. TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | Cisco TAC에서 Security분야 중에서 ASA VPN Case를 진행하다 보면 VPN의 종류에 따라 동작하는 방식이 상 이하고, 기능이 다르기 때문에 VPN의 종류와 사용하는 기능에 따라 Troubleshooting도 달라져야 합니다. 따라서 이번 호에서는 각 VPN을 종류별로 간단한 troubleshooting flow chart를 만들어 보았습니다. 물론 앞에서 말씀 드린 것과 같이 여러 가지의 기능에 의해 복합적으로 문제가 발생하는 것은 맞지만, 각 VPN을 종류별로 간단한 troubleshooting flow chart를 이용한다면 쉽게 문제를 해결할 수 있다는 생각이 듭 니다. 또한 그 상황에서 발생하는 log message의 예제를 몇 가지 추가하여 이해를 돕도록 구성 하였습니다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 1 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 1 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 이 문서는 ASA를 통해 사용될 수 있는 VPN의 종류별 Troubleshooting을 위한 flow chart 및 Troubleshooting 시 발생하는 log message를 소개 하고 있습니다. 1. Site-to-Site VPN 기능의 troubleshooting flow chart & syslog message 2. Cisco Easy VPN 기능의 flow chart & syslog message 3. Clientless SSL VPN 기능의 troubleshooting flow chart & syslog message 4. Cisco AnyConnect VPN 기능의 troubleshooting flow chart & syslog message All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 2 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 1번째 Chapter에서는 IPSec LAN-to-LAN에 관련된 내용 입니다. LAN-to-LAN VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 합니다. Step1: ISAKMP (IKE Phase1) policy 설정 및 동작 확인 (1단계 터널) Step2: IPsec (IKE Phase2) policy 설정 및 동작 확인 (2단계 터널) Step3: ‘암호화(encryption)’를 하지 않은 상태에서 네트워크가 정상 동작되는지 확인 Step4: (옵션) ACL과 access group을 이용하여 암호화 혹은 bypass 시킬 Packet에 대한 정의 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 3 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 문제 해결을 위해서는 간단한 구성도, 각 장비의 정보 및 troubleshooting을 Step 별로 할 수 있는 Flow Chart 그리고 마지막으로 관련된 명령어를 숙지하고 있어야 각 단계에 대한 확인이 가능하게 됩니다. 일반적으로 LAN-to-LAN VPN 문제 해결은 앞 슬라이드에서 Step에 따라 차근차근 확인하시고, 관련된 명령어로는 아래와 같습니다. -Ping, traceroute 유틸리티 -ASDM log view -CLI 명령어 show logging show route show crypto isakmp sa show crypto ipsec sa -Debug 명령어 debug crypto isakmp debug crypto ipsec All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 4 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 LAN-to-LAN VPN 기능의 Troubleshooting 의 Flow Chart 입니다. 이 경우에 단계별로 확인 한다면 쉽게 문제점을 파악 할 수 있습니다. STEP 1 Phase1(IKE negotiation)을 먼저 확인 해야 한다. Phase 1에서는 IKE Policy (encryption, hash, authentication, Key exchange의 Parameter)가 일치해야 합니다 Phase1에 관련된 내용을 확인 할 수 있는 명령어는 show run isakmp, show run tunnel-group Phase1이 정상적으로 negotiation된 것은 show crypto isakmp sa로 확인 할 수 있습니다. STEP 2 Phase2(IPSec negotiation)을 확인 해야 한다. IPSec Session이 성립 되기 위해서는 당연히 Phase1이 성립 되어 야 한다. Phase2에서는 IPSec Policy(Transform-set)가 일치 해야 합니다. Phase2이 성립이 안되는 경우는 주로 양쪽의 Transform-set를 확인 해봐야 합니다. Phase2를 확인 할 수 있는 명령어는 (show run ipsec) (show crypto ipsec sa) Phase2이 정상적으로 negotiation된 것은 show crypto ipsec sa로 확인 할 수 있습니다. STEP 3 IPSec으로 만들어 져야 할 traffic(interesting packet)이 access-list에 의해 정확히 지정되어 야 합니다. source와 destination은 명확히 지정 되어야 하며, 하나의 crypto map에 적용 되어야 합니다. interesting packet을 확일 할 수 있는 명령어는 show run access-list, show access-list 입니다. STEP 4 또한 interesting packet이 라우팅 table에 의해 crypto map이 적용된 interface로 적절히 routing되어야 합니 다. interesting packet이 crypto map이 적용되어 있는 network으로 라우팅 되지 않는 다면 IPSec data는 만들 어 질 수 없습니다. 라우팅을 확인 할 수 있는 명령어는 show route 입니다. 또한 show command로 문제 점을 확인하지 못하는 경우에는 debug command를 통해서 상세히 문제 점을 확 인 할 수 있습니다. - debug crypto isakmp [timers][level] (Phase1의 negotiation 진행을 확인 할 수 있다.) - debug crypto ipsec [level] (Phase2의 negotiation 진행을 확인 할 수 있다.) All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 5 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 LAN-to-LAN VPN의 Phase1의 상태를 확인 하는 명령어 입니다. show crypto isakmp sa detail(show crypto isakmp sa)로 IPSec의 Phase1의 상태를 확인 할 수 있다. IKE Peer의 IP address 확인, Connection Type, Encryption, hash algorithm, Authentication을 Peer 간에 확인 해야 합니다. Connection의 상태 확인하고 “MM_ACTIVE”는 IKE Tunnel의 상태가 정상적인 것을 확인 할 수 있다. Connection의 상태가 Active가 아닌 경우에는 양쪽의 Parameter를 확인 하고, 또한 추가적으로 debug crypto isakmp sa를 통해서 문제 점을 찾을 수 있습니다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 6 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 LAN-to-LAN VPN의 Phase2의 상태를 확인 하는 명령어 입니다. show crypto ipsec sa detail (show crypto ipsec sa)로 IPSec의 Phase2의 상태를 확인 할 수 있다. Phase2의 negotiation이 이루어 지지 않았다면, 위에 보이는 output이 전혀 보이지 않으며, 이때는 Phase2의 Parameter를 확인 해야 합니다. Phase2의 negotiation이 성공 적으로 이루어 졌다면, 개별 connection의 encryption/decrypted된 Packet의 수를 확인할 수 있습니다. 만약에 encryption의 수는 증가 하지만 decryption의 수가 증가 하지 않는 다면 이것은 IPSec의 Traffic이 destination으로 부터 돌아 오고 있지 않은 상황이며, 이런 경우에는 interesting packet의 설정이나 Routing을 확인해야 한다, 만약 동일한 수치로 올라간다면 정상 상태이다. 또한 추가적으로 debug crypto ipsec sa를 통해서 문제 점을 찾을 수 있습니다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 7 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Log message를 통해서 Phase1의 문제 점을 확인 할 수 있는 내용 입니다. 또한 위 log message는 IPSec Troubleshooting시 발생하는 일반적인 message들 입니다 1. 첫 번째의 Log message는 IKE의 Proposals이 가지고 있는 Protocol과 match가 안되는 경우 발생 한다. (예제에서는 DH group이 서로 상이 하기 때문이다.) 2. 두 번째의 Log message는 IKE의 Pre-shared key가 서로 상의 하기때문에 발생 하는 내용 입니다. 앞장에서도 나온 내용 이지만, Phase1이 성립되지 않은 경우에는 debug crypto isakmp sa로 상세히 확인 할 수 있습니다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 8 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Log message를 통해서 Phase1(IKE) Phase2(IPSec)이 완벽히 성립되었음을 확인 할 수 있는 내용 입니다. Quick mode(Phase2)에서 Key값이 Generating되고, Phase2가 성립된 후 SPI(Security parameter index)가 할당 된 것을 확인 할 수 있습니다. 또한 명확하게 “Phase2 COMPLETED” 라는 message를 확인 할 수 있습니다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 9 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 2번째 Chapter에서는 Easy VPN에 관련된 내용 입니다. CISCO Easy VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 한다 Step1: Easy VPN client에서 IKE Phase1 프로세스 시작 Step2: Easy VPN client에서 IKE SAs proposal Step3: Easy VPN server에서 SA proposal 수용 Step4: Easy VPN server에서 username/password 요청 Step5: ‘mode configuration’ process가 실행 됨 Step6: IKE quick mode 연결 완료 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 10 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 2번째 Chapter에서는 Easy VPN에 관련된 내용 입니다. CISCO Easy VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 한다 Step1: Easy VPN client에서 IKE Phase1 프로세스 시작 Step2: Easy VPN client에서 IKE SAs proposal Step3: Easy VPN server에서 SA proposal 수용 Step4: Easy VPN server에서 username/password 요청 Step5: ‘mode configuration’ process가 실행 됨 Step6: IKE quick mode 연결 완료 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 11 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 CISCO Easy VPN 기능의 Troubleshooting 의 Flow Chart 입니다. Ezvpn의 경우에도 단계별로 확인 한다면 쉽게 문제점을 파악 할수 있다. STEP 1 IKE(Phase1), IPSec(Phase2)의 Policy가 ASA와 Client사이에 일치 하는 지를 확인 해야 한다. debug crypto condition, debug crypto isakmp, debug crypto ipsec 명령어로 확인 할 수 있다. STEP 2 IKE, IPSec negotiations이 성립되었다면, user authentication을 확인 해야한다. user authentication의 경우에는 Phase1과 Phase2번 사이에 적용 된다. user authentication의 문제는 ASA의 syslog를 통해 확인 할 수 있다. STEP 3 Connection profile 과 Group policy를 확인한다, 특정 user에 대한 profile과 group policy가 존재하는 지를 확인 한다, profile과 policy의 문제는 ASA의 syslog를 통해서 확인 할 수 있다. STEP 4 Client가 IP를 적절히 할당 받은 지를 확인 한다. IP를 할당 받지 못한다면, IPSec Traffic은 생성 되지 않는다. Client의 IP 할당 문제는 ASA의 sys log를 통해서 확인 할 수 있다. 추가적인 debug command를 사용 할 수 있다. Phase1, Phase2의 설정에서 문제 점을 찿지 못한 다면, debug command를 통해서 상세히 확인 할 수 있다. - debug crypto isakmp [timers][level] (Phase1의 negotiation 진행을 확인 할 수 있다.) - debug crypto ipsec [level] (Phase2의 negotiation 진행을 확인 할 수 있다.) All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 12 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 CISCO Easy VPN 기능의 Troubleshooting 의 Flow Chart 입니다. (계속) Ezvpn의 경우에도 단계별로 확인 한다면 쉽게 문제점을 파악 할수 있다. STEP 5 만약에 client가 특정 network에만 접속을 허용 하는 split tunneling이 사용되고 있다면, client pc의 split tunnel의 경로가 정확히 올라 왔는지를 확인해야 한다. 또한 split tunneling의 경우에는 PC에서 gateway 정보 를 받아 오지 않게 된다. PC에서 route print로 또는 Client GUI로 확인 해야 한다. STEP 6 기본적으로 IPSec VPN traffic은 outside의 ACL 을 bypass 하지만, 다른 interface의 ACL에 의해 차단 되는 지 를 확인 해야 한다. 이 문제는 ASA에서 syslog로 확인 할 수 있다. STEP 7 Client에게 할당된 IP address가 ASA의 Routing table(RRI)에 올라 왔는지를 확인 해야 한다. 이 RRI정보는 IPSec Traffic이 return되기 위한 routing 정보이다. 또한 내부 network에 외부로 가는 경로가 여러 개 존재 한다 면, ASA는 RRI정보를 내부로 광고 해야 한다. 이 정보는 ASA에서 show route로 확인 할 수 있다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 13 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Log message를 통해서 Cisco Easy VPN의 문제 점을 확인 할 수 있는 내용 입니다. 또한 위 log message는 Easy VPN Troubleshooting시 발생하는 일반적인 message들 입니다 1. 첫 번째의 Log message의 경우, GATEWAY(ASA)쪽에서 특정 user에 대한 VPN function이 enable되어 있 지 않은 경우에 발생 한다. 예를 들어, 특정 유저에 대한 connection profile, group policy 가 없는 경우 이다. 2. 두 번째의 Log message의 경우 Client의 authentication (Phase1.5) 이 fail인 경우 발생 한다. (VPN Client 의 접속시 Pop-up으로 뜨는 password를 나타 낸다.) 3. 세 번째의 Log message의 경우 client가 IP를 할당 받지 못하는 경우에 발생 하는 message 이다. 이 경우 에는 IP Pool이 없거나, 또는 특정 user에 대한 IP Pool이 없는 경우에 발생 한다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 14 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 debug message를 통해서 Cisco Easy VPN의 문제 점을 확인 할 수 있는 내용 입니다. 1. 첫 번째 debug message의 경우, 특정 Client와 VPN Session이 맺어 지지 않는 경우 debug로 확인하는 경우 입니다. Debug의 message를 확인 해 보면, IKE(Phase1) negotiation이 일치 하지 않는 것을 확인 할 수 있다. Ezvpn의 경우 Lan-to-Lan과는 다르게 Client쪽에서 먼저 Phase1에 Policy를 제한 하게 되고 그 Policy가 ASA(Gateway)쪽에서 일치 하지 않는 경우 이다. 2. 두 번째의 log message의 경우, IPSec(Phase2) negotiation이 성립 되지 않은 것을 확인 할 수 있다 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 15 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 debug message를 통해서 Cisco Easy VPN의 문제 점을 확인 할 수 있는 내용 입니다. 1. 첫 번째 debug message의 경우, 특정 Client와 VPN Session이 맺어 지지 않는 경우 debug로 확인하는 경우 입니다. Debug의 message를 확인 해 보면, IKE(Phase1) negotiation이 일치 하지 않는 것을 확인 할 수 있다. Ezvpn의 경우 Lan-to-Lan과는 다르게 Client쪽에서 먼저 Phase1에 Policy를 제한 하게 되고 그 Policy가 ASA(Gateway)쪽에서 일치 하지 않는 경우 이다. 2. 두 번째의 log message의 경우, IPSec(Phase2) negotiation이 성립 되지 않은 것을 확인 할 수 있다 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 16 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 3번째 Chapter에서는 Clientless SSL VPN 관련된 내용 입니다. Clientless SSL VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 한다. Task1: SSL VPN Wizard 선택 Task2: Clientless SSL VPN Access 선택 Task3: SSL VPN Interface 설정 Task4: User Authentication 설정 Task5: User Group Policy 설정 Task6: Bookmark List 설정 Task7: Clientless SSL VPN Wizard Configuration 확인 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 17 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 2번째 Chapter에서는 Easy VPN에 관련된 내용 입니다. 1. Clientless SSL VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 한다. Step1: Easy VPN client에서 IKE Phase1 프로세스 시작 Step2: Easy VPN client에서 IKE SAs proposal Step3: Easy VPN server에서 SA proposal 수용 Step4: Easy VPN server에서 username/password 요청 Step5: ‘mode configuration’ process가 실행 됨 Step6: IKE quick mode 연결 완료 2. SSL VPN의 기본적인 확인은 아래 명령어로 확인 할 수 있다. show webvpn statistics (html, js, css, java archive 의 수치를 확인) show crypto protocol statistics ssl (encrypt packet수, de-capsulate packet의 수, SA rekey 수 등 확인) All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 18 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 CISCO Clientless VPN 기능의 Troubleshooting 의 Flow Chart 입니다. Clientless VPN의 경우에도 단계별로 확인 한다면 쉽게 문제점을 파악 할수 있다. STEP 1 SSL/TLS Session이 성립되었는지를 확인 한다. 이 부분에서는 Protocol의 Version, Cipher Suite의 일치를 확인 해야 한다. (Browser GUI에서 확인 할 수 있으며, 더욱 자세한 내용은 ASA의 Syslog에서 확인 할 수 있다.) STEP 2 SSL/TLS Session이 문제가 없다면, User의 Authentication을 확인 해야 한다, User계정에 대한 문제는 ASA의 SYSLOG에서 정확히 확인 할 수 있다 STEP 3 User계정에 문제가 없다면, Connection Profile과 Group policy가 일치하는지 또는 존재 하는 지를 확인 해야 한다. (Connection Profile과 Group policy의 문제는 ASA의 SYSLOG에서 정확히 확인 할 수 있다.) All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 19 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 CISCO Clientless VPN 기능의 Troubleshooting 의 Flow Chart 입니다. Clientless VPN의 경우에도 단계별로 확인 한다면 쉽게 문제점을 파악 할수 있다. STEP 4 또한 SSL VPN traffic이 ACL에 의해 차단 되는 지를 확인 해야 한다. 이 문제는 ASA에서 syslog로 확인 할 수 있 다. STEP 5 Clientless VPN의 Content rewriting correctness확인 한다. Content rewrite를 disable해 봐야 한다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 20 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Log message를 통해서 Cisco Clientless VPN의 문제 점을 확인 할 수 있는 명령어 입니다. 1. Gateway(ASA)쪽에서 확인 할 수 있는 command show vpn-sessiondb detail webvpn | svc (SSL VPN 에 관한 자세한 Session정보 및 요약 정보를 확인 할 수 있다.) show crypto protocol statics ssl 의 명령어를 통해서 encrypt packet, decapsulate packet을 확인 할 수 있다. show webvpn statics의 명령어를 통해서 objects serve total number의 수를 확인 할 수 있다. (html, js, ccs, vd, java class..) show compression svc 의 명령어를 통해서 session compression의 정보를 확인 할 수 있다. show debug crypto ca 5의 명령어를 통해서 client와 ASA간의 certificate 교환의 정보를 상세히 볼 수 있다. 2. Client Certificates 관련 issue 위에 보여지는 message는 Client Web browser에서 발생하게 된다. 이 경우는 SSL/TLS session을 맺기위해 ASA에서 던져 주는 인증서가 공인기관으로 등록된 인증서가(신뢰할 수 없는) 아니기 때문에 발생하는 message이다. Service에는 문제는 없지만, 이 message를 삭제 하려면 ASA의 인증서를 신뢰할 수 있는 인증서로 설정 하고, ASA의 인증서의 CN과 VPN URL의 name이 일치하는 지을 확인 하면 된다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 21 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Portal Page에서 Clientless Option을 확인 하는 내용 입니다.위의 내용은 webtype ACL이 잘 못 설정 된 경우 나타나며, URL이 활성화 되지않는 것을 확인 할 수 있다. 1. Clientless SSL VPN의 경우에는 다양한 기능을 사용할 수있다. Clientless SSL VPN에서 주로 사용 되는 기능 들은 아래 와 같다. - Port-forwarding - port-forwarding list 설정 확인 - VPN Group Policy에 port-forwarding적용 확인 - Smart Tunnel - Caching and Content Rewriting - E-mail Proxy 2. 이런 기능 들의 공통 적으로 발생 하는 문제점을 완화 시킬 수 있는 방법은 일반적으로 아래와 같이 처리해 야 해야 합니다. - web browser cache를 삭제 - java cache를 삭제 - Relay.dll 과 Active X control file을 삭제. 3. 또한 Debug 명령어를 통해 각 기능의 상세한 문제점을 파악 할 수 있습니다. debug webvpn [chunk | cifs | citrix | failover | html | javascript | request | response | svc | transformation | url | util | xml] [level] All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 22 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 4번째 Chapter에서는 AnyConnect SSL VPN 관련된 내용 입니다. 1. AnyConnect SSL VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 한다. Task1: SSL VPN Wizard 선택 Task2: Cisco SSL VPN Client 선택 Task3: SSL VPN Interface 설정 Task4: User Authentication 설정 Task5: User Group Policy 설정 Task6: Bookmark List 설정 Task7: IP Address Pool 설정 Task8: Cisco AnyConnect SSL VPN Client Location 설정 Task9: SSL VPN Connection Wizard Configuration 확인 Task7: AnyConnect SSL VPN Group Policy 수정 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 23 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 4번째 Chapter에서는 AnyConnect SSL VPN 관련된 내용 입니다. 1. AnyConnect SSL VPNs의 설정 단계이며, 설정에 관련된 Troubleshooting도 아래의 단계로 확인해 봐야 한다. Task1: SSL VPN Wizard 선택 Task2: Cisco SSL VPN Client 선택 Task3: SSL VPN Interface 설정 Task4: User Authentication 설정 Task5: User Group Policy 설정 Task6: Bookmark List 설정 Task7: IP Address Pool 설정 Task8: Cisco AnyConnect SSL VPN Client Location 설정 Task9: SSL VPN Connection Wizard Configuration 확인 Task7: AnyConnect SSL VPN Group Policy 수정 All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 24 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 CISCO AnyConnect VPN 기능의 Troubleshooting 의 Flow Chart 입니다. AnyConnect VPN의 경우에도 단계별로 확인 한다면 쉽게 문제점을 파악 할수 있다. STEP 1 SSL/TLS Session이 성립되었는지를 확인 한다. 이 부분에서는 Protocol의 Version, Cipher Suite의 일치를 확인 해야 한다. (Cisco AnyConnect GUI에서 확인 할 수 있으며, 더욱 자세한 내용은 ASA의 Syslog에서 확인 할 수 있다. STEP 2 SSL/TLS Session이 문제가 없다면, User의 Authentication을 확인 해야 한다, User계정에 대한 문제는 ASA의 SYSLOG에서 정확히 확인 할 수 있다 STEP3 User계정에 문제가 없다면, Connection Profile과 Group policy가 일치하는지 또는 존재 하는 지를 확인 해야 한다. (Connection Profile과 Group policy의 문제는 ASA의 SYSLOG에서 정확히 확인 할 수 있다.) STEP 4 특정 계정에 대한 Connection Profile과 Group policy에 문제가 없다면, SSL VPN Client가 적절한 IP address를 받았는지 확인 해야 한다. (IPAA (IP Address Assignment)의 문제는 ASA의 SYSLOG에서 정확히 확인 할 수 있다.) All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 25 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 CISCO AnyConnect VPN 기능의 Troubleshooting 의 Flow Chart 입니다. AnyConnect VPN의 경우에도 단계별로 확인 한다면 쉽게 문제점을 파악 할수 있다. STEP 5 만약에 SSL VPN의 Client가 Split-Tunnel이 적용되어 있다면, Client의 PC에 적절한 Route경로가 올라 왔는지 를 확인 하여야 한다. Cisco AnyConnect GUI 또는 Rout print로 확인 할 수 있다. STEP 6 또한 SSL VPN traffic이 ACL에 의해 차단 되는 지를 확인 해야 한다. 이 문제는 ASA에서 syslog로 확인 할 수 있 다. STEP 7 Client에게 할당된 IP address가 ASA의 Routing table에 올라 왔는지를 확인 해야 한다.이것은 return되는 traffic을 위한 routing 정보이다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 26 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Log message를 통해서 Cisco AnyConnect VPN의 문제 점을 확인 할 수 있는 내용 입니다.또 한 위 log message는 AnyConnect VPN Troubleshooting시 발생하는 일반적인 message들 입니다 1. 첫 번째의 첫 번째의 Log message의 경우 output을 확인해보면, “no shared cipher”는 SSL/TLS Session이 성립 되이 않았음을 보여주며, 이유는 Cipher suites가 일치 하지 않았기 때문이다. 2. 두 번째의 첫 번째의 Log message의 경우 output을 확인해보면, “SVC not enabled for the user”는 특정 user에 대한 Connection Profile이나 Group policy가 존재하지 않거나, enable이 되어 있지 않은 경우에 나타나 는 message이다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 27 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 ASA의 Log message를 통해서 Cisco AnyConnect VPN의 문제 점을 확인 할 수 있는 내용 입니다.또 한 위 log message는 AnyConnect VPN Troubleshooting시 발생하는 일반적인 message들 입니다 1. 첫 번째의 첫 번째의 Log message의 경우 output을 확인해보면 “reason=invalid password”는 Client의 authentication이 ASA의 local database에 인증이 실패인 경우 발생 한다. 2. 두 번째의 두 번째의 Log message의 경우 output을 확인해보면 “Address assignment failed” Client가 AnyConnect용 IP를 할당 받지 못하는 경우에 발생 하는 message 이다. 이 경우에는 IP Pool이 없거나, 또는 특 정 user에 대한 IP Pool이 없는 경우에 발생 한다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 28 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위 그림은 Client의 Log message를 통해서 Cisco AnyConnect VPN의 Client의 문제 점을 확인 할 수 있는 내용 입니다. 또한 Cisco AnyConnect Client의 Connection의 문제가 있는 경우 발생하는 일반 적인 message들 입니 다. 위내용은 Gateway쪽에서 더욱 자세히 확인 할 수 있습니다. 1. 첫 번째의 log message “The Client cannot resolve the gatewayname” 이 경우에는 SSL VPN GateWay(ASA)의 hostname이 DNS에 의해 정확인 mapping이 되지 않은 경우 발생한다. 2. 두 번째의 log message “Connection attempt has failed” 이 경우에는 SSL VPN GateWAY(ASA)와 통신이 되 지 않는 경우에 발생 한다. 3. 세 번째의 log message “Connection failure Unknown” 이 경우에는 SSL Cipher suite negotiation이 실패한 경우 발생 한다. (자세한 fail의 내용은 ASA에서 확인 할 수 있다.) 4. 네 번째의 log message “login failed.” 이 경우에는 user의 authentication이나 user에 대한 group alias가 잘 못 설정 되어 있는 경우 발생 한다. 5. 다섯 번째의 log message “AnyConnect is not enabled on the VPN server” 특정 user에 대한 SSL VPN이 enable되어 있지 않거나, profile, group policy가 존재 하지 않는 경우에 발생 한다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 29 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | 위의 그림은 Client쪽의 window event log의 내용이다. Cisco AnyConnect client는 모든 log message를 window event log를 사용하여 저장 한다. 이것을 통해 client 쪽에서 발생 하는 모든 log message를 상세히 확인 할 수 있다. 또한 예제의 event log message는 SSL Gateway(ASA)쪽에서 강제로 Session을 종료한 경우에 발생 한다. All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 30 TS (TAC) News Letter | Technical Document | Troubleshooting | ASA VPN | All contents are Copyright © 1992–2011 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC.
© Copyright 2026 Paperzz