morgen nochmal anschauen bezüglich der Updates... bist du dir sicher das ich die noch einspielen kann also in der Version? Ich hatte mal was davon gehört das es nur bis zu Version x.x geht. Die ADSM hatte ich nämlich schon einmal versucht zu Updaten auf ne neuere Version und das klappte nicht „wird nicht mehr unterstützt“.
Ich werde mir das ganze morgen nochmal anschauen bezüglich der Updates... bist du dir sicher das ich die noch einspielen kann also in der Version? Ich hatte mal was davon gehört das es nur bis zu Version x.x geht. Die ADSM hatte ich nämlich schon einmal versucht zu Updaten auf ne neuere Version und das klappte nicht „wird nicht mehr unterstützt“.
Das musst Du anhand der Compatibilty Matrix prüfen, nicht jede ASA kann mit jeder Firmware und ASDM Kombination und ggfs. weiteren Sensoren (SFR) installiert werden, auch an das ROMMON denken.
Zitat von @sabines:
Das musst Du anhand der Compatibilty Matrix prüfen, nicht jede ASA kann mit jeder Firmware und ASDM Kombination und ggfs. weiteren Sensoren (SFR) installiert werden, auch an das ROMMON denken.
Das musst Du anhand der Compatibilty Matrix prüfen, nicht jede ASA kann mit jeder Firmware und ASDM Kombination und ggfs. weiteren Sensoren (SFR) installiert werden, auch an das ROMMON denken.
Das habe ich gestern Abend noch gemacht und auf die neuste Version komme ich definitiv nicht mehr, Update ist aber gemacht ;)
Zitat von @chgorges:
Bzgl. hinterlegtem Anyconnect Client kannst du dir im ASDM folgendes anschauen:
1) Direkt im Dashboard oben in der Leiste Tools -> Filemanagement und schauen, welche Anyconnect Images grundsätzlich auf disk0 hinterlegt sind
2) Wichtiger: Configuration -> Remote Access VPN -> Anyconnect Client Software. Was hier hinterlegt ist, darf sich verbinden.
Bzgl. hinterlegtem Anyconnect Client kannst du dir im ASDM folgendes anschauen:
1) Direkt im Dashboard oben in der Leiste Tools -> Filemanagement und schauen, welche Anyconnect Images grundsätzlich auf disk0 hinterlegt sind
2) Wichtiger: Configuration -> Remote Access VPN -> Anyconnect Client Software. Was hier hinterlegt ist, darf sich verbinden.
Danke für den Hinweis, habe ich soeben geprüft.
Das merkwürdige ist die Version 4.6.... war als Image nicht hinterlegt dennoch konnte ohne Probleme eine Verbindung wie oben beschrieben hergestellt werden. Als Versuch habe ich dann einmal die aktuelle Version als Image hinterlegt und an einem neuen Client die Installation durchgeführt auch dort klappt es nicht es kommt wieder "AnyConnect was not able to establish a connection to the specified secure gateway. Please try connect again." Versuche ich mich dann wieder mit der 4.6. Version zu verbinden klappt es.
Schon immer oder erst seitdem es nicht mehr geht(Anbieterwechsel)?
Erst seit dem Anbieterwechsel ist das Problem da.
- statische IP ist vorhanden
WAN oder LAN?WAN seitig.
folgendes Problem stellt sich seit dem Anbieterwechsel und dem Umzug:
Hat sich nur dein Anbieter und dein Standort verändert?Beides wir waren vorher in Hamburg als Anbieter war es "KabelDeutschland" und sind nun nach Hannover umgezogen und dort haben wir bei bereits genannt einen Telekom Business Tarif mit statischer IP.
"Die vom sicheren Gateway empfangene VPN-Konfiguration ist ungültig". Diesbezüglich wurde aber rein gar nicht geändert was mich nun doch etwas verwundert.
Ausser deinen Anbieter und dein Standort...genau außer Standort und Anbieter nicht geändert, lediglich die Zugangsdaten.
Kann mir jemand einen Tipp geben wo ich ansetzen muss?
Kommen denn die Anfragen an deine ASA 5512 an?Gerade in der aktuellen Lage, machen unsere Mitarbeiter viel Homeoffice nur ohne Verbindung gestaltet sich das ganze etwas schwierig.
Hat jemanden noch eine Idee?
Gruß
Danny
Arbeitest Du mit speziellen VPN Profilen oder Hostscan?
GGfs mal einen VPN User erstellen und prüfen, ob der ohne Profil einen connect bekommt.
GGfs mal einen VPN User erstellen und prüfen, ob der ohne Profil einen connect bekommt.
habe soeben mal ein neuen VPN User erstellt, auch damit bekomme ich einfach keine Verbindung :/
Ehrlich gesagt weiß ich auch so langsam nicht mehr wo ich noch ansetzen kann um den Fehler überhaupt einzugrenzen.
Muss zugeben, dass die 5512 auch in die Jahre gekommen ist... aufgrund der Tatsache das es weder Sicherheitsupdates noch sonst etwas gibt, überlge ich nun vielleicht doch langsam mal etwas neueres anzuschaffen.
Kann jemand eine vergleichbare wie die 5512 empfehlen? Bei Cisco wollten wir dennoch bleiben, weil bis auf das aktuelle Problem hatten wir nie welche.
Dennoch wäre ich über jeden Tipp dankbar wo wir das Problem erstmal beheben können.
UPDATE:
Habe nun nochmal alles durchgeschaut, ich finde irgendwie den Fehler nicht.
Also AnyConnect nochmal neu konfiguriert aber auch damit keinen Erfolg selber Fehler egal von welchem Client.
Jemand noch eine Idee? Oder könnte bei der Einrichtung wieder einfach etwas schief gelaufen sein? Nur was, weil die 4.6.... die als Image nicht hinterlegt ist funktioniert immer. Nur ist das nicht des Mittels Lösung.
Ehrlich gesagt weiß ich auch so langsam nicht mehr wo ich noch ansetzen kann um den Fehler überhaupt einzugrenzen.
Muss zugeben, dass die 5512 auch in die Jahre gekommen ist... aufgrund der Tatsache das es weder Sicherheitsupdates noch sonst etwas gibt, überlge ich nun vielleicht doch langsam mal etwas neueres anzuschaffen.
Kann jemand eine vergleichbare wie die 5512 empfehlen? Bei Cisco wollten wir dennoch bleiben, weil bis auf das aktuelle Problem hatten wir nie welche.
Dennoch wäre ich über jeden Tipp dankbar wo wir das Problem erstmal beheben können.
UPDATE:
Habe nun nochmal alles durchgeschaut, ich finde irgendwie den Fehler nicht.
Also AnyConnect nochmal neu konfiguriert aber auch damit keinen Erfolg selber Fehler egal von welchem Client.
Jemand noch eine Idee? Oder könnte bei der Einrichtung wieder einfach etwas schief gelaufen sein? Nur was, weil die 4.6.... die als Image nicht hinterlegt ist funktioniert immer. Nur ist das nicht des Mittels Lösung.
Zitat von @Dr..Dolittle:
Kann jemand eine vergleichbare wie die 5512 empfehlen? Bei Cisco wollten wir dennoch bleiben, weil bis auf das aktuelle Problem hatten wir nie welche.
Kann jemand eine vergleichbare wie die 5512 empfehlen? Bei Cisco wollten wir dennoch bleiben, weil bis auf das aktuelle Problem hatten wir nie welche.
Hierzu würde ich mit einem Cisco Partner die Anfoderungen durchgehen und ggfs. ein komplett neues Konzept/Design in Richtung Mehrstufigkeit und auch Redundanz aufbauen.
Hast Du da ein Firepower Modul laufen? Auch das würde ich nicht mehr auf der FW laufen lassen, sondern auf einer VM auf einem dedizierten Host. Also alles Themen für einen Partner
So vielen Dank an alle für etwaige Lösungsansätze, leider war keiner dabei sodass uns nichts anderes übrig blieb einen Fachmann der sich halt besser als unsere Administration damit auskennt zu beauftragen.
Dabei kam dann raus, das die ASA wohl einen weg hat. Es wurde alles nochmal neu eingerichtet, auch dort klappte eine Verbindung nur sporadisch und das war nicht tragbar für uns.
Daher haben wir uns eine neue zugelegt und siehe da, es klappt alles so wie es soll und das von Anhieb.
Ich möchte trotzdem Danke sagen 😉
Dabei kam dann raus, das die ASA wohl einen weg hat. Es wurde alles nochmal neu eingerichtet, auch dort klappte eine Verbindung nur sporadisch und das war nicht tragbar für uns.
Daher haben wir uns eine neue zugelegt und siehe da, es klappt alles so wie es soll und das von Anhieb.
Ich möchte trotzdem Danke sagen 😉
