Cisco ASA - VPN SSL anyconnect client troubleshoot

Soumis par francois ropert le jeu, 03/06/2008 - 23:24.

Voici des astuces pour troubleshooter le client AnyConnect sur ton Windows :

Problèmes lors de l'installation

XP/Windows 2000: \Windows\setupapi.log
Vista: \Windows\Inf\setupapi.app.log et \Windows\Inf\setupapi.dev.log

Log de l'installeur MSI

XP/Windows 2000: \Documents and Settings\<username>\Local Settings\Temp\
Vista: \Users\<username>\AppData\Local\Temp

Log dans le cas d'une mise à jour du client

\Windows\Temp : anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log (x = version du client / y = date et heure de l'installation de la mise à jour)

Information système du PC

Windows XP/2000: winmsd /nfo c:\system_info.nfo
Vista: msinfo32 /nfo c:\system_info.nfo

Problème d'établissement de connexion

1/ Vérifiez la config de l'ASA
2/ Regarder les logs de l'ASA (mot clés des events: ssl, webvpn, svc, auth)
3/ Depuis la console sur l'ASA, entrez les commandes suivantes:

config terminal
logging enable
logging timestamp
logging class auth console debugging
logging class webvpn console debugging
logging class ssl console debugging
logging class svc console debugging

4/ Depuis votre poste de travail, démarrer la connexion VPN et récoltez les logs sur la console
5/ no logging enable sur la console
6/ Regardez les logs dans le journal d'événements Windows: eventvwr.msc /s

Vous êtes connecté mais aucun trafic ne passe

show vpn-sessiondb detail svc filter name <username>
Si dans Filter Name, vous avez XXX, alors faites aussi un show access-list XXX.

Sur le client VPN de votre poste de travail: AnyConnect VPN Client | Statistics | Details | Export (AnyConnect-ExportedStats.txt)

Vérifier vos règles de NAT si celui-ci est activé. le trafic retour vers le client VPN doit être exempté:

access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out

Crash du client VPN

Avant de faire crasher le client .. lancez drwtsn32.exe (Dr Watson) et configurer le comme suit:

Number of Instructions  : 25
Number of Errors To Save  : 25
Crash Dump Type  : Mini Dump
Symbol Table  : Checked
Dump All Thread Contexts  : Checked
Append To Existing Log File : Checked
Visual Notification  : Checked
Create Crash Dump File  : Checked

Quand le client crash, récupérez les logs (.log et .dmp) depuis C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson

Regardez les logs dans le journal d'événements (partie AnyConnect): eventvwr.msc /s

 

‹ Cisco ASA - VPN SSL - Deconnecter ( " clearer " ) les sessions VPN SSL établieshautCisco ASA - VPN SSL barre flottante ›

... et un peut de pub pour payer l'hébergement ;)