当前位置: 首页 > 网络安全 > 安全设备 > ASA防火墙
cjhcjh ASA防火墙   此文章访问量   1329

12.3 思科ASA:SSL VPN常见问题

12.3 思科ASA:SSL VPN常见问题

用户无法登录

问题

尝试登录失败后,浏览器中显示“Clientless (browser) SSL VPN access is not allowed.” (不允许无客户端(浏览器)SSL VPN 访问。)消息。如果显示“Premium AnyConnect license is not enabled on the ASA.”(ASA 上未启用高级 AnyConnect 许可证)消息,则表明 AnyConnect 高级版许可证未安装在 ASA 上或未使用。

解决方案

使用以下命令启用高级 AnyConnect 许可证:

ASA(config)# webvpn

ASA(config-webvpn)# no anyconnect-essentials

 

问题

尝试登录失败后,浏览器中显示“Login failed”(登录失败)消息。已超出 AnyConnect 许可证限制。

解决方案

在日志中查找此消息:

%ASA-4-716023: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>

Session could not be established: session limit of 2 reached.

此外,请验证您的许可证限制:

ASA(config)# show version | include Premium

AnyConnect Premium Peers          : 2              perpetual

 

问题

尝试登录失败后,浏览器中显示“AnyConnect is not enabled on the VPN server”(VPN 服务器上未启用 AnyConnect)消息。组策略中未启用无客户端 VPN 协议。

解决方案

在日志中查找此消息:

%ASA-6-716002: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>

WebVPN session terminated: Client type not supported.

确保为所需组策略启用无客户端 VPN 协议:

ASA(config)# show run all group-policy | include vpn-tunnel-protocol

vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless

无法将三个以上的 WebVPN 用户连接到 ASA

 

问题

只能将三个 WebVPN 客户端连接到 ASA。连接第四个客户端时将失败。

解决方案

在许多情况下,此问题与组策略中的一个同时登录设置有关。可以使用以下命令配置所需的同时登录数。在本例中,所需值为 20。

ASA(config)# group-policy Cisco attributes

ASA(config-group-policy)# vpn-simultaneous-logins 20

WebVPN 客户端无法点击书签且显示为灰色

 

问题

如果配置了这些书签以让用户登录到无客户端 VPN,但在“Web 应用”下的主屏幕上这些书签显示为灰色,那么如何启用这些 HTTP 链接,以便用户能够点击它们并进入特定 URL?

解决方案

首先应确保 ASA 能通过 DNS 解析网站。尝试按名称 ping 这些网站。如果 ASA 无法解析该名称,链接将变灰。如果 DNS 服务器在网络内部,请配置 DNS 域查找专用接口。

通过 WebVPN 进行 Citrix 连接

 

问题

通过 WEBVPN 进行 Citrix 连接时出现错误消息“the ica client received a corrupt ica file.” 在通过 WebVPN 进行 Citrix 连接时显示。

解决方案

如果将安全网关 模式用于通过 WebVPN 进行的 Citrix 连接,ICA 文件可能损坏。由于 ASA 与此操作模式不兼容,请在直接模式(非安全模式)下新建一个 ICA 文件。

如何避免需要对用户进行第二次身份验证

 

问题

当您访问无客户端 WebVPN 门户上的 CIFS 链接时,点击书签后系统会提示您输入凭证。轻型目录访问协议 (LDAP) 用于验证资源和用户已输入 LDAP 凭证以登录到 VPN 会话。

解决方案

在这种情况下,您可以使用自动登录功能。在正在使用的特定组策略及其 WebVPN 属性下,配置以下内容:

ASA(config)# group-policy WEBVPN_Group_Policy attributes

ASA(config-group-policy)# webvpn

ASA(config-group-webvpn)# auto-signon allow uri cifs://X.X.X.X/* auth-type all

其中X.X.X.X=CIFS服务器的IP和*=到达相关共享文件/文件夹的路径的其余部分。

下面显示了配置片段示例:

ASA(config)# group-policy ExamplePolicy attributes

ASA(config-group-policy)# webvpn

ASA(config-group-webvpn)# auto-signon allow uri

https://*.example.com/* auth-type all



思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 12.3 思科ASA:SSL VPN常见问题

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!